본문바로가기

홈 > 커뮤니티 > 랜섬웨어뉴스

랜섬웨어뉴스

‘비주류 언어로 보안 무력화’…진화 거듭하는 랜섬웨어

2023-05-02 09:35:37

       

 

신동향 GO, RUST, Nim 등장…탐지 회피 쉬워
KARA “효율적 제작 가능…사례 증가할 것”
피해발생 수, 3월 464건…1월 대비 2배 이상


이노 스마트 플랫폼 프라이버시

 

[이뉴스투데이 김영욱 기자] 해커들은 효율적인 공격을 위해 조직화·고도화를 넘어 ‘비주류 언어’까지 활용해 랜섬웨어를 제작하며 피해를 일으키고 있어 문제로 지적된다.

26일 보안업계에 따르면 랜섬웨어 공격 그룹은 초기 침투, 피해자 확보, 탐지 우회 등에 다양한 수단을 사용하며 전략적인 공격을 취하고 있다. 이는 랜섬웨어 감염 성공을 위한 움직임으로 해석된다.

해커들 사이에서 급부상 중인 공격 전략은 비주류 언어인 것으로 확인됐다. 파이썬, 자바, C언어 등 기존 언어와 달리 GO, RUST, Nim 언어 등 비주류 언어를 사용하면 보안 솔루션 탐지를 회피하기 쉽기 때문이다.

비주류 언어로 개발된 랜섬웨어는 분석 데이터가 부족해 탐지 확률이 낮아 안정성을 보장, 뛰어난 동시성과 병렬성으로 빠르게 암호화가 가능하다는 점을 해커들이 이용하고 있는 것으로 알려졌다.

민간 랜섬웨어 대응 협의체 KARA(Korea Anti Ransomware Alliance)는 “GO, RUST, Nim 등 세 언어 모두 크로스 컴파일 기능을 보유하고 있다. 크로스 컴파일 기능은 본래 다양한 운영체제에서 활용 가능한 프로그램 제작을 돕는 것”이라며 “해커들은 다양한 타깃을 공략할 수 있는 랜섬웨어를 제작해 효율적인 공격을 수행할 수 있다. 앞으로도 다양한 비주류 언어를 사용해 탐지를 회피하고 분석을 방해하는 랜섬웨어들이 꾸준히 발견될 것”이라고 밝혔다.

비주류 언어로 개발된 랜섬웨어로는 다크빗(Darkbit), 다크 파워(Dark Power) 등이 존재하며 국내 보안업체 이스트시큐리티는 2023년 1분기 신규 발견·주목할 만한 랜섬웨어로 이들을 지목한 바 있다.

한 보안업계 관계자는 “전에 공격한 적 있는 랜섬웨어 그룹이 또 다시 공격하면 암호화키, 공격 유사성 등을 바탕으로 빠르게 해석·해결할 수 있다. 그러나 비주류 언어 랜섬웨어는 상대적으로 긴 시간이 소요돼 분석하는 동안 공격을 받을 시 데이터가 없어 빠르게 대처할 수 없다는 문제가 있다”고 말했다.

해커들은 비주류 언어 기반 랜섬웨어 개발뿐 아니라 오래된 취약점 악용, 다크웹 운영 등 이중 협박 전략도 사용해 피해가 증가하고 있다. 공격 다변화로 랜섬웨어 피해 수도 급증하는 추세다.

KARA에 따르면 △1월 209건 △2월 260건 △3월 464건으로 3월의 경우 1월에 비해 2배 이상 피해가 발생했다.

이는 Clop 랜섬웨어 그룹이 지난 2~3월 간 파일 전송 소프트웨어인 GoAnyWhere MFT의 제로데이 취약점을 악용해 다수의 기업에 피해를 끼쳤기 때문이다. 제로데이 취약점은 발견 후 보안패치 배포 전까지의 취약점을 뜻하며 해커들은 해당 취약점으로 랜섬웨어, 피싱, 디도스 등 공격이 가능하다.

현재 세계적으로 100여곳의 기업에서 피해가 확인됐으며 향후 추가 피해자가 발견될 수 있을 것으로 KARA는 내다보고 있다.

한편 국내의 경우 국내기업 및 불특정 다수를 타깃으로 한 랜섬웨어 공격이 여럿 발견되고 있다.

지난 2017년부터 우리나라를 타깃으로 하고 있는 Magniber 랜섬웨어는 윈도우 인스톨러(MSI)를 위장해 유포되고 있으며, LockBit 2.0 랜섬웨어는 2021년부터 이력서나 저작권 사칭 메일을 통해 유포됐으며 1분기에도 유사하게 공격한 것으로 확인됐다.

 

 

 

[ 이뉴스투데이 ] 김영욱 기자원문보기