[데이터넷] 랜섬웨어가 가장 위험한 사이버 공격이 되었다. 서비스형 랜섬웨어(RaaS)를 비즈니스 모델로 확실하게 정착시킨 범죄자들은 공격에 필요한 모든 작업을 분야별로 전문화해 시장을 만들고 있으며, 공격 성공률이 떨어지거나 수사당국에 의해 일부가 검거됐을 때 공격 인프라를 폐쇄한 후 다른 그룹을 만들어 활동한다. 최근 랜섬웨어 동향을 분석하고 대응 방법을 알아본다.<편집자>

“경기침체보다 랜섬웨어 더 위험”

우리나라 금융기관, 제약사 등을 대상으로 ‘귀신(GWISIN)’ 랜섬웨어가 활동하고 있다. 이들은 ‘귀신이 방문했다(You have been visited by GWISIN)’는 메시지로 감염 사실을 알리며, 피해 기업이 ISO27001, ISMS-P, PIMS 등을 잘 지키지 않고 있다고 랜섬노트에 적는다. 국내에서 사용하는 DLP·DRM 솔루션과 비즈니스를 잘 이해하고 있다고도 한다.

이들은 웹 취약점과 웹셸을 공격에 활용하며, 방어 회피전략을 다수 사용하고 있어 탐지가 쉽지 않다. 랜섬웨어 감염시 안전모드로 부팅해 백신 탐지를 회피하며, 시리얼 코드와 라이선스 코드를 입력받아야 정상 동작하게 설계돼 악성코드 확보만으로 분석이 불가능하다. KISA는 공격에 안티포렌식 기능이 적용돼 있는 것으로 보아 공격자가 침해사고 분석에 지식이 있는 것으로 보고 있다.

랜섬웨어는 사이버 범죄 세계에서 고수익을 낼 수 있는 공격 방식으로 자리를 잡았다. 서비스형 랜섬웨어(RaaS) 비즈니스 모델을 만들어 공격에 대한 지식이 없는 사람도 쉽게 공격에 가담할 수 있게 했다.

트렌드마이크로는 랜섬웨어 관련 비용이 2019년부터 2021년까지 4.5배 증가했고, 신고 건수는 109% 증가했다고 설명하며 “기업·기관의 87%가 현재의 경기 침체보다 랜섬웨어가 더 위험하다고 생각하고 있으며, 랜섬웨어 피해 입은 기업의 20%는 파산까지 이를 뻔했다”고 밝혔다.

다중갈취로 피해 규모 키워

APT 공격방식을 결합한 랜섬웨어는 사회공학기법을 이용해 사용자 계정을 탈취하거나 알려진 취약점을 이용해 침투한다. 특히 팬데믹 기간 동안 원격근무가 급증하면서 공격표면이 확대돼 공격자가 접근할 수 있는 취약점과 계정을 찾기가 더 쉬워졌다. 빔소프트웨어 조사에 따르면 코로나19 이전과 비교해 코로나 기간 동안 랜섬웨어가 6배 증가한 것으로 나타났다.

공격자들은 데이터를 암호화하고 몸값을 요구하는 초기 형태에서 급진적으로 발전했다. 중요 데이터를 훔치고, 피해 기업 곳곳에 공격 거점을 만들어 추가 공격을 진행할 수 있도록 한다. 공격 준비가 완료되면 데이터를 암호화하거나 시스템을 잠그고 몸값을 요구한다. 때로 디도스 공격까지 병행하면서 몸값을 지불하지 않을 수 없게 만든다.

몸값을 주지 않으면 훔친 데이터를 인터넷에 공개하거나 고객·경쟁사에 이 사실을 알려 더 심각한 피해를 입게한다. 트렌드마이크로 조사에서는 이러한 사례가 최근 3년간 발생한 피해 중 67%를 차지한다.

팔로알토 네트웍스가 조사한 지난해 랜섬웨어 유출 사이트에 공개된 피해 건수는 2566개였는데, 이는 전년대비 85% 증가한 것이다. 이 중 악명높은 콘티 그룹에 의한 것이 511건, 락비트 2.0에 의한 것이 406건이었다.

“2023년 랜섬웨어 누적 피해액 300억달러 이상”

다중갈취 공격으로 랜섬웨어 피해액은 눈덩이처럼 커지고 있다. 체이널리시스는 지난해 랜섬웨어 피해액이 7억달러로 집계했는데, 신고되지 않은 피해까지 더하면 이보다 훨씬 많을 것으로 보인다. 아크로니스는 2023년까지 랜섬웨어 피해액이 300억달러를 초과할 것으로 예상하기도 했다.

팔로알토 네트웍스의 ‘2022 유닛42 인시던트 대응 보고서’에서는 공격자가 요구하는 몸값은 지속적으로 증가, 2021년 미국 평균 랜섬 요구액 220만달러로 전년 90만달러에서 114% 증가한 것으로 집계했다. 실제 지불액은 전년대비 78% 증가한 54만1000달러에 이른다. 또한 다중갈취를 위해 훔친 데이터를 데이터 유출 사이트에 게시한 사례가 확인된 것만 지난해 2566건이었는데, 전년 대비 85% 증가한 것이다.

성공한 모든 랜섬웨어 공격이 막대한 돈을 뜯어가는 것은 아니다. 블랙캣 랜섬웨어 그룹은 900만달러를 요구해 850만달러를 받아갔으나 Suncryptr는 랜섬머니로 1200만달러를 요구했는데, 최종 20만 달러를 받은 것으로 알려진다.

