암호화폐 시세 따라 치고 빠지고…다시 고개드는 랜섬웨어

최근 금전을 노린 사이버 공격 대부분이 암호화폐를 타깃으로 하면서 암호화폐 시세 변화에 따라 공격 방식이 달라지는 양상을 띤다.

보안 업계에 따르면, 암호화폐 시세가 오를 때는 사용자 PC에 채굴 프로그램을 몰래 설치해 이득을 편취하는 ‘크립토재킹' 공격이 눈에 띄게 늘어나는 경향을 보인다. 같은 시간 동안 채굴할 수 있는 암호화폐 양은 정해져 있지만, 시세 차익으로 더 높은 이익을 볼 수 있기 때문이다.

IBM 엑스포스 보안연구소가 발간하는 연례보고서 ‘2019 IBM 엑스포스 위협 인텔리전스 인덱스'를 보면, 2018년 한 해 동안 발생한 크립토재킹 공격 건수는 랜섬웨어 공격 건수의 2배에 달한 것으로 조사됐다.

랜섬웨어는 사용자 PC 내 주요 파일을 무단으로 암호화하고, 이를 풀어주는 조건으로 암호화폐를 요구하는 악성코드다. 크립토재킹 공격이 유행하기 전까지는 몇 년간 최악의 악성코드로 꼽혔다. 2017년 전 세계를 강타한 ‘워너크라이'가 대표적이다.

보고서에 따르면, 2018년 4분기 랜섬웨어 공격은 1분기와 비교해 45% 감소했다. 반면, 크립토재킹 공격 비중은 같은 기간 4배 이상 증가했다. 작년 말 일시적으로 암호화폐 가격이 폭등하면서 시세 차익을 노린 공격 방식의 변화가 있었음을 알 수 있는 대목이다.

올해 들어서는 또 한번 양상이 바뀌는 모습이다. 암호화폐 시세가 급락하면서 다시 랜섬웨어가 수면 위로 고개를 든 것이다. 보안 업계는 랜섬웨어로 인해 암호화폐 구매 수요가 늘면 암호화폐 시세가 다시 올라갈 확률이 높아지고, 시세가 오르면 자연스럽게 다시 크립토재킹 공격 비중이 높아지는 사이클이 반복될 것으로 내다본다.

최근 랜섬웨어 공격자의 특징은 불특정 다수의 개인을 노리기보다 기업을 대상으로 크게 ‘한 방'을 노린다는 점이다. 실제로 유럽에서는 대규모 공장을 운영하는 제조사를 대상으로 한 ‘록커고가(LockerGoga)’ 랜섬웨어에 피해를 입은 사례가 빈번하다. 국내에서는 아직 해당 랜섬웨어에 의한 피해가 보고되지 않았지만, 언제 상륙할 지 모르는 만큼 기업에서는 각별한 주의가 필요하다.

이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 3월 28일 열린 ‘글로벌 정보보호 트렌드 세미나'에서 "신종 랜섬웨어가 제조업 기반 중소기업을 감염시키는 사례가 많이 보고되는데, 일부는 중앙 컨트롤러를 통한 대량 감염을 시도한 사례도 있었다"며 "사이버 범죄자 입장에서는 랜섬웨어가 좋은 비즈니스 모델이기 때문에 쉽게 근절되지는 않을 것으로 보인다"고 말했다.

기업 대상 공격이 늘고 있다고는 하지만, 개인도 여전히 예외는 아니다. 특히 지난해부터 극성을 부린 ‘갠드크랩’ 랜섬웨어에 이어 최근에는 파일 암호화는 물론, 추가로 개인정보까지 유출하는 변종 랜섬웨어까지 잇달아 등장했다.

2일 안랩에 따르면, 최근 국내에서 유포되는 정황이 포착된 ‘스톱’ 랜섬웨어의 경우 기존 랜섬웨어와 같이 사용자 PC 내 주요 파일을 암호화한 후 암호화폐를 요구하고, 나아가 사용자 몰래 정보 유출 악성코드까지 무단 설치한다. 이 악성코드는 사용자 PC에 저장된 비밀번호, 시스템 정보는 물론 암호화폐 개인 키까지 탈취한다. 탈취를 위한 개인정보 파일은 암호화 대상에서 제외시키는 치밀함도 갖췄다.

안랩 ASEC대응팀 박태환 팀장은 "스톱 랜섬웨어는 암호화 이후 돈을 요구하는 전형적인 악성 기능에 정보수집 및 유출에 특화된 악성코드가 합쳐진 것이 특징이다"며 "피해자는 파일 몸값 지불 요구와 유출된 개인정보를 악용한 금전 피해를 동시에 당할 수 있어 더욱 조심해야한다"고 말했다.