"Go? Rust? 이게 뭐야?"…비주류 언어 활용 '랜섬웨어 공격' 주의보/비주류 랜섬웨어가 보안망 뚫는다…"분석 데이터 부족"

[국이]

"Go? Rust? 이게 뭐야?"…비주류 언어 활용 '랜섬웨어 공격' 주의보

SK쉴더스, 1분기 '랜섬웨어 공격' 동향 보고서 발간
비유명 언어 활용 해킹 포착…"탐지 어려운 점 노린 듯"

최근 비주류 언어를 쓰는 랜섬웨어 공격이 집중돼 주의가 요구된다. 기존 주류 언어로 제작된 랜섬웨어보다 데이터가 부족해 탐지하기 어렵다.

보안기업은 민간 랜섬웨어 대응 협의체 '카라'(KARA)와 함께 이같은 내용을 담은 '1분기 랜섬웨어 동향 보고서'를 발간했다고 21일 밝혔다.

랜섬웨어는 랜섬(ransom·몸값)과 멀웨어(malware·악성 코드)를 합친 말로, 컴퓨터 데이터에 암호를 걸어 사용 불능 상태로 만든 뒤 현금 또는 암호화폐를 뜯어내는 공격이다.

이날 보고서에 따르면, 최근 'Go'(고)·'Rust'(러스트) 처럼 보기 드문 언어로 개발된 랜섬웨어가 포착됐다. 'C/C++' 같은 유명 언어과 결이 다르다.

SK쉴더스 측은 "분석 데이터가 부족해 탐지 확률이 낮으며, 빠르게 암호화가 가능해 공격자들이 선호하고 있다"며 "앞으로 비주류 언어를 사용해 탐지를 회피하고 분석을 방해하는 고도화된 랜섬웨어들이 꾸준히 발견될 것"이라고 말했다.

피해자를 협박하고 데이터를 유출하는 방법도 다양해지고 있다. 대표적으로 해커 그룹 '메두사'(Medusa)는 다크웹 사이트에 유출 데이터에 접근하는 영상을 올렸다. 또 '블랙캣'은 피해 기업의 사이트와 비슷한 도메인을 만들어 탈취 데이터를 공개했다.

국내 기업을 타깃으로 한 랜섬웨어도 발견됐다. '글로브임포스터'(GlobeImposter)라 불리는 랜섬웨어는 원격 데스크톱 프로토콜(RDP)을 통해 국내 유포됐다. 원격근무 체제가 일상화된 점을 노린 공격이다.

1분기 전체 랜섬웨어 공격은 총 933건 발생했다. 특히 3월에만 464건 일어났다. 클롭(Clop) 랜섬웨어 그룹이 파일 전송 소프트웨어(SW)의 취약점을 악용해 100곳 이상의 기업에 피해를 입혔기 때문으로 분석된다.

김병무 SK쉴더스 클라우드사업본부장은 "전 세계적으로 랜섬웨어 공격과 협박이 복합적으로 진행되며 그 피해규모는 폭발적으로 증가하고 있어 실질적인 대책 수립이 시급하다"고 말했다.

비주류 랜섬웨어가 보안망 뚫는다…"분석 데이터 부족"

공격 총 933건, 'Go' 등 비주류 언어 랜섬웨어 나타나

주류 언어인 C/C++로 제작되지 않은 비주류 언어를 사용하는 랜섬웨어가 늘고 있는 것으로 나타났다. 이러한 비주류 언어를 사용한 랜섬웨어는 분석 데이터가 부족해 탐지 확률이 낮다는 것이 문제다.

민간 랜섬웨어 대응 협의체 KARA와 1분기 랜섬웨어 동향 보고서를 발간했다고 21일 밝혔다. 이번 보고서는 지난 1분기 가장 활발하게 활동한 랜섬웨어 공격 그룹의 동향과 공격 전략, 지난해에 비해 달라진 공격 행태 등에 관한 내용을 담고 있다.

보고서에 따르면 이 기간 동안 랜섬웨어 공격은 총 933건이 발생했고, 특히 3월에만 464건의 공격이 집중됐다. 이는 클롭(Clop) 랜섬웨어 그룹이 파일 전송 소프트웨어의 취약점을 악용해 100여곳이 넘는 기업에 피해를 입혔기 때문인 것으로 밝혀졌다.

특히 지난 1분기엔 비주류 언어를 쓰는 랜섬웨어 공격 흐름이 나타났다. 'Go' 'Rust'와 같이 비주류 언어로 개발된 랜섬웨어는 하나의 코드로 다양한 운영체제 타깃 공격이 가능해 공격 범위가 넓다. 게다가 기존 주류 언어인 C/C++로 제작된 랜섬웨어보다 비주류 언어를 사용하는 랜섬웨어는 분석 데이터가 부족해 탐지 확률이 낮으며, 빠르게 암호화가 가능해 공격자들이 선호하고 있는 것으로 드러났다.

 "앞으로 비주류 언어를 사용해 탐지를 회피하고 분석을 방해하는 고도화된 랜섬웨어들이 꾸준히 발견될 것"이라고 예측했다.

피해자를 협박하고 데이터를 유출하는 방법도 점점 다양해지고 있는 것으로 밝혀졌다. 유출된 데이터에 접근하는 동영상을 다크웹에 게시하는 '메두사(Medusa)'그룹 사례나, 피해 기업의 사이트와 비슷한 도메인을 생성해 해당 도메인에 탈취한 데이터를 공개하는 행태를 보인 '블랙캣(BlackCat)' 그룹 사례가 대표적이다.

국내기업을 타깃으로 한 랜섬웨어도 발견됐다. 글로브임포스터(GlobeImposter) 랜섬웨어는 원격 데스크톱 프로토콜(RDP)을 통해 국내에 유포된 것으로 확인됐으며, 실제 국내 기업을 타깃으로 한 공격 캠페인이 발견되기도 했다. SK쉴더스는 "RDP는 코로나19 이후 원격근무로 사용이 늘어난 만큼 해커의 주요 공격 대상이 되고 있어 RDP 사용시 주의해야 한다"고 당부했다.

이 밖에도 윈도 운영체제에 탑재돼 있는 비트라커(BitLocker)를 악용해 드라이브를 암호화하고 협박하는 랜섬웨어도 등장해 눈길을 끌었다. 특히, 국내 의료 기관 및 기업의 주요 인프라를 타깃한 공격 사례가 지속적으로 발견되고 있고, 감염됐을 경우 시스템에 큰 손실을 입힐 수 있어 최신 버전 보안 패치 등의 조치가 필요하다고 회사는 당부했다.

"전 세계적으로 랜섬웨어 공격과 협박이 복합적으로 진행되며 그 피해규모는 폭발적으로 증가하고 있어 실질적인 대책 수립이 시급하다"며 "SK쉴더스는 국내에서 유일하게 랜섬웨어 대응서비스를 원스톱으로 제공하고 있는 만큼 선도적으로 대응방안 구축과 서비스 제공에 앞장설 것"이라고 밝혔다.