우리나라 랜섬웨어 피해도 심각하다. 지난해 한국 인터넷진흥원(KISA)에 신고된 랜섬웨어는 전년대비 3배 늘었으며, 한국랜섬웨어침해대응센터가 추정한 국내 총 피해액은 2조5000억원에 이른다. 특히 보안 대비가 잘 되지 않은 중소기업에서 큰 피해가 일어나 고 있다.

굿모닝아이텍 보안자회사 조인어스비즈의 신현덕 상무는 “조사에 따르면 국내 제조기업의 70%는 랜섬웨어 피해를 입었는데, 실제 피해 사례가 언론에 공개되지 않아 국내 사용자의 경각심이 높지 않다”며 “공격자들은 제조사 시스템에 공격거점을 만들고 반복해서 공격하고 있다. APT 공격 방식을 결합해 오랜기간 잠복해 있으면서 지속적으로 데이터를 유출하고 몸값을 요구하면서 장기적으로 공격한다”고 밝혔다.

취약점·공급망 이용 공격 늘어

랜섬웨어 공격자의 침투 경로 중 증가하는 취약점과 관리되지 않은 공급망이 중요한 역할을 한다. 트렌드마이크로 취약점 탐지 조직 제로데이 이니셔티브(ZDI)가 올해 상반기 발견한 취약점은 전년대비 23% 증가, 중요한 버그 관련 건수는 전년대비 4배 늘었다. 전 세계 조직의 79%는 공급망 내 파트너와 고객으로 인해 랜섬웨어 위협이 심화되고 있다고 여기고 있다. 공급망의 52%가 랜섬웨어에 취약한 중소기업이며, 52%는 공급망으로 인한 위협을 받은 것으로 분석된다.

취약점 공개 후 패치가 적용되기 전까지 제로데이 기간 중 공격이 급증하는데, 팔로알토 네트웍스는 공격자가 공개된 취약점을 무기화 해 실제로 공격을 개시하는 시간이 점점 더 짧아지고 있으며, 취약점이 공개되자마자 즉시 공격을 시작하는 사례가 늘어나고 있다고 설명했다.

물론 오래 전 공개된 취약점을 패치하지 않은 시스템을 이용하는 공격도 여전히 성행하고 있다. 마이크로소프트 익스체인지 서버 취약점은 지난해 1월 공개됐으며, 하반기 취약점 악용 공격이 급증해 아직도 진행되고 있는 것으로 알려진다.

내부자로 인한 위협도 심각하다. 랜섬웨어 감염 경로의 상당사례가 악성 메일을 통한 것인데, 기가몬 조사에 따르면 랜섬웨어 공격이 시작된 경로는 피싱(58%), 악성 프로그램(56%)이 차지했다. 이러한 공격은 직원이 사회공학기법에 속아서 혹은 실수로 악성링크와 악성파일을 열어보기 때문이다. 이러한 경로로 감염된 것이 29%를 차지하며, CIO의 99%는 내부자가 랜섬웨어 공격 증가의 핵심 원인이라고 보고 있다.

내부 계정을 이용한 침해 사례가 코로나19 기간 동안 가파르게 높아지고 있다. 국내 민간 랜섬웨어 대응 협의체 KARA 분석에 따르면 랜섬웨어 공격자들은 최초 침투를 위해 VPN, 웹셸, 백도어, 스피어피싱, 취약점을 악용한다. 초기 침투에 성공한 이들은 내부 이동을 위해 계정 비밀번호를 탈취해 권한을 상승시키고, 암호화된 컨피그 값과 토큰을 탈취한다. RDP, SMB, SSH, 윈도우 원격 관리 등 윈도우 기본 서비스를 이용해 공격 범위를 확장한다.

“콘티, 지난해 1억8000만달러 수익 올려”

최근 악명을 떨치고 있는 콘티(Conti) 랜섬웨어가 이러한 방법으로 광범위한 침해 기반을 만든 후 공격을 전개하는 것으로 분석된다. RaaS로 운영되는 콘티는 더 넓은 범위로 공격을 전파시켜 피해 규모를 키운다. 팔로알토 조사에 따르면 이들이 요구한 지난해 몸값 평균액 220만달러, 가장 높은 최고 금액은 540만달러였다.

아카마이의 ‘2022년 1분기 랜섬웨어 위협 보고서’에 따르면 콘티는 2020년 활발하게 활동한 류크(Ryuk) 랜섬웨어 후계자로 알려지며, 지난해 1억8000만달러의 최대 수익을 올린 것으로 전해진다. 이들은 특히 제 조업을 집중적으로 노리고 있어 광범위한 공급망 중단을 초래할 수 있다.

이들은 2020년 이후 가장 무자비한 공격그룹으로 알려지는데, 랜섬웨어 공격자들이 타깃하지 않는 응급구조서비스, 사법집행기관까지 공격한다. 현재까지 공개된 공격도구의 대부분은 러시아 조직과 관련있는 것으로 분석된다.

콘티 다음으로 많은 공격을 벌이고 있는 레빌/소디노키비는 피해자가 마감기간 내에 랜섬머니를 지불하지 못하면 몸값을 2배로 올리고 훔친 데이터와 정보를 유출 사이트에 공개하면서 압박하는 것으로 유명하다.

카세야 공급망 공격을 벌인 레빌/소디노키비는 지난해 220만달러의 몸값을 요구했는데, 2020년 49만달러에 비해 크게 상승한 것이다. 이들은 카세야 공격 후 수사기관의 압박이 시작되자 웹사이트를 폐쇄시키고 활동을 잠정 중단했으나 하반기 다시 활동을 시작했다. 이들 역시 러시아를 배후에 둔 것으로 보인다.