[데이터넷] 랜섬웨어가 서비스형(RaaS)에서 완전한 키트 형태로 발전하고 있다. 트렐릭스의 ‘2022년 3분기 위협 보고서’에 따르면 이 기간 동안 가장 많은 공격을 일으킨 공격그룹이 락비트(19%)였으며, 그 뒤를 포보스(16%)가 따랐다. 락비트는 대표적인 RaaS이며, 포보스는 키트 형태로 판매되는 새로운 랜섬웨어 제공 모델이다.

트렐릭스는 키트로 판매되는 포보스는 개발·판매하는 이들이 공격하는 것이 아니라, 이를 구입하는 그룹이 공격하는 것으로, 랜섬웨어의 새로운 배포 모델이 되고 있다고 박혔다. 포보스는 최근 새로운 버전이 다수 발견되고 있는데, 앞으로 어떤 확장판으로 업데이트 될지 알려지지 않았다고 설명했다.

레드팀 도구 ‘코발트 스트라이크’, 공격자 도구로 변해

보고서에 따르면 전 세계에서 발생한 랜섬웨어의 47%가 통신분야에서 발생했고, 운송·해운 분야를 타깃으로 한 것이 31%였다. 흥미로운 것은 미디어를 대상으로 한 랜섬웨어가 7%였는데, 국가기반 공격의 22%가 미디어 분야였다는 점이다. 최근 공격자들이 미디어를 해킹해 정치적 메시지를 내거나, 유명 언론사를 사칭한 가짜 뉴스로 사이버 여론전을 펼치는데 집중하고 있다는 것을 방증하는 것으로, 향후에도 미디어를 대상으로 한 공격이 이어질 것으로 보인다.

랜섬웨어와 APT 공격에 코발트 스트라이크가 가장 많이 사용된다는 것도 주목할만한 것이다. 코발트 스트라이크는 침투테스트에서 레드팀이 사용하는 도구인데, 이 도구의 크랙 버전이 지하세계에서 유통되면서 공격자의 도구가 되고 있다. 트렐릭스 조사에 따르면 국가기반 공격자와 정치적 동기가 있는 단체들이 공격 전반에서 코발트 스트라이크를 사용하고 있었다.

이처럼 공격자들은 공격을 위해 제작된 악성코드뿐 아니라 정상적인 업무에 사용하는 도구를 이용해서도 공격을 진행한다. 윈도우 도구인 윈도우 커맨드 셸(CMD)은 페이로드 및 추가 멀웨어 다운로드, 시스템·인프라 정보 유출, 웹셸 설치로 지속적인 액세스 유지와 랜섬웨어 암호화 프로세스를 진행하는 것을 또 다른 예로 들 수 있다.

한편 국가기반 공격이 가장 많이 발생한 산업이 운송·해운(27%)이었으며, 그 뒤를 통신(23%)이 차지했다. 3분기 가장 활발하게 활동한 국가기반 공격그룹은 중국을 배후에 둔 무스탕 팬더(Mustang Panda)로, 전체 공격의 21%가 이들에 의해 발생했다. 이들은 원격 액세스 트로이목마 변종 플러그엑스(PlugX)를 주로 사용하는데, 이는 중국 기반 공격자들이 많이 사용하는 도구다.

러시아 기반 그룹의 공격도 빈번하게 일어났다. 전체 공격 중 APT29가 14%, 털라가 8%의 공격을 저질렀다. 파키스탄 기반 공격그룹 APT36이 11%, 이란 기반 공격그룹 머디워터가 10%를 차지했다.

악성 이메일로 인한 공격도 심각한 수준이다. 이 기간 중 탐지된 악성메일에서 가장 많이 사용되는 악성 페이로드 패킹 수단 상위 10개 중 91%가 URL이었다. 악성메일 영향을 가장 많이 받는 분야는 금융서비스로 20%를 차지했으며, 정부 13%, 제조 12% 등을 차지했다. 트로이목마는 악성메일에서 탐지된 가장 많이 사용된 공격 범주 5개 중 83%를 차지했다.

김선애 기자 다른기사 보기