[그림 1]은 지난 2016년 10월부터 2017년 3월까지 ASD를 통해 수집된 랜섬웨어 샘플 수와 사용자 감염 보고 건수 추이를 정리한 것이다. 우선 감염 보고 건수를 살펴보면, 지난 2016년 4분기에는 증가 추세였으나 올해 1분기에 들어서며 다행히 감소하는 양상을 보였다. 이는 록키(Locky) 랜섬웨어와 테슬라크립트(TeslaCrypt) 랜섬웨어가 자취를 감춘 것과 관련이 있다. 

이들 랜섬웨어는 지난 2016년 한 해를 통틀어 가장 많은 변형과 감염이 보고된 랜섬웨어들이며, 이 밖에도 케르베르(Cerber), 크립트XXX(CryptXXX)도 지난해 왕성한 활동을 보였다. 크립트XXX는 2016년 3분기까지 활발하게 활동했으나 2016년 4분기에 들어서면서 급격히 감소했다. 록키 랜섬웨어는 지난 2016년 초 처음 보고되었으며, 초반에는 익스플로잇 툴킷(Exploit Tool Kit, 이하 EK)으로 유포되었다. 이후 2016년 하반기에는 다운로더 역할을 하는 악성 자바 스크립트가 포함된 스팸 메일 형태로 대량 유포됐다(진단명: JS/Nemucod, JS/Downloader, JS/Obfus.S<number>). 그러나 2016년 하반기부터 록키 변형의 수가 급감하더니 올해 1분기에는 거의 자취를 감췄다. 지난 연말 러시아에서 사이버범죄자 체포 이후 특정 EK를 더 이상 사용할 수 없게 된 것이 원인으로 추정된다. 

한편, 다소 감소한 감염 보고 건수와 달리 샘플 수집량은 꾸준히 증가하고 있어 앞으로도 랜섬웨어 위협은 지속될 것으로 보인다. 특히 랜섬웨어 변종은 지속적으로 증가하고 있는 것으로 확인돼 신?변종 랜섬웨어에 대한 대응 방안 마련이 요구된다. 

[표 1]은 지난해에 이어 올해 1분기까지 랜섬웨어 유포에 주로 이용된 취약점 공격 툴킷과 대표적인 취약점을 요약한 것이다. 2016년 하반기에 들어서면서 랜섬웨어 유포에 취약점 대신 악성 스팸 메일을 이용하거나 취약점과 스팸 메일을 병행해서 이용하는 양상을 보였다. 국내에서 악명을 떨치고 있는 케르베르 랜섬웨어가 대표적인데, 2016년 초에는 취약점을 통해 유포되었으나 작년 하반기부터는 취약점과 스팸 메일 등 두 가지 경로를 통해 유포되었다. 또 2년 전 국내 유명 커뮤니티 사이트를 통해 유포된 크립토락커(Cryptolocker, 일명 Teerac 또는 TorrentLocker)는 최근 다운로더 기능이 있는 자바 스크립트나 악성 매크로가 포함된 워드 또는 엑셀 파일이 첨부된 스팸 메일 형태로 유포되고 있다. 

 

취약점을 이용한 유포 방식이 다소 감소하는 추세를 보이는 것은 사용자들이 보안 패치 적용에 대한 인식이 높아진 영향으로 볼 수 있다. 반면 스팸 메일을 이용한 유포 방식은 사람의 심리를 이용한 사회공학기법을 이용하여 사용자로 하여금 첨부 파일을 실행하도록 유도하기 때문에 보안 패치 적용 여부와 무관하게 공격 성공률이 높은 편이다. 따라서 앞으로는 스팸 메일을 이용한 랜섬웨어 유포가 더욱 기승을 부릴 것으로 전망된다. 

[그림 2]는 지난 2016년 4분기부터 2017년 1분기까지 발견된 주요 랜섬웨어 변형을 정리한 것이다. ASEC에 따르면, 이 기간 동안 케르베르가 다른 랜섬웨어에 비해 월등히 많은 변형을 유포하고 있다. 

케르베르는 지난 2016년 1분기 경에 처음 보고되었으며, 매그니튜드 EK를 이용한 멀버타이징 기법을 통해 유포되고 있다. 2016년 하반기부터는 'HWP' 확장자도 암호화 대상 목록에 추가됐다. 최근 발견된 케르베르 변형은 시스템에 설치된 보안 솔루션을 확인하고 해당 프로그램의 모든 실행 파일에 대한 인터넷 연결을 방해하는 기능을 갖고 있는 것으로 확인됐다. 

록키는 앞서 언급한 바와 같이 지난해 처음 보고된 이후 케르베르와 함께 맹위를 떨쳤으나, 2016년 하반기부터 변형 발견 건수가 급격히 감소했다. 나부커(Nabucur) 랜섬웨어는 바이러스 증상을 포함하고 있으며, 변형 수량은 많지만 실제 감염 보고 건수는 매우 적은 편이다.

