[데이터넷] 올해 상반기 랜섬웨어 평균 몸값이 57만달러(약 6억6000만원)으로, 지난해보다 171% 상승했으며, 가장 큰 규모의 피해는 육가공 업체 JBS SA건으로 1100만 달러를 지불한 것이었다. 또한 공격자가 요구하는 몸값은 평균 530만달러로, 지난해 평균보다 5배 증가했다.

이는 팔로알토 네트웍스 사이버 보안 위협 연구기관 유닛42의 ‘2021년 상반기 랜섬웨어 위협 조사’에 따른 것으로, 단일 건 중 최고 요구 몸값은 5000만달러에 달했다. 지난해는 3000만달러를 요구한 사고가 가장 큰 규모였다. 카세야 관리 소프트웨어를 이용한 레빌 랜섬웨어는 피해입은 조직에게 7000만달러를 요구했다가 5000만달러로 인하하기도 했다.

랜섬웨어 복합공격 유행

올해 상반기 확인된 주요 랜섬웨어 공격은 4가지로 요약할 수 있으며, ▲키 파일을 암호화해 스크램블링 된 데이터와 작동이 중단된 컴퓨터 시스템에 접근하기 위해 몸값을 지불하도록 한 공격 ▲몸값을 지불하지 않으면 민감한 정보 공개 ▲피해 조직의 공식 웹사이트에 서비스 거부 공격을 실시해 폐쇄에 이르게 한 사례 ▲타깃 조직의 고객, 비즈니스 파트너, 임직원, 미디어에 연락해 해킹 사실을 알리는 방식 등이 있었다.

4가지 모두 사용한 공격은 드물지만, 올해는 암호화와 데이터 탈취 후 추가 공격을 하는 사례가 나타나고 있다. 지난해 랜섬웨어 보고서에서는 2가지 기법을 사용하는 관행을 소개했는데, 올해는 2배로 추가하는 움직임이 관찰됐다.

유닛42는 사이버 범죄 조직이 하반기에도 지속적으로 지불을 강제하고 더 파괴적인 공격을 실시할 것으로 관측했다. 실제로 하이퍼바이저로 알려진 소프트웨어 유형을 암호화함으로써 한 대의 서버에서 운영되는 여러 대의 가상 인스턴스를 손상시키는 공격도 포착됐다. 하이퍼바이저 및 관리형 인프라 소프트웨어를 노리는 공격이 증가할 것으로 전망된다.

또한 유닛42는 MSP 고객에게 랜섬웨어를 전파시키도록 사용됐던 카세야 원격 관리 소프트웨어를 활용한 공격의 후속 여파로 MSP 및 이를 사용하는 고객들을 타깃으로 하는 공격도 늘어날 것이라고 밝혔다.

일부 해킹 조직은 사이버 보안에 집중 투자할 자원이 부족한 중소 기업을 정기적으로 집중 공략할 것으로 전망된다. 올해 넷워커(NetWalker), 선크립트(SunCrypt), 락비트(Lockbit) 등 여러 랜섬웨어 그룹이 1만 달러에서 5만 달러에 이르는 몸값을 요구하고, 실제로 지불된 것으로 분석됐다. 상대적으로 적은 규모이지만, 소규모 기업의 경우 충분히 타격을 입을 수 있는 금액이다.

정기적 보안상태 진단 필수

랜섬웨어에 노출될 위험을 최소화하기 위해 팔로알토 네트웍스는 ▲초기 액세스 제어 ▲백업 및 복구 프로세스 마련 ▲적절한 보안제어 등을 조언했다.

초기 액세스 제어와 관련, 팔로알토는 변종을 포함한 거의 모든 랜섬웨어의 초기 액세스가 비슷한 양상을 갖는다고 설명했다. 조직에서는 이메일 보안에 대한 사용자 인식 및 관련 교육을 지속해야 하며, 회사 계정에 악성 메일이 수신되는 즉시 식별하고 조치할 수 있는 방법을 제공해야 한다. 인터넷 노출 서비스에 대한 패치 관리 및 검토가 이루어져야 하며, 원격 데스크톱 서비스의 경우 최소한의 권한으로 적절하게 보안 구성이 이루어져 있는지, 비밀번호 자동 조합으로 로그인을 시도하는 브루트포스(brute-force) 기법을 탐지하는 대비가 되어 있는지 검토해야 한다.

또한 지속적으로 데이터를 백업하고 적절한 복구 프로세스를 유지해야 한다. 랜섬웨어를 사용하는 공격자들은 대부분 온사이트 백업을 암호화하고자 시도하므로, 조직에서는 모든 백업이 안전하게 오프라인 상태로 유지되도록 해야 한다. 랜섬웨어 공격이 발생할 경우 조직에 다운타임과 비용을 최소화하기 위해 복구 프로세스를 구현하고, 주요 이해 관계자가 모두 참여하여 리허설을 실시하는 것도 필요하다.

랜섬웨어로부터 보호하는 가장 효과적인 전략은 엔드포인트 보안, URL 필터링 또는 웹 보호, 지능형 위협 차단, 사용자 디바이스를 포함하여 전사적으로 구축 가능한 피싱 방지 솔루션이다. 이러한 대비책이 완벽한 예방을 보장할 수는 없으나, 보편적인 랜섬웨어 변종으로부터의 감염 위험은 절대적으로 줄여줄 수 있으며, 한가지 기술이 유효하지 않을 때 대체제로 작용해 조치에 필요한 시간을 벌어줄 수 있다.

이희만 팔로알토 네트웍스 코리아 대표는 “랜섬웨어 위협은 점점 더 과감하고 파괴적으로 진화하고 있다. 개인의 컴퓨터를 멈추는데 그치지 않고, 핵심 비즈니스를 중단시키거나 브랜드 평판에 막대한 영향을 미치는 등 피해 규모가 이전과는 다른 수준으로 확장되고 있다”며 “선제적인 대응을 위해 정기적으로 보안 상태를 진단하고 위협 트렌드에 관심을 기울이는 것이 중요하다”고 말했다.

한편 팔로알토 네트웍스는 메스피노자(Mespinoza), 레빌(REvil), 프로메테우스(Prometheus), 콘티(Conti), 다크사이드, 클롭 등을 포함해 유닛42 블로그를 통해 다양한 랜섬웨어 최신 동향을 다루고 있으며, 랜섬웨어 대비 진단 검사를 통해 사전 대응 전략에 대한 컨설팅을 제공하고 있다.

김선애 기자 다른기사 보기