[데이터넷] 랜섬웨어가 가장 위험한 사이버 공격이 되었다. 서비스형 랜섬웨어(RaaS)를 비즈니스 모델로 확실하게 정착시킨 범죄자들은 공격에 필요한 모든 작업을 분야별로 전문화해 시장을 만들고 있으며, 공격 성공률이 떨어지거나 수사당국에 의해 일부가 검거됐을 때 공격 인프라를 폐쇄한 후 다른 그룹을 만들어 활동한다. 최근 랜섬웨어 동향을 분석하고 대응 방법을 알아본다.<편집자>

분야별 전문조직 모집하는 공격자

랜섬웨어 조직은 운영자가 검거되거나 공격 인프라가 발각돼 제거·압수당했을 때, 혹은 공격도구가 널리 알려져 선제 차단돼 의미있는 수익을 얻지 못할 때 공격 중단을 선언하기도 한다. 아바돈(Avaddon) 랜섬웨어의 경우, 2020년 6월 활동을 시작해 각종 피싱 캠페인으로 공격을 벌여왔다. 그런데 미국, 호주 등의 수사당국에서 적극적인 수사를 펼치면서 공격이 쉽지 않아지자 IT 전문매체 블리핑 컴퓨터에 복호화 키를 보내고 활동을 중단했다.

활동을 중단한다 해서 이들이 지하시장에서 떠나는 것은 아니다. 이들은 곧 다른 조직에서 활동을 재개하며, 애용하던 공격도구와 방법을 바꿔 변종 공격을 진행한다. 콜로니얼 파이프라인을 공격한 다크사이드의 경우, 미국 수사당국에 의해 활동이 와해되고 수익금을 환수당하자 활동 중단을 선언했으나, 이 조직에 가담했던 이들이 다른 다크웹 포럼으로 이동해 공격을 이어가고 있다.

공격자들은 공격을 계획할 때 조력자를 모집하는데, ▲성공률이 높은 RaaS 제공자 ▲데이터를 유출했을 때 이를 효과적으로 공개하면서 피해기업을 압박할 수 있도록 하는 조직 ▲유출사이트를 운영하는 조직 ▲피해자가 쉽게 돈을 보낼 수 있는 인프라와 이를 세탁하는 서비스 사업자 등이 그 대상이다. 이들은 다크웹의 소셜 미디어 프로필을 통해 모집하며, 일부 공격자들은 자신의 경력과 실력을 부풀려서 자신의 인지도를 높이고 몸값을 올리기도 한다.

랜섬웨어 공격 용이하게 하는 브로커

랜섬웨어 범죄 그룹 중 기업의 네트워크 접근 권한을 판매하는 브로커도 있는데, 이들은 해킹에 대한 기술이나 이해, 공격의 정교함이 떨어지는 범죄자들도 쉽게 랜섬웨어 공격을 할 수 있도록 미리 목표 기업에 침투해 공격 거점을 만들기도 한다. 해킹 전문성이 없는 범죄자들은 미리 만들어진 공격 인프라를 통해 쉽게 랜섬웨어 악성코드를 유포하고 협박해 금전을 갈취할 수 있다. 이 브로커들은 RaaS 서비스 사업자들과 협력해 공격에 가담하는 조직을 적극적으로 모집한다.

RaaS 조직은 지속적으로 신·변종 도구와 전략·전술을 개발한다. 트렌드마이크로가 상반기 발견한 RaaS 그룹은 67개, 1200개 이상 조직에 피해를 입혔다. 팔로알토가 조사한 지난해 RaaS 그룹은 56개였으며, 이 중에는 2020년부터 활동을 시작한 그룹도 꽤 있다. 이들은 공격에 성공했을 때 성공보수를 받거나 공격 수익금을 일정비율로 나누기도 하고, 어떤 경우는 월 단위 과금하면서 랜섬웨어 공격을 지속적으로 하도록 만들기도 한다.

이들은 새로운 공격 도구와 방법을 개발하는데 많은 투자를 단행하고 있으며, 최근에는 리눅스 기반 시스템을 노리는 공격이 크게 늘고 잇다. 타깃 조직이 정해졌을 때 그에 맞춰 공격 도구와 인프라, 전략을 커스터마이징하고, 변종 도구를 만들며, 다양한 시스템을 대상으로 공격할 수 있도록 지원 범위를 확장시킨다.

이름 바꾸며 활동하는 공격그룹

지하시장에서 활동하는 사이버 범죄조직은 매우 많지만, 실제로 의미있는 활동을 이어가는 조직의 수가 아주 많은 편이라고 할 수 없다. 체이널리시스 조사에서 이를 유추할 수 있는데, 지난해 변종 랜섬웨어 평균 수명이 60일로 지금까지 나타난 랜섬웨어 평균 수명 중 가장 짧았다.

