[김국배기자] 사이버 공격 중 하나인 '랜섬웨어'의 제작과 배포를 대행해 주는 서비스가 등장했다. 랜섬웨어 유포 방법이 다양해지고 악용하는 파일 형태도 늘어나고 있다.
안랩(대표 권치중)은 이같은 내용을 담은 '1분기 랜섬웨어 트렌드'를 6일 발표했다. 록키(Locky), 키레인저(Keranger) 등 올 1분기 국내외에서 발견된 주요 랜섬웨어 13종의 특징과 흐름을 분석한 결과다.
가장 큰 특징 중 하나는 랜섬웨어를 제작·배포하려는 사람을 대행해 주는 '랜섬웨어 서비스(Ransomware as a service·RaaS)'가 등장한 것이다. 이 제작자들은 랜섬웨어 전파, 감염 현황에 대한 정보를 제공하기도 한다.
감염자를 대상으로 현재 상황과 입금방법을 상담하는 '라이브챗' 기능을 탑재한 랜섬웨어도 생겨났다. 디자인을 정식 서비스처럼 수준 높게 구성해 피해자가 마치 '피해 구제 서비스'를 받는 것처럼 착각하도록 제작한 랜섬웨어도 발견됐다.
랜섬웨어 유포방식도 다양화되고 있다. 이메일 첨부파일, 메신저 등 고전적 기법에 각종 응용 프로그램, 운영체제(OS), 웹 취약점, 토렌트 서비스 등을 활용하는 방식까지 더해지고 있다.
유포 파일 형태도 확대됐다. 초기 랜섬웨어는 문서파일(.doc, .pdf)로 위장하거나 화면 보호기 파일(.scr)로 유포됐다. 올 1분기에는 기존 파일 형태 외 매크로와 자바스크립트 등을 악용하는 형태도 발견됐다.
최근 부상한 록키(locky) 랜섬웨어의 경우 미국, 일본, 중국 등 해외에서 온 송장(invoice), 지급(Payment) 등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도함으로써 랜섬웨어를 외부에서 다운로드 하는 방식이 발견됐다.
이후 첨부파일에 프로그래밍 언어인 자바스크립트(.js)를 포함시켜 실행 시 랜섬웨어를 다운로드하는 방식의 변종도 나타났다.
안랩 박태환 ASEC대응팀장은 "2013년부터 미국, 중국, 일본, 독일, 영국 등 글로벌 지역에서 피해를 기록한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴를 하는 등 나름의 실적을 위한 '서비스 체계'를 갖춰가고 있다"며 "따라서 앞으로 랜섬웨어는 더욱 교묘해지고 고도화할 가능성이 높아 법인 및 개인 사용자들의 주의가 필요하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기