랜섬웨어, 2016년 1분기에 새로운 변종 14% 증가

올해 1분기에는 랜섬웨어 관련 뉴스가 APT 공격을 뛰어넘으며 보안 업계의 주요 화두로 떠올랐다.

카스퍼스키랩의 1분기 악성 코드 보고서에 따르면 1분기에 탐지된 새로운 악성 코드 변종은 2900개였으며 이는 지난 분기보다 14% 증가한 수치다. 현재 카스퍼스키랩의 데이터베이스에 등록된 랜섬웨어 변종의 수는 약 1만5000개에 이르며 이 숫자는 앞으로도 증가할 것으로 전망된다.

2016년 1분기에 카스퍼스키랩 보안 솔루션이 차단한 랜섬웨어 공격은 37만2602건이었으며 그 중 17%는 기업 사용자를 노린 공격이었다. 공격받은 사용자 수는 2015년 4분기 대비 30% 증가했다.

2016년 1분기에 가장 널리 퍼진 랜섬웨어는 Locky였다. 카스퍼스키랩에서는 114개국에서 Lockyf를 탐지했으며 2016년 5월 초인 현재에도 이 악성 코드는 여전히 활동중이다.

Petya라고 불리는 또 다른 랜섬웨어는 기술적인 측면에서 주목을 받았다. 컴퓨터에 저장된 데이터를 암호화할 뿐 아니라 하드 디스크 드라이브의 마스터 부트 레코드(MBR)에 덮어쓰기까지 할 수 있었기 때문이다.

따라서 감염된 컴퓨터는 운영 체제를 부팅할 수조차 없었다. 카스퍼스키랩의 탐지 현황을 보면 1분기 상위 3개 랜섬웨어는 Teslacrypt(58.4%), CTB-Locker(23.5%), Cryptowall(3.4%)이며 모두 악성 첨부파일이나 감염된 웹 페이지 링크가 포함된 스팸 이메일을 통해 주로 유포됐다.

이창훈 카스퍼스키랩코리아 지사장은 “랜섬웨어가 이렇게까지 유행한 까닭은 범죄 수익 모델의 단순성에 있다. 일단 사용자의 시스템이 랜섬웨어에 감염되면 암호화된 데이터를 복원하기가 쉽지 않다. 또한 익명으로 전달되는 비트코인을 이용해 대가를 지불하기 때문에 추적하기도 어려워 범죄자들이 더욱 선호하고 있다. 더구나 수수료를 받거나 범죄 수익을 나누는 조건으로 악성 코드를 유포해주는 랜섬웨어 서비스(RaaS) 비즈니스 모델도 위협적인 수준이다”고 말했다.

랜섬웨어 공격이 증가하는 이유는 또 있다. 바로 사용자들이 랜섬웨어 공격은 불가항력이라고 믿는다는 점이다. 개인뿐만 아니라 기업도 랜섬웨어를 막을 수 있는 대응 기술이 있다는 것을 모른다. 또한 기본적인 IT 보안 규칙을 무시해 사이버 범죄자들에게 이용당할 틈을 스스로 내어주기도 한다.

카스퍼스키랩에서는 랜섬웨어의 급증 추세에 대해 간략히 정리하면서 2016년 1분기의 사이버 보안 위협에 대한 전반적인 통계를 작성했다.

카스퍼스키 시큐리티 네트워크 데이터에 의하면 2016년 1분기 악성 코드 상황을 살펴보면 카스퍼스키랩 제품은 컴퓨터 및 모바일 기기에서 악성 코드 공격을 총 2억2800만건 차단했다.

또 웹 기반 공격을 한 번 이상 경험한 인터넷 사용자는 전체 사용자 중 21.2%였으며 이는 2015년 4분기보다 1.5% 감소한 수치다.

이와 함께 악성 코드 공격을 한 번 이상 경험한 카스퍼스키랩 솔루션 사용자는 전체 사용자 중 44.5%며 이는 2015년 4분기보다 0.8% 증가한 수치다.

뿐만 아니라 카스퍼스키랩 솔루션은 인터넷 뱅킹 서비스에 접속해 돈을 훔치려는 사이버 범죄 시도로부터 459,970명의 사용자를 보호했다. 이는 지난 분기에 비해 23% 감소한 수치다.

더불어 악성 코드 유포에는 지속적으로 어도비 플래시 플레이어와 인터넷 익스플로러, 자바의 취약점이 악용됐다. 자바 취약점을 악용한 공격은 빈도가 줄었다.

카스퍼스키랩의 통계에 따르면 자바 취약점 공격은 2015년 4분기 대비 3.3% 낮아졌으며 1분기 취약점 악용 통계에서 전체의 8%를 차지했다. 동일한 통계에서 플레시의 취약점 악용(1% 증가, 전체에서 6%)과 MS 오피스의 취약점 악용(10% 증가, 전체에서 15%)은 증가 추세인 것으로 나타났다.

1분기의 주요 모바일 사이버 위협에 따르면 1분기 전체 모바일 위협에서 애드웨어는 42.7%를 차지해 가장 심각한 위협으로 드러났으며 지난 분기보다 13% 증가한 것으로 나타났다.

신종 모바일 트로이목마는 4,146개가 탐지됐으며 이는 지난 분기보다 1.7배 증가한 숫자다. SMS-트로이목마도 증가하는 추세다.

신종 모바일 랜섬웨어도 2015년 4분기에는 1984개, 2016년 1분기에는 2895개로 1.4배 증가했다.

공격을 가장 많이 받는 나라는 중국으로 나타났다. 중국에 있는 카스퍼스키랩 보안 솔루션 사용자 중 40%가 모바일 위협을 경험했다. 중국 다음으로는 방글라데시(28%)와 우즈베키스탄(21%)이 뒤를 이었다. 가장 안전한 나라는 대만(2.9%), 호주(2.7%), 그리고 일본(0.9%)이었다.