[2022 보안 키워드①] 급성장하는 랜섬웨어
상태바
[2022 보안 키워드①] 급성장하는 랜섬웨어
  • 김선애 기자
  • 승인 2022.01.02 09:57
  • 댓글 0
이 기사를 공유합니다

피해 기업 창피주는 ‘셰임웨어’ 극성…더 높은 몸값 뜯어내
모든 산업·일반 국민 생명까지 위협하며 지능적으로 진화

[데이터넷] 임인년(壬寅年)은 물을 머금고 피어나는 새싹처럼 무언가를 시작하기 좋은 기운을 가진 해라고 한다. 그런데 사이버 세상은 긍정적인 신호만을 보여주지 않는다. 지난해 사이버 범죄 비용이 6조달러(약 7경)을 초과할 것으로 예상되며, 올해는 이보다 훨씬 더 성장할 것으로 보인다. 예측하면 대응할 수 있다. 올해 주목해야 할 보안 키워드를 정리해 본다.<편집자>

영국 국가 사이버 보안 센터 조사에 따르면 2021년 1분기 발생한 랜섬웨어가 2019년 한 해 동안 발생한 공격보다 3배 많은 것으로 나타났다. 랜섬웨어는 공격자 가성비가 높은 위협으로 평가되면서 많은 공격자들이 몰리고 있다. 서비스형 랜섬웨어(RaaS) 생태계가 자리잡으면서 누구나 범죄에 참여할 수 있게 됐다. RaaS는 APT와 결합한 지능형 공격을 쉽게 시행할 수 있게 하며, 다중갈취 공격으로 더 높은 몸값을 받아낼 수 있게 한다.

팔로알토 네트웍스는 ‘셰임웨어(Shameware)’ 공격까지 가담한 4중 갈취 전술이 등장할 것으로 예상했다. 데이터를 훔친 후 데이터를 암호화하고 시스템을 정지시켜 비즈니스를 중단한 후, 훔친 데이터를 외부에 공개해 피해 기업이 비판을 받게 만들겠다고 협박하는 공격이 성행할 것이라는 설명이다.

셰임웨어 공격은 이미 시작됐다. 공격자들은 랜섬웨어로 비즈니스를 중단시킨 후 데이터를 공개한다고 협박하면서 유출한 데이터 일부를 다크웹이나 인터넷에 공개해 이 기업이 공격당한 사실을 외부에 알린다. 그러면서 피해 기업은 데이터 유출로 인한 피해, 고객정보 보호에 실패해서 발생하게 되는 각종 벌금과 과징금, 고객에 대한 손해보상 등을 모두 합한 금액보다 낮은 금액으로 몸값을 협상한다.

랜섬웨어로 수익이 높아지자 공격자들은 더 대담한 공격을 이어간다. 사회중요시설, 제조시설을 인질로 잡으며, 촌각을 다투는 환자들이 있는 병원을 공격해 막대한 돈을 뜯어낸다.

▲몸값을 지불하는 것은 랜섬웨어 공격을 더욱 부채질하는 것이다.(이미지 출처: 마이크로소프트 디지털 방어 리포트 2021년)
▲몸값을 지불하는 것은 랜섬웨어 공격을 더욱 부채질하는 것이다.(이미지 출처: 마이크로소프트 디지털 방어 리포트 2021년)

전 세계로 확대되는 랜섬웨어

이에 각국 정부에서 랜섬웨어 공격조직을 추적해 검거하고, 피해금액을 회수하는 노력을 진행하고 있으며, 상당한 성과를 거두기도 했다. 대표적인 예로, 콜로니얼 파이프라인 랜섬웨어 공격을 당한 미국은 사이버 범죄와의 전면전을 선포하면서 적극적인 수사에 나서 이 공격을 벌인 다크사이드 운영을 중단시키고 피해금액 일부를 돌려받았다.

그러자 미국, 유럽 등에서 활발하게 활동하던 공격자이 활동 무대를 아시아로 옮겨오고 있다. 아시아는 전 세계의 공장이 있으며, 여러 국가들이 보안에 신경쓰지 않고 사회 인프라에 ICT 기술을 접목하고 있다. 공격이 쉽고 돈을 뜯어내기도 유리한 상황이다.

맨디언트는 이 점을 강조하면서 제조업과 ICT가 발달한 우리나라가 주요 타깃이 될 수 있다는 사실을 경고했다. 우리나라 많은 제조시설도 크고 작은 랜섬웨어 공격을 당했으며, 다크웹에서는 국내 제조사 공격 시나리오가 유통되고 있으며, 침투를 위한 VPN 계정도 활발하게 판매되고 있다.

공격자 간 갈등으로 더 복잡해지는 랜섬웨어 생태계

흥미로운 사실 하나는, 랜섬웨어 공격자들의 생태계가 체계가 잡힌 경제질서대로 움직이지 않는다는 것이다. 랜섬웨어 생태계는 공격도구 개발자와 이들의 계열사, 중개인, 실제로 공격을 수행하는 조직과 이들을 후원하는 조직 혹은 이들의 고객으로 이뤄져 있다. 보통은 수익금의 일정부분을 나누는데, 수익금 배분으로 인한 갈등이 벌어지면서 이들의 생태계가 갈라지는 정황이 보인다는 뜻이다.

예를 들어 유명 범죄조직인 그루브 갱(Groove Gang)의 계열사인 바북(Babuk)이 독립해 독자적으로 공격을 진행했는데, 이들의 중요 개발자라는 사람이 바북 랜섬웨어 코드를 공개하는 사건도 일어났다.

랜섬웨어 생태계에 교란이 생긴다 해서 공격이 약화되는 것은 아니다. 다크웹은 무한한 영역 확장이 가능하다. 한 포럼 내에서 갈등이 생기면 다른 포럼으로 이동하거나 새로운 포럼을 만들어 파트너를 모집하면 된다. 돈이 되는 포럼이라면 금방 활성화 될 수 있다. 운영을 중단한 포럼 운영자들이 새로운 포럼을 만들어서 새로운 공격 코드와 전술·전략을 갖고 범죄 행위를 이어가는 것은 새로운 일이 아니다. 공격자 세대교체가 일어나고 공격그룹이 다변화되면서 공격그룹을 추적·분석해 트렌드를 쫓기가 더 어려워졌다.

한편 맥아피 엔터프라이즈는 범죄자들이 익명으로 연락할 수 있는 전용 계정을 개설했으며, 수익금 배분에 불만을 품은 RaaS 회원들이 연락을 해 오고 있다고 설명했다. 이를 통해 공격자 생태계와 그들의 전술·전략·프로세스(TTP)를 정확하게 파악할 수 있게 됐다고 밝힌다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.