세이지크립트(SageCrypt)는 케르베르 다음으로 2017년 1분기에 많은 변형이 발견되었으며 감염 보고 비율이 높았다. 세이지크립트는 크라이락커(CryLocker) 변형으로 알려져 있으며, 특정 VBS 파일을 생성하고 음성으로 감염 사실을 알려준다는 점에서 케르베르 랜섬웨어와 유사한 모습을 보였다. 구글(Google) 맵 API를 이용하여 감염 시스템의 SSID, MAC 주소를 전송하는데, 이를 통해 감염 분포를 파악하는 것으로 짐작된다. 세이지크립트의 유포지는 국내 모 인터넷 스포츠?연예 언론사 웹 사이트로 확인되었다. 어도비 플래시 취약점(CVE-2016-4117)을 이용하여 유포되었으며, 해당 언론사의 기사 페이지가 SNS 등을 통해 공유되면서 감염 보고 건수가 증가했다. 

[그림 2]에 포함된 랜섬웨어 외에도 약 50여 개의 다양한 이름으로 명명된 랜섬웨어 변형들이 발견되었으며, 그 수는 지속적으로 증가하고 있다. 그중 올해 눈여겨봐야 할 랜섬웨어 변형을 간략히 살펴보자.

비너스락커(VenusLocker)는 최근 상당히 유창한 한글로 작성된 스팸 메일을 이용해 주로 국내 관공서를 타깃으로 유포되었다. 압축 파일 형태의 첨부 파일을 이용하는 형태와 다운로더 역할을 하는 악성 매크로가 포함된 문서를 첨부하는 형태가 주를 이뤘다. 비너스락커 랜섬웨어에 의해 암호화된 파일 중 일부는 복구가 가능하다. 관련 복구 툴은 안랩 홈페이지에서 다운로드할 수 있다. 

 

크립토믹스(CryptoMix)와 크립토쉴드(CryptoShield)도 국내에서 발견되고 있다. 이들 랜섬웨어는 랜섬 노트와 암호화 확장자가 유사하며 ▲자기 복제본 생성 ▲윈도우(Windows) 기본 유틸리티를 이용한 윈도우 복구 무력화 ▲암호화 제외 대상 확장자 및 폴더 경로 등이 거의 동일하다. 크립토쉴드는 랜섬 노트에 ‘자신은 크립토믹스의 변형이 아니다’라는 내용을 담기도 했다. 

 

스포라(Spora)는 바로가기(.lnk) 파일을 생성하여 지속적인 감염을 유도한다. 대부분의 랜섬웨어는 한번 암호화한 이후에 자신을 재실행하는 전략은 사용하지 않는다. 그러나 스포라와 크립토믹스, 크립토쉴드는 재부팅 이후 자신이 재실행되도록 설정하는 특징을 보인다. 스포라는 취약점을 통해 유포되기도 하며, 특히 크롬(Chrome) 브라우저 사용자를 노려 특정 사이트 방문 시 허위 팝업창을 보여주고 클릭을 유도해 감염시키기도 했다. 케르베르 랜섬웨어 유포지에서 발견되기도 했으며, 외형이 케르베르와 유사한 스포라 변형도 종종 발견되었다. 스포라 랜섬웨어는 암호화 이후 생성하는 랜섬 노트 내의 정보를 이용하여 피해자가 공격자와 채팅할 수 있는 기능도 갖고 있었다. 또한 암호화된 파일 종류에 따라 공격자에게 지불하는 비용이 달라지는 특징도 있다.

 

지금까지 살펴본 바와 같이, 최근 랜섬웨어 유포는 취약점을 이용하거나 스팸 메일이 주를 이루고 있다. 또한 멀버타이징 기법을 이용해 사용자 의도와 무관한 웹사이트로 유도하거나 교묘한 사회공학기법을 이용해 랜섬웨어를 감염시킨다. 또한 사용자 PC에 설치된 백신 프로그램의 업데이트를 방해하는 지능적인 공격 기법도 추가하고 있다. 

한 가지 다행스러운 것은 지난 2016년 4분기에 비해 감염 건수는 다소 감소했다는 점이다. 물론 일부 랜섬웨어가 활동을 종료한 탓도 있겠지만, 보안 업체에서 안티랜섬웨어 툴 등 랜섬웨어 대응을 위한 프로그램을 제공한 것도 상당한 영향이 있을 것으로 보인다. 무엇보다 예전에 비해 많은 사용자들이 보안 패치를 적용하는 등 기본적인 보안 수칙을 준수한 효과가 나타난 것으로 볼 수 있다. 그러나 랜섬웨어 변종의 수는 감소할 기미가 보이지 않아 앞으로도 신?변종 랜섬웨어의 동향을 지속적으로 예의 주시할 필요가 있다.