공격그룹의 수가 많지 않다는 것은 공격에 성공하기가 쉽지 않다는 것을 방증하기도 한다. 공격이 진화하는 만큼 방어기술도 진화하고 있으며, 세계 각국의 수사기관이 민간 보안 전문가와 함께 공격자를 추적하고 공격 인프라를 찾아 폐쇄시키며, 범죄자 검거와 자금 환수 등에 성공하면서 공격자들의 활동이 위축되고 있는 것도 사실이다.

지난 1년간 등장한 랜섬웨어는 과거 랜섬웨어를 리브랜딩 한 경우가 많았다. 범죄조직에 대한 제재가 강화되면서 제재받는 그룹이라는 사실을 감추기 위해 다른 그룹인 것처럼 속인 뒤 몸값 지불을 유도한 것으로 해석된다.

백용기 체이널리시스 한국지사장은 “리브랜딩은 랜섬웨어 생태계가 보이는 것보다 더 좁다는 사실을 말해 주며, 변종 랜섬웨어 종류가 몇 가지든 동일한 그룹이 대부분의 공격을 수행한다는 것을 보여준다”고 말했다.

중요 인프라·중견규모 조직 집중 타깃

랜섬웨어 공격을 가장 많이 받는 산업은 제조사다. 랜섬웨어로 시스템이 마비되는 시간 동안 천문학적 피해를 입는 제조사는 몸값을 지불할 가능성이 매우 높다. 아카마이 조사에 따르면 지난해 발생한 랜섬웨어의 30%가 제조사를 타깃으로 한 것이었다. 다음으로 비즈니스 서비스 조직이 13.4%를 차지했는데, 이는 공급망 공격으로 이어질 가능성이 있다. 건설, 에너지, 유틸리티, 통신, 병원, 교통 등 공격 시 전 사회에 막대한 피해를 입힐 수 있는 시설에 대한 공격도 끊임없이 이어지고 있다.

중견규모 조직도 집중적인 공격 대상이 된다. 아카마이는 랜섬웨어 공격자들이 노리는 조직의 41%가 연 매출 5000만달러 수준의 조직이라고 분석했다. 이 규모의 조직은 공격자가 요구하는 몸값을 지불할 정도의 능력은 되지만, 보안에 충분한 투자를 하지 못했다는 특징이 있다.

클라우드 마이그레이션 중인 조직이 심각한 피해를 입을 것으로 보인다. 공격자들이 클라우드 환경을 위한 새로운 TTP를 사용했을 때 선제적으로 탐지·대응하기가 어렵기 때문이다. 보안에 취약한 API는 공격을 확산시키는 중요한 요인으로 작용할 수 있다. 보호되지 않은 감염된 컨테이너와 취약한 코드, 방치된 계정과 접근권한 등을 쉽게 얻을 수 있어 클라우드 환경을 노리는 랜섬웨어는 앞으로 상상 이상의 보안 위협으로 작용할 것으로 보인다.

“비난 두려워 공격당한 사실 숨겨 더 큰 피해로 이어져”

각종 해킹 기법을 사용하는 랜섬웨어를 완벽하게 차단하는 기술은 없다. APT 공격 방어처럼 신·변종 공격도구를 빠르게 탐지·차단하고, 악성메일·첨부파일을 정상업무와 구분해야 하며, 계정 보호와 접근권한 통제, 외부에 공개된 취약점 제거, 모든 리소스에서 위협 정보 수집·분석을 통한 선제 대응이 필요하다. 또 유관업종, 동일지역에서 발생하는 피해 정보를 파악해 같은 공격에 당하지 않거나 피해 시 빠르게 조치할 수 있게 해야 한다.

그러나 공격당했다는 사실이 외부로 알려져 조직의 신뢰도가 떨어지고 고객의 항의와 각종 법적 문제에 휘말릴 것을 두려워해 침해 사실을 최대한 감추려는 것이 대부분의 기업·기관의 행태다. 내부에서도 피해사실이 알려졌을 때 비난받는 것을 두려워해 알리지 않는 경우가 많은데, 이 때문에 대응 시기를 놓치고 피해 규모를 크게 하는 경우도 많다.

기가몬 조사에 응답한 IT·보안 담당자 88%가 사이버 보안에 비난문화가 있다고 생각하고 있으며, 비난받을 것을 걱정해 보안사고 보고를 지체시키는 경향이 있다고 말한 사람이 94%에 이른다.

보안 투자가 충분하지 않은 상태에서 보안조직이 비난을 두려워해 제대로 대처하지 못하는 동안 랜섬웨어 공격자들은 활개를 치고 다닌다. 멘로시큐리티 조사에서는 18개월 동안 랜섬웨어 공격을 받은 기업이 미국 61%, 영국 44%였으며, 고객과 잠재 고객, 파트너, 공급업체, 직원들을 통해 공격이 유입됐을 것으로 추정된다. 10% 정도는 공격이 어떻게 유입됐는지 파악하지 못하고 있다.