이스트시큐리티 시큐리티대응센터(ESRC)는 '알약'이 지난해 4분기 5만9162건의 랜섬웨어 공격을 차단했다고 26일 밝혔다.
이는 하루 평균 643건에 달하는 규모다. 랜섬웨어 공격은 연말로 갈수록 증가했다. 월별로 10월 1만9021건, 11월 1만9308건, 12월 2만833건으로 집계됐다.
ESRC는 4분기 랜섬웨어 공격이 양적 증가와 함께 공격 방식에서도 뚜렷한 변화를 보였다고 분석했다. 가장 두드러진 특징은 보안 솔루션 무력화를 노린 공격 시도가 늘었다는 점이다.
공격자는 정상적으로 서명된 취약 드라이버를 악용해 시스템 깊숙이 침투한 뒤 백신과 보안 프로그램을 강제로 종료하는 방식으로 탐지를 회피했다. 이른바 '취약 드라이버 악용 기법(BYOVD)'으로 파일 암호화 이전 단계에서 방어 체계를 무너뜨리는 공격이 본격화되고 있다는 평가다.
랜섬웨어의 공격 대상도 확대됐다. 개인 PC나 기업 내부 서버를 넘어 AWS S3와 같은 클라우드 스토리지가 새로운 표적으로 떠올랐다. ESRC는 계정 정보가 탈취될 경우 클라우드에 저장된 데이터 전체가 암호화될 수 있으며, 공격자가 복호화 키 제공을 조건으로 금전을 요구하는 사례가 확인됐다고 밝혔다.
국제 공조 수사로 위축됐던 '락빗(LockBit)' 랜섬웨어 조직은 '락빗 5.0'을 공개하며 활동을 재개했다. 윈도·리눅스·ESXi 등 다양한 환경을 동시에 노리고 파일 확장자를 무작위로 바꿔 탐지를 회피하는 방식이다. 동시에 랜섬웨어 조직 간 전략적 동맹이 늘면서 공격 도구와 인프라 공유가 확산되고 피해 규모도 커질 가능성이 제기되고 있다.
ESRC는 랜섬웨어가 보안 솔루션 무력화와 클라우드 공격까지 시도하는 단계로 진화한 만큼, 계정 접근 권한 관리 강화와 오프라인 백업 체계 구축이 피해 최소화를 위한 핵심 대응책이라고 강조했다.
박진형 기자 jin@etnews.com
