사용자들을 속여 악성코드를 설치할 목적으로 보내지는 피싱메일 중 93% 랜섬웨어라는 결과가 나왔다. 이전까지 피싱메일이 사용자 정보를 훔쳐내거나 대상 PC, 노트북을 원격에서 조종하려는 목적으로 악용됐다면, 최근에는 대부분 악성메일들이 랜섬웨어 감염을 시도하고 있다는 설명이다.
그만큼 사이버 범죄자들 사이에 랜섬웨어나 좋은 수익을 내는 돈벌이 수단이 되고 있다는 뜻이다.
2008년 설립돼 기업에 대한 침투테스트, 침해사고대응 등 업무와 함께 사회공학기법에 대한 분석 등을 수행하고 있는 미국 보안 회사 피시미(PhishMe)에 따르면 조사 결과, 지난 3월 말까지 피싱 이메일 중 93%가 랜섬웨어를 포함하고 있었다.
피시미에 따르면 지난해 랜섬웨어는 매월 전체 피싱메일들 중 10% 이하 수준에 그쳤었다가 같은 해 말 56%까지 치솟았다가 올해 1분기에는 93%까지 폭증한 것이다. 건수로 따지면 지난 1분기 630만개 수준으로 지난해 4분기와 비교하면 3개월만에 789%가 늘어났다.
국내서는 1분기 동안 유포된 랜섬웨어가 전년 동기 대비 17배나 늘어난 것으로 집계됐다. 하우리는 올해 1 분기에 유포된 랜섬웨어 변종의 수가 963개에 달한다고 밝혔다.
랜섬웨어 공격이 급증하는 가장 큰 이유는 무엇보다 사이버 범죄자들이 다른 방식에 비해 랜섬웨어로 빠른 시간 안에 많은 수익을 얻을 수 있게 됐기 때문이다. 비트코인으로 거래를 하는 탓에 계좌추적이 되지 않는다는 점도 이들을 적발해내기 어렵게 만다는 이유 중 하나다.
CSO온라인에 따르면 이전까지 신용카드번호, 계좌번호 등 금융정보나 계정정보를 훔친 뒤 파는 형태의 비즈니스는 사이버 범죄자들의 직접적인 수익으로 이어지기까지 시간이 걸렸다. 훔쳐낸 정보를 팔아 현금화하는 과정이 복잡했던 탓이다.
보안회사 플래시포인트가 러시아 랜섬웨어 조직들을 대상으로 분석한 보고서에 따르면 월 평균 30개 랜섬웨어 감염 피해자들이 한 건 당 300달러 수준으로 결제를 하는 것으로 조사됐다. 이 말대로라면 사이버범죄조직이 얻는 한 달 수익은 9천달러 수준이다. 이 중 사이버범죄조직 책임자가 부하들에게 지불하는 비용을 제외하고 얻는 수익이 7천500달러에 달하는 것으로 파악된다.
그러나 랜섬웨어의 경우 대상 PC, 노트북 내 중요 파일들을 암호화한 뒤 이를 풀어주는 댓가로 1비트코인~2비트코인을 요구한다. 현재 비트코인 시세로 약 400달러~1천달러 수준을 지불할 것을 요청하는 것이다.
중소규모 기업들 입장에서는 데이터들을 원상복구하기 위해 백업서버를 구축하고, 데이터를 복원하는데 드는 시간이나 비용보다 차라리 공격자들에게 돈을 지불하는 것이 상대적으로 적은 피해를 입는 것이라는 판단이 작용한다.
랜섬웨어가 광범위하게 퍼질 수 있었던 이유 중 하나는 사이버 범죄자들이 이제는 특정 대상을 노리는 스피어피싱메일과 불특정 다수를 대상으로 하는 스팸메일 사이에 위치한 일명 '소프트 타깃(soft target)'을 노리기 때문이다.
관련기사
- 한국어 랜섬웨어 또 등장...벌써 세번째2016.06.06
- 악질 랜섬웨어 '테슬라크립트' 폐쇄...파일복구 가능해져2016.06.06
- 1분기 랜섬웨어 유포, 전년동기대비 17배 늘어2016.06.06
- 변종 랜섬웨어 급증, 지난 분기보다 24.4%↑2016.06.06
예를들어 특정 직업군을 노리면서도 대상들에게 최적화된 메시지를 보내는 방식으로 랜섬웨어를 믿을 수 있는 메일인 것처럼 위장한다. 스피어피싱이 특정 대상을 노리기 위해 주도면밀하게 오랜 시간 동안 준비가 필요했다면, 소프트 타깃을 노리는 수법은 이메일에 수신자의 이름을 거론하며 인사를 건내는 식이다. 주로 이력서, 영수증, 송장 등 정보를 첨부파일로 악용하는 추세다.
최근에는 랜섬웨어들도 유행을 타는 경향까지 생겼다. 지난해까지만해도 가장 많이 유포됐던 '크립토월'이 줄어드는 대신 록키, 테슬라크립트와 같은 랜섬웨어들이 폭발적인 성장세를 기록하는 중이다. 피시미 보고서에 따르면 지난해 10월~11월께 크립토월은 랜섬웨어 샘플 중 90%를 차지했지만 올해 3월께에는 록키가 75%를 차지했다.
