랜섬웨어 왕좌 '케르베르' 주춤세...랜섬웨어 유포 양상 변화

지난해 이후 가장 많이 유포되던 케르베르(Cerber) 랜섬웨어가 올해 소강상태다. 9월 이후 케르베르 랜섬웨어 수집 건수가 확연히 줄었다. 보안 전문가는 케르베르가 일시적 소강상태를 보이는 것만으로 긴장을 늦춰선 안 된다고 분석한다.

13일 안랩에 따르면, 지난 9월 랜섬웨어 샘플·수량 모두 급감한 가운데 케르베르 랜섬웨어 샘플이 많이 줄었다. 안랩은 9월 전체 랜섬웨어 샘플이 지난달 대비 68%, 감염 보고 수는 36% 감소했다고 집계했다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

안랩은 케르베르 랜섬웨어가 급감한 것이 영향을 끼쳤다고 분석했다. 9월에 집계한 케르베르 샘플은 전달 대비 43% 감소했다. 감염 보고수도 55% 줄었다. 이 같은 경향은 10월·11월에도 유지된다.

안랩은 “9월 23일 이후 케르베르는 더 이상 수집되고 있지 않다”고 밝혔다. 올해 3분기 동안 케르베르 랜섬웨어는 꾸준히 약화됐다. 안랩에 따르면, 케르베르 랜섬웨어 감염은 지난 1월 11만건에 이르렀지만 지난 9월에는 2만건 수준으로 급감했다.

보안업체 소포스랩도 2분기 이후 기준 워너크라이(WannaCry)가 케르베르를 제쳤다고 분석했다. 소포스랩이 4월 1일부터 지난달 3일까지 악성코드 분석 결과. 워너크라이는 추적된 모든 랜섬웨어의 45.3%를 차지해 1위를 기록했다. 케르베르는 44.2%로 뒤를 이었다.

케르베르 랜섬웨어는 국내외에서 가장 활발히 활동하는 랜섬웨어로 알려졌다. 지난해 3월 처음 출현했다. 파일암호화를 음성으로 안내하는 점이 특징이다. 이메일, 멀버타이징(Malvertising), 드라이브 바이 다운로드(Drive-by-downloads) 등 다양한 방식으로 유포된다. 보안업계는 케르베르가 워낙 다량으로 유포되는 탓에 관련 조직이 배후에 있을 것이라고 추정한다.

보안업계 전문가는 “케르베르는 세계적으로 가장 많이 유포되는 랜섬웨어”라면서 “이메일은 기본으로 유포되고 멀버타이징, 드라이브 바이 다운로드도 활용한다. 조직적으로 유포되는 것으로 보인다”고 말했다.

케르베르 감소로 랜섬웨어 감염·유포 양상이 변화될지 주목된다. 안랩은 케르베르 악성코드가 매그니버로 변경돼 10·11월 꾸준히 변형이 제작된다고 분석했다.

록키 랜섬웨어는 상승세다. 안랩에 따르면, 3분기 기준 록키 감염수는 샘플수 대비 140% 가량 많았다. 악성 스팸메일, SWF 취약점 등으로 주로 유포됐다. 보안업체 아비라는 최근 마이크로소프트(MS) 워드로 위장한 록키 랜섬웨어를 발견했다.

이 같은 랜섬웨어 변화상은 장기적으로 더 지켜봐야 한다는 분석이다. 보안업계 전문가는 “랜섬웨어는 주식시장이 출렁이듯 움직인다. 케르베르 랜섬웨어도 일시적으로 소강상태이다”면서 “아직 안심할 단계는 아니고 장기적으로 추이를 지켜봐야 한다”고 전했다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com

위방향 화살표