2018년 랜섬웨어 동향

최근 몇 년 동안 기승을 부리던 랜섬웨어의 전체적인 세력은 2018년에는 다소 약화되었다. 2018년 한해 동안 안랩에 접수된 샘플 수는 120만건으로, 이는 지난해 147만건에 비해 18.3% 감소한 수치다. 다만, 감염 리포트 건수는 84만5천건으로 전년의 83만2천건보다 1.5% 정도만 증가했다. 감염 리포트 소폭 증가 원인은 2018년 상반기에 케르베르(Cerber), 매그니베르(Magniber), 갠드크랩(GandCrab) 등의 랜섬웨어로 인한 피해가 많았기 때문이다.  

샘플 건수의 감소 원인은 악성코드 제작자들은 랜섬웨어보다는 암호화폐 채굴과 관련이 있는, 일명 마이너(Miner)라고 불리는 악성코드의 제작과 유포에 더 관심을 가지고 있는 것으로 보인다. 실제로 2018년은 랜섬웨어보다는 '마이너 악성코드의 한 해'라고도 할 수 있다. 이 악성코드 유형은 월평균 무려 25만건이 보고 되었으며 랜섬웨어는 월평균 10만건이 보고 되었기 때문이다. (참고로 마이너 악성코드 동향은 추후 ASEC 블로그를 통해 소개할 예정이다.)

[그림1] 2017.01 ~ 2018.12 랜섬웨어 통계 (샘플 및 감염 리포트 건수)

2018년 4분기 샘플 건수는 3분기 대비 43.5% 증가한 42만8천건으로 집계되었다. 반면, 감염 리포트 건수는 7만6천건으로 3분기 12만6천건에 비해 39.6% 감소했다. 샘플 건수의 증가 원인은 바이러스 증상을 갖는 나부커(Nabucur) 랜섬웨어 변형이 증가했기 때문이다. 더불어 감염 리포트 건수가 없거나 매우 적은 ‘기타’로 분류된 랜섬웨어군의 샘플이 증가한 것도 원인으로 작용했다.

4분기 감염 리포트 건수는 7만6천건으로 2016년부터 통계를 집계한 이후로 가장 낮은 수치를 기록했다. 특히 2018년 12월은 8천6백건으로, 5만8천건인 전년 동월에 비해 무려 85% 감소한 것으로 나타났다. 2018년 감염 리포트 건수는 매월 평균 7만건씩 발생했으나, 12월에는 1만건도 못미치는 수치가 보고되었다. 일반적으로 매년 12월은 연말연시 특수로 인하여 악성코드 유포와 감염이 증가 하는 것으로 알려졌다. 그런데 2018년 12월의 경우, 랜섬웨어는 급격히 줄어들었다. 그 이유가 무엇일까? 인과관계가 명확하지는 않지만 서두에도 언급했듯이 마이너 악성코드의 갑작스러운 증가가 그 원인이 아닐까라고 추정해본다. 마이너 악성코드 유형은 2017년말과 2018년 1분기 폭발적으로 증가 했다. 그리고 2018년 3분기 대비 4분기에도 샘플 건수와 감염 리포트 건수가  증가 하였는데 유독 12월에 집중 되어 있었다. 그러나 이전 동향에서도 언급했듯이 랜섬웨어의 공격 양상이 국지적으로 나타나고 있기 때문에 조금도 안심 해서는 안 된다. 국내에서는 매그니베르와 갠드크랩이 끊임 없이 활동하고 있으며, 지난 2018년 3분기에 처음 보고된 류크란(Ryukran) 랜섬웨어는 12월중 미국 지역내 피해가 많은 것으로 알려졌다.

 

2018년 4분기에도 가장 많은 샘플 및 감염 리포트 건수를 차지하는 랜섬웨어는 갠드크랩(GandCrab)으로 확인됐다. 그러나 샘플 건수와 감염 리포트 건수는 모두 3분기 대비 각각 81.4% 와 4.3% 감소한 것으로 파악되었다. 아래 [그림 2]에서 볼 수 있듯이 2018년 4분기 감염 건수가 샘플 건수보다 약간 높은 곳에 위치 하기 때문에 감염된 시스템이 많은 것으로 나타나고 있다. 해당 랜섬웨어는 다양한 유포 방식을 사용하는 만큼 웹으로부터 파일을 다운로드 받거나 메일을 통해서 첨부된 파일을 실행 시 주의가 필요하다. 최근에는 V3 Lite 를 비롯하여 국내 무료 안티 바이러스 제품을 정상적으로 사용하지 못하도록 하는 방법을 계속 시도 중에 있다. 따라서 메일내 의심스러운 첨부파일이 있는 경우 악성유무를 확인하고 싶다면 안랩닷컴(www.ahnlab.com) 내 악성코드 신고센터로 파일을 보내면 된다.

[그림2] 2018.01 ~ 2018.12 GandCrab 샘플 및 감염 리포트 추세

다음은 2018년 랜섬웨어 샘플 수량에 대한 Top10 비율이다. 이 자료에는 나부커(Nabucur)를 포함하여 감염 리포트 건수가 현저히 

낮아 ‘기타’로 분류되는 랜섬웨어군은 제외하고 있음을 밝힌다.

[그림3] 2018년 랜섬웨어 Top 10 샘플 비율

2018년 최악의 랜섬웨어는 갠드크랩으로 확인되었다. 갠드크랩은 2018년 1월 처음 등장 했고 한 해 동안 발견된 랜섬웨어 가운데 53% 정도의 비율을 차지한 것으로 집계되었다. 2위로는 파일리스(Fileless) 형태로 은밀하게 활동하는 매그니베르가 그 뒤를 이었다. [그림 3]에서의 특이사항으로는 지난 2017년 5월 사회적으로도 큰 이슈가 되었던 워너크라이(Wannacry) 랜섬웨어가 Top3 에 포함된 것이다. 특히 3분기 대비 4분기에 큰 폭으로 샘플과 감염 리포트 건수 모두 증가했다. 워너크라이는 윈도우 취약점 (MS17-010)을 이용하여 네트워크로 자기 자신을 전파한다. 이러한 유포 방식을 보았을 때 여전히 보안패치를 하지 않는 시스템이 많은 것으로 보인다. 대부분의 악성코드가 사용자의 호기심에 의한 클릭이 아니라면 취약점을 이용하여 감염 되므로 윈도우를 비롯한 사용하는 모든 소프트웨어는 항상 최신버전으로 유지 할 필요가 있다.