올해 상반기 기업, 기관 등을 상대로 한 '타깃 랜섬웨어'가 증가했다. 과거 개인을 상대로 갠드크랩, 매그니버 랜섬웨어 등 무차별 공격에서 도시, 기업 등 목표를 정한 타깃 랜섬웨어로 공격 방식 변경이 두드러진다. 미국 등을 중심으로 기업과 공공을 공격하는 류크, 샘샘, 로커고가, 메가코텍스 등 신종 랜섬웨어가 등장했고 국내서는 클롭 랜섬웨어가 다수 기업 등 공격을 잇는다.
최근 시만텍이 발간한 타깃 랜섬웨어에 따르면 2017년 매달 10건 이하로 발견됐던 타깃 랜섬웨어 감염 수는 2018년을 기점으로 증가하기 시작해 올해 4~5월 매달 50건이 넘는 사고가 보고됐다.
미국은 정부기관을 상대로 한 공격이 두드러지게 나타난다. 이달 19일(현지시간) 미국 CNBC는 미국 텍사스주 23개 도시가 조직적인 랜섬웨어 공격받았다고 보도했다. 해커는 23개 지방 정부 네트워크를 집중 공격했다. 앞서 뉴욕주, 루이지애나, 메릴랜드, 플로리다주도 랜섬웨어 공격을 받았다. 플로리다주는 시스템 복구를 위해 해커에게 60만달러가량을 지불할 예정으로 대부분 복구에 상당한 시간, 비용이 소요될 전망이다.
유럽, 아프리카도 예외는 아니다. 3월 노르웨이 알루미늄 제조기업 노르스크 하이드로가 랜섬웨어 공격으로 가동이 멈췄고 영국, 웨일즈 경찰 조직 웹사이트도 랜섬웨어 공격에 당했다. 7월 말에는 남아프리카공화국 전력기업 '시티파워'가 랜섬웨어 공격으로 데이터베이스(DB), 네트워크, 애플리케이션 등 암호화 됐다.
국내서는 상반기 클롭 랜섬웨어가 기승을 부렸다. 한국인터넷진흥원(KISA)은 이례적으로 한 달 두 차례에 거쳐 클롭 랜섬웨어 주의를 당부했다. 안랩에 따르면 올해 상반기 클롭 랜섬웨어 피해는 대부분 제조(53%) 분야에 집중됐으며 금융(15%), 정보서비스(11%), 도·소매(9%) 분야가 뒤를 이었다. 중소기업 등 상대적으로 보안 조치가 미흡한 분야 피해가 컸다.
전문가는 타깃 랜섬웨어 공격이 당분간 이어질 것으로 예상한다. 공장가동 중단, 공공시스템 마비는 빠른 시일 복구가 요구 돼 해커에 돈을 지불하는 방법을 택하는 경우가 많다. 범죄자에게 수익이 돼 지속 공격을 시도한다.
업계 관계자는 “국내 피해 기업 대부분 백업 시스템을 제대로 마련하지 않거나, 백업조차 피해를 입어 해커와 협상을 벌인 사례를 다수 발견했다”면서 “최근 발견되는 타깃 랜섬웨어는 사실상 복호화가 어려워 해커에게 돈을 지불할 수 밖에 없다”고 지적했다.
해커 공격도 고도화됐다. 2017년 타깃 랜섬웨어 공격은 '샘샘 랜섬웨어'가 유일했다. 2018년 이후 류크, 로커고가, 메가코텍스, 로빈후드 등 신종 랜섬웨어가 등장했다. 국내서 클롭 랜섬웨어가 다수 수익을 낸 후 변종 등 새로운 공격 시도까지 이어졌다.
문종현 이스트시큐리티 이사는 “최근 국내서 다양한 랜섬웨어 공격 시도가 발견되고 있으며 피해도 여전하다”면서 “공격자는 하반기 채용시즌을 노리고 이력서 등을 위장한 스피어피싱 공격 등 사회공학적 방법을 총 동원해 범죄행위에 나설 것”이라고 말했다.
정영일기자 jung01@etnews.com
