위협 탐지·방어·교육·정보공유·수사공조로 범죄 가능성 낮춰야
[데이터넷] 지난해 발생한 ‘사상 최악의 사이버 공격’은 올해 발생할 피해에 비하면 아무것도 아닐 것으로 보인다. 사이버 공격은 늘 진화했고, 늘 역대급 피해를 발생시켰다. 사이버 공격 동향 분석을 통해 향후 발생할 공격에 미리 대응할 수 있는 방안을 생각해본다.<편집자>
랜섬웨어가 창궐하게 된 배경에는 RaaS가 있다. 랜섬웨어를 서비스로 제공하는 지하세계 비즈니스 모델은 사이버 공격에 대한 전문성이 없어도 공격으로 돈을 벌 수 있게 해 줘 범죄자들이 이 시장에 모여들었다. 공격 후 피해 기관과 협상해 높은 몸값을 받아내는 협상 전문가도 등장했다. 이들은 여러 국가 언어를 지원하며, 피해자들이 암호화폐 송금하는 것을 도와주기도 한다.
랜섬웨어로 단시간에 수십억의 수익을 얻을 수 있다는 사실이 입증되자 지하세계의 많은 범죄조직이 이 생태계에 참여하고 있다. 바이러스토탈은 2020년과 2021년 상반기 130개 이상 랜섬웨어 패밀리가 활동하고 있으며, 이들과 유사한 방법으로 활동하는 3만여기의 멀웨어 클러스터가 발견되고 있다고 발표한 바 있다.
다크웹에는 수백개의 랜섬웨어 그룹이 활동하는 것으로 보이지만, 실제로 위협이 되는 그룹은 그리 많지 않다. NSHC가 추적하는 2020년 17개의 랜섬웨어 그룹이 활동하고 있었으며 2021년 10월에는 52개로 빠르게 늘었다.
이들이 모두 성공적인 공격활동을 벌이고 있는 것은 아니며, 수사당국의 끈질긴 추적으로 운영진이 검거되고 활동이 중단되는 사례가 이어지고 있다. 그렇다고 해서 공격자가 사라지는 것은 아니다. 이들은 이름을 바꾼 또 다른 공격집단으로 범죄행위를 계속하고 있다.
콜로니얼 파이프라인을 공격한 다크사이드의 경우, 미국정부에 의해 활동이 중단됐지만, 이후 다크웹에 이들과 유사한 코드와 공격 수법을 사용하는 공격자들이 등장해 다크웹 공격자들이 이동했을 가능성이 점쳐지고 있다.
카세야 공급망 공격과 JBS푸드 랜섬웨어 공격을 벌인 레빌(REvil)은 갠드크랩(GandCrab) 조직원 일부가 결성한 조직으로, 올해 초 러시아에 의해 운영진이 검거됐다. 그런데 지난해 미국 수사당국이 이 조직원 일부를 검거했으나 새로운 공격그룹 블랙매터(BlackMatter)가 공격 캠페인의 일부에 레빌 도구를 사용하는 정황이 발견돼 레빌 조직원들이 블랙매터를 새로 결정했을 가능성도 제기더ㅔㅆ다. 맥아피는 블랙매터가 다크사이드와 유사한 점이 많다고 분석하며, 다크사이드 조직원들도 여기에 참여했을 가능성을 시사했다.
내부 불화 겪는 랜섬웨어 공격자
오랫동안 RaaS로 악명을 떨치고 있는 콘티(Conti)는 내부 조직의 불화로 영업비밀이 공개되는 수치를 겪었다. 콘티는 류크(Ryuk) 랜섬웨어 후계자로 알려지는데, 한창 수익을 올리던 2021년 여름, 이들의 계열사 일부가 수익금 분배에 불만을 품고 콘티의 공격 플레이북과 공격에 사용한 코발트 스트라이크 인프라를 공개하면서 타격을 입은 바 있다.
내부자에 의해 소스코드가 공개된 또 다른 그룹으로 바북(Babuk)이 있다. 바북의 주요 개발자라고 밝힌 한 공격자가 2021년 9월 자신이 폐암 말기라며 바북의 소스코드를 공개하는 사건이 발생했다. 맥아피는 실제로 그가 병에 걸렸다는 것은 거짓말일 것으로 추측하면서 바북 조직원 중 일부가 그루브(Groove)라는 조직을 새로 만들었고, 이들은 다크사이드 후예로 보이는 블랙매터에 연결된 것으로 보인다고 분석했다.
한편 맥아피 엔터프라이즈는 범죄자들이 익명으로 연락할 수 있는 전용 계정을 개설했으며, 수익금 배분에 불만을 품은 RaaS 회원들이 연락을 해 오고 있다고 설명했다. 이를 통해 공격자 생태계와 그들의 전술·전략·프로세스(TTP)를 정확하게 파악할 수 있게 됐다고 밝힌다.
랜섬웨어 전면전 시작
랜섬웨어를 근절할 수 있는 유일한 방법은 어떤 공격이 있다 해도 돈을 주지 않는 것이다. 그러나 비즈니스를 복구하기 어려우며, 불법적인 정보 공개로 큰 피해를 입게 되는 기업·기관에게 절대 랜섬머니를 주지 말것을 강요하기는 어려운 일이다.
따라서 기업·기관은 공격을 당하지 않도록 보안 대책을 철저히 마련하고 직원들에 대한 교육·훈련을 정기적으로 시행한다. 또한 정부와 사법당국은 다른 국가 및 보안기업과의 적극적인 정보 공유를 통해 랜섬웨어 공격자들의 공격도구와 공격 인프라를 조사해 범죄자 검거와 범죄수익 환수, 공격 인프라 차단 등의 노력을 이어가야 한다.
