[데이터넷] 전 세계 랜섬웨어 공격이 그야말로 ‘창궐’하고 있다. 콜로니얼 파이프라인을 공격한 다크사이드, 정육업체 JBS와 카세야를 공격한 레빌/소비노키비, 국내차량 부품 제조업체를 공격한 아바돈, 국내 배달대행 플랫폼을 공격한 다르마, 국내 해운업을 공격한 류크 등 악명높은 랜섬웨어 공격그룹이 활개를 쳤다.

이 중 다크사이드는 미국 사법당국과 미국 정부의 압력을 받고 해체를 선언했고, FBI의 끈질긴 추적으로 피해입은 비트코인 상당부분 회수할 수 있었다. 그렇다 해서 이들이 공격을 멈출 것이라고 생각하는 사람은 아무도 없다. 이들은 다른 전략·전술로 공격활동을 계속하고 있다.

랜섬웨어는 지하세계의 거대한 산업이다. 랜섬웨어 악성코드와 공격도구를 만드는 조직, 산업별·타깃 조직을 분석해 전술·전략을 세워서 서비스(RaaS)하는 조직, 공격에 필요한 모든 항목을 고객(공격자)에게 소개하고 유통하는 조직, 이들에게 돈을 주고 공격을 명령하거나 이들의 서비스(RaaS)를 이용하는 조직 등으로 구성된다.

RaaS 제공자는 랜섬웨어 공격 전술·전략을 짜고 공격 도구를 개발하며 자신의 다크웹에 접속할 수 있는 블로그를 관리한다. 이 블로그에 피해자의 데이터를 공개한다고 협박하면서 몸값을 요구한다.

카스퍼스키는 이들이 단일대오로 움직이는 것이 아니라 다크웹 마켓플레이스를 통해 거래하며, 서로에게 서비스를 제공하는 형태라고 설명했다. 이들은 암호화된 메신저와 웹을 통해 소통하고 암호화폐로 비용을 지불하기 때문에 한 명의 범죄자 혹은 범죄조직을 잡았다 해서 범죄가 없어지는 것도 아니다.

이들이 다른 범죄자를 알지 못하기 때문에 범죄 사슬이 끊어지지 않는다. 누군가가 검거됐다 해도 곧 다른 조직이 그 자리를 메꿀 것이기 때문에 공격의 공백도 없다.

최재우 에스케어 이사는 “지하시장에는 공격 후 피해자와 협상 과정에서 복호화를 원격에서 지원해주는 서비스도 등장한 상황이다. 눅스·유닉스 대상 랜섬웨어도 발견됐고, 하이퍼바이저와 대규모 스토리지를 대상으로 한 공격도 나타나고 있다. 비즈니스 연속성 확보를 위해 백업 시스템을 갖추고 있지만, APT공격과 결합된 랜섬웨어는 침투 후 백업 시스템 공격을 통해 데이터 복구를 불가능하게 한다. 랜섬웨어 대응을 위한 새로운 방법이 필요하다”고 말했다.

APT와 결합하는 랜섬웨어

랜섬웨어 공격 방법은 APT와 크게 다르지 않다. 목표 조직을 선택한 후 가장 침투하기 쉬운 취약점을 탐색한다. 무단으로 열려 있는 포트, 패치되지 않은 취약점, 공개된 서버, 탈취한 계정 등을 이용해 침입한다. 재택근무로 RDP·VPN 연결이 늘어나면서 방치되거나 관리되지 않은 원격접속 시스템에 잠입하는 공격이 크게 늘었다.

업무와 관련 있는 내용으로 위장한 피싱 메일, 업무에 필요한 웹사이트에 악성링크를 삽입하는 워터링홀, 소프트웨어 공급망·써드파티 소프트웨어 개발환경, 침해된 도커 이미지, 외주 개발자 PC 감염 등 다양한 방법으로 침투를 시도한다.

최초 침투 후 추가 공격도구를 받아 확장하는 과정은 매우 조심스럽게 이뤄진다. 보안 시스템에 탐지되지 않도록 공격도구를 잘게 쪼개고 암호화·난독화해 내려받는다. 자바 스크립트, 문서 매크로 등 비실행형 파일을 이용해 백신·샌드박스의 행위분석을 우회한다.

랜섬웨어 배포 범위를 쉽게 확장시키기 위해 AD 서버, 업데이트 서버 등을 이용한다. 소프트웨어 기업, 매니지드 보안 서비스(MSS)·매니지드 보안 탐지 및 대응 서비스(MDR) 기업 등을 장악해 그들의 고객을 감염시키면 대규모 피해를 양산할 수 있다.

보안요원의 모니터링에 걸리지 않도록 퇴근시간 이후, 주말 시간 동안 확장범위를 넓힌다. 본격적인 공격을 시작하는 암호화 역시 보안에 소홀한 시간에 이뤄진다. 다크트레이스 조사에 따르면 랜섬웨어 감염의 76%는 암호화 프로세스가 근무시간 후 혹은 주말에 이뤄진다.

