[CCTV뉴스=최형주 기자] 류크(Ryuk) 랜섬웨어가 미국 전역을 강타하고 있다. 류크는 지난 2018년 8월부터 많은 미국 기업과 정부의 PC와 스토리지, 데이터센터를 감염시키고 암호화했다.
류크 랜섬웨어는 2018년 8월 보안연구원 MalwareHunter에 의해 처음 발견됐다. 이후 보안기업 체크포인트가 실시한 연구에 따르면, 류크는 일반적인 랜섬웨어와 다르게 공격자가 수동으로 배포해 공격 대상 기업 혹은 기관의 중요 자산과 리소스에만 감염되도록 한다.
감염된 PC에서 류크가 실행되면 안티 바이러스, 데이터베이스, 백업 및 문서프로그램 등의 서비스와 프로세스를 종료하고, 피해자가 파일을 복구할 수 없도록 암호화 키와 섀도우 복사본, 백업 파일 등을 디스크에서 모두 삭제한다.
미국 집중 공략하는 류크 랜섬웨어
류크는 특히 미국의 정부기관과 기업들을 대상으로 활발하게 유포되고 있다. 2019년 3월 조지아 주 잭슨 카운티가 류크에 감염됐고, 해커에게 랜섬머니 40만 달러를 지불했다. 4월엔 플로리다 주 스튜어트의 도시 전체 시스템이 감염됐다. 그러나 스튜어트는 랜섬머니 지불을 거부하고 자체적으로 시스템을 재구축했다.
2019년 7월엔 메사추세츠 주 뉴베드포드의 시스템이 랜섬웨어에 감염됐다. 해커가 뉴베드포드에 요구한 복구비용은 530만 달러였으며, 뉴베드포드는 40만 달러를 제안했으나 해커가 이를 거부했다. 뉴베드포드는 비용 지불보단 감염된 모든 PC를 교체하는 방식으로 시스템을 정상화했다.
또한 2019년 12월엔 뉴올리언스와 USCG(US Coast Guard)가 류크의 공격을 받아 피해를 입었으며, 2020년 3월 현재는 노스캐롤라이나 주 더럼의 시스템이 류크에 감염돼 일부 시스템을 중지한 상태다.
기업들이 입은 피해도 적지 않다. 2019년 10월엔 글로벌 우편 기업인 Pitney Bowes가 랜섬웨어 공격으로 서비스를 일부 중단했고, 2020년 1월에는 미국 국방부와 국토부 등에 각종 장비를 공급하는 EWA(Electronic Warfare Associates)의 웹서버가 류크에 감염됐다. 아울러 3월엔 글로벌 철강 기업인 EVRAZ가 감염돼 북미 지사를 마비시키고 캐나다와 미국 전역의 철강 생산 공장이 중단되는 사건이 발생했다.
공격 범위 넓히는 류크
최근 보안기업 소포스는 코로나19 확산 사태를 악용해 유포되고 있는 트릭봇(TrickBot) 악성코드를 발견했다. 세계보건기구(WHO)를 사칭한 이메일을 통해 이탈리아를 중심으로 유포되는 이 악성코드는 정보를 수집하고 최후엔 류크 랜섬웨어를 배포하기까지 한다.
트릭봇 사례는 류크가 이젠 특정 조직만을 노리는 것만이 아니라, 코로나19와 같은 민감한 이슈를 통해, 광범위하게 개인을 대상으로도 범죄를 일으키려 함을 시사한다. 아직 한국에서 발표된 류크 랜섬웨어 피해사례는 없지만, 악성코드를 예방하기 위한 개인의 보안인식 제고가 더욱 필요한 상황이다.
