안랩이 코로나바이러스감염증-19(이하 코로나19)가 유행한 기간 동안 ‘BlueCrab 랜섬웨어(이하 블루크랩 랜섬웨어)’ 유포에 쓰인 키워드를 분석해 발표했다.

안랩은 코로나19가 유행한 최근 5개월여(2020.1.1~2020.5.25) 간 V3 사용자가 다수의 블루크랩 유포 피싱 사이트에서 받은 파일명을 기반으로, 공격자가 활용한 키워드를 도출해 이를 카테고리별로 분석했다.

* 카테고리 내 개별 키워드는 일/월별로 조금씩 변형되므로 카테고리로 분류
* 블루크랩 랜섬웨어 공격자는 사용자가 검색사이트에서 특정 키워드로 검색을 하면, 공격자가 만든 피싱사이트 및 악성 파일(사전에 보안이 취약한 정상 웹서버를 해킹해 업로드)이 검색 결과에 노출되도록 설정해 사용자를 유인하는 수법을 주로 사용.

- 전체 기간 TOP 3 카테고리: 업무관련 SW다운로드, 게임, 동영상
전체 기간 중 키워드 비중은 ‘업무관련 SW(설계 및 통계 프로그램/이미지 및 문서 프로그램/뷰어 등) 다운로드’ 카테고리가 전체의 30%로 가장 높았다. 이어 ‘게임(설치파일/게임 패치/게임 핵 등)’ 카테고리가 22%, '동영상(영화 및 드라마 파일/동영상 플레이어 코덱 등)’ 카테고리가 11%를 각각 기록했다. 이어 온라인 교육 관련(10%), 음악(5%), 책/만화(5%), 소셜 미디어(1%) 카테고리 순으로 집계됐다.

가장 많이 활용된 키워드 카테고리 TOP 3(업무관련 SW다운로드, 게임, 동영상)를 합치면 전체의 63%를 차지한다. 이는 공격자가 코로나19로 인한 원격근무나 온라인 수업에 사용되는 SW, 실내 여가활동 등에 연관된 키워드를 주로 활용한 것으로 풀이된다.

- 온라인 개학 시기: 온라인 교육 관련 키워드 증가
특히 코로나19로 인해 ‘온라인 개학’이 시행된 4월에 온라인 교육 관련 키워드가 증가한 것으로 나타났다. 4월 한달 기준 OO교과서/구글 클래스룸/웹캠 드라이버 등 ‘온라인 교육 관련’ 키워드 카테고리의 비중이 3월 대비 두 배 가량 증가(6→13%)했다. 또한 해당 카테고리 내 ‘구글 클래스룸(원격 수업 프로그램)’ 키워드가 새롭게 등장하는 등 공격자는 4월 온라인 개학 이슈를 적극 활용했다. 온라인 개학 관련 키워드 카테고리는 전체 기간(1~5월)기준으로도 10%를 차지해 4위를 기록했다.

이외에도 공격자는 블루크랩 랜섬웨어 유포를 위해 사회에서 관심을 끌고 있는 트렌드를 키워드에 반영했다. TV 프로그램 등으로 트로트 가요 장르가 인기를 끌자 ‘트로트 메들리 mp3’, ‘△△△(특정 트로트 노래 제목)’, ‘OOO(유명 트로트 가수 이름)’ 등 트로트 가요와 관련된 유포 키워드가 등장했다. ‘닌텐도 스위치 동물의 숲 에디션’이 국내에서 선풍적인 인기를 끌자, 관련 키워드 활용하기도 했다.

이러한 피해를 예방하기 위해서는 ▲의심되는 웹사이트 방문 자제 ▲정품인증 SW 및 콘텐츠 다운로드 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 주기적 검사 ▲중요 데이터는 별도 보관장치에 백업 등의 보안수칙을 준수해야 한다. 

안랩은 “코로나19 국면이 이어지는 가운데, 공격자는 앞으로도 관련 키워드를 활용해 '블루크랩 랜섬웨어'를 유포할 것으로 보인다”며, “따라서 사용자는 평소 포털 검색으로 파일을 다운로드할 때 공식 사이트 여부를 꼼꼼히 확인하고 백신을 최신으로 유지하는 등 기본 보안수칙을 준수하는 것이 무엇보다 중요하다"고 말했다.