파이어아이, 록키 랜섬웨어 유포 대규모 이메일 공격 포착

송고 2016.08.24 16:29 | 수정 2016.08.24 16:29
김언한 기자 (unhankim@ebn.co.kr)

미국 일본에 이어 우리나라 집중 타깃

록키(Locky) 랜섬웨어가 대량 유포되면서 우리나라가 집중 공격의 대상이 된 것으로 나타났다.

24일 파이어아이에 따르면 8월부터 록키 랜섬웨어를 유포하는 대량의 이메일 공격이 포착됐다. 우리나라는 전 세계에서 세 번째로 해당 랜섬웨어 유포 시도가 가장 많이 탐지됐다.

파이어아이 측은 “록키 랜섬웨어가 DOCM 포맷의 첨부파일을 통해 대량으로 유포되기 시작한 정황을 포착했다”고 밝혔다.

이번 공격은 지난 3월 이뤄진 대규모 공격과 비교해 공격 기법적으로 변화했다는 게 파이어아이 측의 설명이다.

록키 랜섬웨어는 일반적으로 자바스크립트 기반 다운로더를 통해서 유포돼 시스템을 감염시켰다. 사이버 범죄자들은 랜섬웨어를 이용해 부당 이익을 얻기 위해 지속적으로 공격 방법을 변화시키고 감염 시도를 늘리고 있는 상황이다. 우리나라는 이 공격에 미국, 일본 다음으로 가장 많이 노출됐다.

산업별로는 비교적 다양한 산업군 중 헬스케어 산업이 집중 공격 대상이 됐다.

파이어아이는 지난 9일, 11일 15일에 DOCM포맷의 첨부파일을 통한 랜섬웨어 유포가 두드러졌다고 강조했다.

공격에 사용된 매크로 코드는 △각 이메일 공격은 악성 멀웨어 서버로부터 록키 랜섬웨어 페이로드를 다운받기 위해 사용되는 일회용 특정 공격 코드를 가짐 △매크로 코드 안에 포함된 악성 URL은 각 공격마다 같은 인코딩 함수를 이용해 인코딩됐지만 다른 키를 이용 △다운로드된 페이로드는 32바이트의 롤링 XOR키를 이용해 인코딩되며 각 공격마다 다른 키를 사용 등의 유사점을 가지고 있다.

전수홍 파이어아이 코리아 지사장은 “록키 랜섬웨어의 대량 유포가 또 다시 시작돼 우리나라가 공격의 집중 타깃 국가가 돼 각별한 주의가 필요하다”며 “함부로 이메일 첨부파일을 실행할 시에 랜섬웨어 감염의 위험에 처할 수 있음은 물론 기업의 비즈니스에도 치명적인 피해가 전해질 수 있다는 것을 명심해야 한다”고 당부했다.

USD$	1381.1	▼1.9
EUR€	1473.4	▼2.5
JPY¥	894.7	▼1.3
CNY¥	190.7	▼0.3

파이어아이, 록키 랜섬웨어 유포 대규모 이메일 공격 포착

관련기사

전체 댓글 0

매매기준율