내부자를 매수해 최초 침투를 용이하게 하려는 시도도 발견됐다. 락비트 2.0 랜섬웨어 공격자들은 기업의 RDP, VPN, 회사 이메일 자격증명 등 원격지에서 접근하거나 초기 침투 경로로 사용할 수 있는 정보를 주면 수백만달러를 지급하겠다는 광고를 지하시장에 내걸었다. 이들은 내부자에게 랜섬웨어 악성코드를 보내 공격자가 네트워크에 원격 액세스할 수 있도록 도와달라고 하며, 가담한 사람의 신원을 보장한다고 강조했다.

1년 동안 공들이는 랜섬웨어 공격

공격자들은 초기 침투 후 공격 거점을 만들면서 침해 범위를 확장시키면서 중요 데이터 접근 권한을 획득하고 데이터를 유출한다. 충분히 큰 피해를 입힐 만큼 침해 범위를 확장했다고 판단하면 데이터와 시스템을 암호화하고 협박을 시작한다.

돈을 주지 않으면 빼돌린 데이터를 인터넷에 공개하거나 시스템 파괴, 디도스 공격으로 서비스를 중단시키겠다고 협박한다. 때로 공격당했다는 사실을 피해 기업의 경쟁사, 고객, 비즈니스 파트너, 언론에 알려 여론을 통해 압박하는 방식도 취한다.

타깃 시스템의 비즈니스 규모나 사이버 보안 보험 등을 파악해 이 기업의 피해 규모를 예측한 후, 그 피해보다 적은 금액을 요구한다. 예를 들어 이 기업이 랜섬웨어로 하루 동안 생산을 중단했을 때 발생하는 비용, 사이버 보안 보험에서 보장하는 한도, 데이터 공개 시 GDPR 등 중요 규제 위반으로 인해 입을 피해를 계산한 후, 총 금액보다 낮은 몸값을 요구한다. 피해 기업은 스스로 랜섬웨어를 복구하려고 노력하기보다 공격자에게 돈을 주는 것이 더 경제적이고 빠르다고 판단한 후 돈을 주게 된다.

이재광 KISA 종합분석팀장은 “최근 랜섬웨어는 침투 즉시 공격하지 않고, 대규모 확산을 위해 상당한 시간과 노력을 들인다. 한 기업의 경우 공격자가 최초 침투 후 내부이동을 하면서 거점을 확보하고 공격을 실행하기까지 1년 이상 걸린 경우도 있었다”며 “랜섬웨어 공격이 시작되면 막대한 피해가 발생하지만, 최초 침투부터 공격 시작까지 어느 정도 시간이 걸리므로 평소 선제방어와 실시간 모니터링, 정기적인 점검을 통해 랜섬웨어 피해를 막아야 한다”고 강조했다.

제조공장·사회 주요 인프라 공격해 큰 수익 올려

랜섬웨어가 대규모화 되면서 몸값도 엄청나게 높아졌다. 공격자에게 지급된 몸값 중 공개된 최고액은 JBS가 지급한 1100만달러(약 127억7000만원)였다. 팔로알토 네트웍스 분석에 따르면 상반기 공격자들이 요구하는 금액은 평균 530만달러, 실제로 지불한 돈은 57만달러였다. 지난해 평균 지불금액은 31만2000 달러로 올해 상반기 171% 올랐으며, 요구액은 지난해 84만 7000달러에서 올해 상반기 530만달러로 5배 뛰어올랐다.

데이터 갈취, 디도스 등과 랜섬웨어를 동시에 하는 이중갈취 전술은 공격자들의 수익을 높이는 결정적 요인이었다. IBM 조사 결과 소디노키비 랜섬웨어는 이중갈취로 지난해 1억2300만달러를 벌어들였으며, 피해자의 67%가 몸값을 지불했다.

랜섬웨어 공격이 가장 많이 발생하는 곳은 ‘돈이 되는’ 제조공장, 사회 주요 인프라 등이다. ADT캡스 조사에 따르면 올해 상반기 발생한 침해사고 중 29.5%가 제조업에서 발생했는데 대부분 랜섬웨어를 이용한 정보유출이었다. 카스퍼스키 조사에서는 제이에스웜 랜섬웨어 41%가 아시아 태평양지역 제조업을 대상으로 활동한 것으로 나타났다.

오상언 안랩 솔루션컨설팅본부장은 “제조·생산망이나 산업제어시스템(ICS)과 같은 OT망은 변화를 주기 쉽지 않기 때문에 침해가 발생해도 대응하기가 쉽지 않다. 세계적인 제조사, 사회 주요 인프라 기업들이 랜섬웨어 공격을 당하는 것은 이 같은 이유 때문”이라며 “OT에 대한 보안 전략이 시급하다”고 강조했다.

보안에 취약해 공격이 쉬운 중소기업도 중요 타깃이다. 이들은 보안투자가 약하고 보안 전문가도 충분하지 않기 때문에 사고 시 돈을 주고 해결할 가능성이 높다. 대규모 제조사에 비해 지불할 수 있는 금액은 매우 적지만, 공격자는 쉽고 빠르게, 큰 노력을 들이지 않고 수익을 얻을 수 있기 때문이다.