Go, Rust 등 비주류 언어 사용하는 랜섬웨어 주의 필요... 향후 확산 예측

입력 : 2023-04-21 19:02

SK쉴더스, ‘2023년 1분기 KARA 랜섬웨어 동향 보고서’ 발간
비주류 언어 사용하는 랜섬웨어로 탐지 회피 고도화...피해자 협박, 데이터 유출 방법 다양화
1분기 확인된 공격 건수 933건...3월에만 464건으로 공격 주도한 Clop 랜섬웨어 주의보

[보안뉴스 김영명 기자] 1분기 랜섬웨어 공격 동향은 ‘Go’, ‘Rust’ 등 비주류 언어를 쓰는 랜섬웨어 공격 흐름이 두드러지게 나타났다. 비주류 언어로 개발된 랜섬웨어는 하나의 코드로 다양한 운영체제 타깃 공격이 가능해 공격의 범위가 넓다. 게다가 기존 주류 언어인 C/C++로 제작된 랜섬웨어보다 비주류 언어를 사용하는 랜섬웨어는 분석 데이터가 부족해 탐지 확률이 낮으며, 빠르게 암호화가 가능해 공격자들이 선호하고 있는 것으로 드러났다. 앞으로 비주류 언어를 사용해 탐지를 회피하고 분석을 방해하는 고도화된 랜섬웨어들이 꾸준히 발견될 것으로 예측했다.


SK쉴더스는 민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance)’와 함께 2023년 1분기 랜섬웨어 동향 보고서를 발간했다. 이번 보고서에는 지난 1분기 가장 활발하게 활동한 랜섬웨어 공격그룹의 동향과 공격 전략을 살펴보고 지난해에 비해 달라진 공격 행태에 대해 상세히 다뤘다. 보고서에 따르면, 올해 1분기 국내 랜섬웨어 공격은 총 933건이 발생했고, 특히 3월에만 464건의 공격이 집중됐다. 이는 클롭(Clop) 랜섬웨어 그룹이 파일 전송 소프트웨어의 취약점을 악용해 100여곳이 넘는 기업에 피해를 줬기 때문으로 밝혀졌다.

피해자를 협박하고 데이터를 유출하는 방법도 점점 다양해지고 있는 것으로 드러났다. 유출된 데이터에 접근하는 동영상을 다크웹에 게시하는 메두사(Medusa) 그룹 사례나 피해 기업의 홈페이지와 비슷한 도메인을 생성해 해당 도메인에 탈취한 데이터를 공개하는 행태를 보인 블랙캣(BlackCat) 그룹 사례가 대표적이다. 초기 침투를 전문으로 수행하는 IAB(Initial Access Broker)의 등장도 눈여겨볼 점이다. 이들은 초기 침투를 원활하게 수행하기 위한 것과 함께 공격자들이 서로 역할을 분담해 그룹의 규모를 키우기 위한 목적으로 보인다.

국내 기업을 공격 대상으로 한 랜섬웨어도 발견됐다. 글로브임포스터(GlobeImposter) 랜섬웨어는 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)를 통해 국내에 유포된 것으로 확인됐으며, 국내 기업을 타깃으로 한 공격 캠페인이 발견되기도 했다. RDP는 코로나19 팬데믹 이후 원격근무로 사용이 늘어난 만큼 해커의 주요 공격 대상이 되고 있어 RDP를 사용할 때는 주의해야 한다. 이 밖에도 마이크로소프트 윈도(Windows) 운영체제에 탑재돼 있는 비트라커(BitLocker)를 악용해 드라이브를 암호화하고 협박하는 랜섬웨어도 등장해 눈길을 끌었다. 비트라커는 하드디스크 및 USB와 같은 저장장치를 암호화해 데이터를 보호하는 기능을 가진 도구를 말한다. 국내 의료기관 및 기업의 주요 인프라를 타깃한 공격 사례도 지속해서 발견되고 있으며, 감염됐을 경우 시스템에 큰 손실을 입힐 수 있어 최신 버전 보안 패치 등의 조치가 필요하다.

KARA는 다변화되고 고도화되는 랜섬웨어 공격에 대비하기 위해 랜섬웨어 공격이 발생하기 전부터 네트워크와 인프라, 자산에 대한 관리가 우선으로 이뤄져야 하며, 사고대응 프로세스가 철저히 수립돼야 한다고 강조했다. 랜섬웨어 공격자는 공격 대상을 선정하기 위해 다양한 방법으로 침투 방법을 강구하며, 내부 인프라에 침입 후 데이터를 암호화시키고 탈취해 협박하는 행위를 반복하고 있다. 이에 대비하기 위해 단계별 보안 요소와 프로세스를 마련해 공격자가 공격을 수행하기 전에 예방책을 사전에 마련할 것을 제시했다.

랜섬웨어 공격 그룹에 대한 동향과 대응 방안이 담긴 올해 1분기 KARA 랜섬웨어 동향 보고서는 SK쉴더스 홈페이지를 통해 확인할 수 있다. 앞으로 SK쉴더스와 KARA는 랜섬웨어 동향 보고서를 지속 발간하며 종합적인 대책을 마련해 나갈 계획이다.

SK쉴더스 김병무 클라우드사업본부장은 “전 세계적으로 랜섬웨어 공격과 협박이 복합적으로 진행되며 그 피해 규모는 폭발적으로 증가하고 있어 실질적인 대책 수립이 시급하다”며 “SK쉴더스는 국내에서 유일하게 랜섬웨어 대응서비스를 원스톱으로 제공하고 있는 만큼 선도적으로 대응방안 구축과 서비스 제공에 앞장설 것”이라고 밝혔다.

한편, KARA는 SK쉴더스 주도로 구성된 랜섬웨어 대응 민간 협의체다. 보안 솔루션을 제공하는 트렌드마이크로, 지니언스, 베리타스, 보안 위협 정보를 분석하는 맨디언트, 에스투더블유(S2W)를 포함해 피해 보상을 위한 보험 상품을 제공하는 캐롯손해보험과 법률 자문 법무법인 화우로 구성됐다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김영명기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  국정원, “딥시크, 언어별 답변 상이”......

• 2

  [2025 안티바이러스 리포트] 기초가 튼튼...

• 3

  [월드시큐 황.당.사] 애플 CPU 부채널 ...

• 4

  인공지능 개발자 대상 공급망 공격 시도 발견

• 5

  모바일 주민증 발급, 오는 14일부터 단계적...

• 1

  [bnTV] 싼맛 ‘딥시크’ 등장, AI 주...

• 2

  국정원, “딥시크, 언어별 답변 상이”......

• 3

  [클릭! 월드시큐] 시스코, “딥시크 R1,...

• 4

  [퀴즈 이·보·소] 딥시크에 관한 설명으로 ...

• 5

  [2025 안티바이러스 리포트] 기초가 튼튼...

• 1

  넷앤드, 새해 아태시장 공략 박차

• 2

  ‘포스트 딥시크’는 나!...60개 스타트업...

• 3

  中 딥시크 R1, 알고보니 ‘헛똑똑이’?

• 4

  中 딥시크 광풍, 韓 사용자 ‘개인정보’ 빨...

• 5

  [속보] ‘中 챗GPT’ 딥시크, 사이버공격...