최종편집시간 : 2017년 09월 19일 17:02
EBN
페이스북 트위터 네이버뉴스스탠드
실시간 News

랜섬웨어 ‘케르베르’, 최대 악성코드 악명…국내 시장 노린다

지난해 하반기 전체 랜섬웨어 종류별 비중 중 과반수 이상
이메일 첨부된 자바스크립트 파일 통해 유포

김언한 기자 (unhankim@ebn.co.kr)

등록 : 2017-01-12 00:00

▲ '케르베르' 랜섬웨어 감염 시 나타나는 화면 안내문.ⓒEBN

지난해 3월 최초 등장한 '케르베르(Cerber)' 랜섬웨어가 무서운 여세로 확산 조짐을 보이고 있다. 아시아태평양 지역을 주로 타깃으로 하고 있어 국내 사용자들의 주의가 요구된다.

11일 관련업계에 따르면, 말하는 랜섬웨어로 유명세를 탄 케르베르 랜섬웨어가 기승을 부리고 있다. 악명높은 '록키(Locky)' 랜섬웨어를 밀어내고 최대 악성코드로 등극했다.

케르베르는 안내 페이지 뿐 아니라 음성으로 감염 사실을 사용자들에게 알리는 것이 특징이다. 이메일에 첨부된 자바 스크립트(JS) 파일을 통해 유포된다.

한국인터넷진흥원(KISA)에 따르면, 지난해 하반기 전체 랜섬웨어 종류별 비중 가운데 케르베르는 52%를 차지해 급속도로 확산 경향을 보였다. 같은해 상반기 케르베르 랜섬웨어 비중은 13%에 불과했지만 단기간 내 39%가 확대됐다. 상반기 록키 랜섬웨어 비중은 79%에서 하반기 24%로 축소됐다.

KISA는 이에 대해 케르베르는 '서비스형 랜섬웨어(RaaS)'의 대표적인 사례라며 업데이트를 통해 지속 관리가 이뤄져 영향력을 확장하고 있다고 분석했다.

RaaS는 랜섬웨어에 대한 제작 및 유포를 대행해주는 일종의 불법 서비스다. 랜섬웨어를 통해 수익을 얻고자 하는 공격자는 대행업자에게 의뢰해 맞춤형 랜섬웨어를 구매, 유포한다.

업계 관계자는 "RaaS 시장은 수요와 공급의 법칙에 의해 생태계가 조성돼 올해 전세계 사이버 보안의 위험성을 더 키우게 될 것"이라며 "랜섬웨어는 공격 성공 시 얻게 되는 수익이 크기에 RaaS은 장기적인 보안 위협이 될 수 있다"고 말했다.

랜섬웨어 확산 경향에 따라 지난해 피해신고도 늘었다. 2015년 770건에서 작년 1438건으로 전년대비 86.8% 증가했다. 특히 지난 4분기 두드러진 경향을 보였다. 4분기 피해접수는 3분기 197건에서 712건으로 폭발적으로 증가했다.

케르베르 아시아태평양 지역에서 가장 맹위를 떨치는 랜섬웨어다. 지난해 3월 등장해 12월까지 10차례 이상 버전이 업데이트됐다.

케르베르 3.0 버전까지는 암호화된 파일의 학장자를 '.cerber'로 변경했지만 4.0 버전은 확장자가 임의의 4자리 문자로 변경되거나 아예 이를 제거했다.

4.1.5 버전은 랜섬웨어 감염 시 주어진 시간 내 비트코인 납부를 하지 않을 경우 복호화 비용을 추가했다. 유포 방식에는 멀버타이징 방식이 추가됐다.

이밖에 4.1.6 버전은 사물인터넷(IoT) 기기 확대 추세에 따라 봇넷에 연결해 디도스(DDOs) 공격을 수행하는 기능이 추가되는 등 공격의 지능화 경향이 분명해졌다.

업계 관계자는 "올해 랜섬웨어는 더욱 진화해 교묘한 방법을 이용, 영역을 더 확장할 것으로 예상된다"며 "백신을 최신으로 업데이트하고 다양한 무료 솔루션들을 활용해 예방하는 것이 사용자 입장에서 최우선 과제"라고 밝혔다.