“랜섬웨어 피해 입지 않도록 보안·백업 조치하고 몸값 지불 안하면 공격 줄어들 것”
공격자, 많은 변종·합종연횡 진행…범죄 생태계 이끄는 소수 그룹 제어해야
[데이터넷] 랜섬웨어 생태계의 ‘긱 이코노미(Gig Economy)’.
체이널리시스는 최근 랜섬웨어 범죄 시장의 동향을 이렇게 설명했다. 체이널리시스의 ‘2023 가상자산 범죄 보고서: 랜섬웨어’에서는 랜섬웨어 수명이 짧아지고 변종이 증가하고 있는데, 이는 소수의 RaaS 조직이 생태계를 움직이면서 다양한 변종을 만들어내고 있는 것이라고 설명했다. 카풀 운전자가 우버, 리프트, 오자와 같은 앱을 동시에 사용해 거시적으로는 세 명의 운전자가 따로 있는 것처럼 보이는 것과 같다고 설명했다.
체이널리시스는 랜섬웨어 탐지 기술이 발전하면서 공격을 빠르게 식별하게 되자, 범죄자들이 여러 변종을 통해 랜섬웨어 활동을 추적하기 어렵게 만들고 있다고 분석했다. 또 랜섬웨어 생태계는 많은 범죄조직이 경쟁하고 합종연횡하며, 새로운 공격자와 개발자를 스카우트 하는 것으로 보이지만, 실제로 생태계를 움직이는 조직은 많지 않다고 밝혔다.
대부분의 변종은 서비스형 랜섬웨어(RaaS)로, 제작자에게 비용만 지급하면 쉽게 공격할 수 있으며, RaaS 조직은 랜섬웨어 변종 운영 기간을 점점 단축시키고 있다. 2020년 랜섬웨어 변종 활동기간이 평균 265일, 2021년에는 153일, 2022년에는 70일로 짧아졌다.
예를 들어 마이크로소프트가 하이브, 콘티, 블랙캣 랜섬웨어 변종을 사용한 그룹 DEV-0237을 분석했는데, 체이널리시스도 블록체인에서 공격자들이 겹치는 것을 확인했다. 체이널리시스는 다르마, 콘티, 블랙캣 랜섬웨어 변종에서 각기 다른 시기에 거액을 받는 공격자를 확인했으며, 같은 공격자가 세개의 변종 랜섬웨어를 모두 운영했다는 것을 의미한다.
“미 정부 강력한 제재로 몸값 지불 거부 늘어”
랜섬웨어 피해액의 변화에서도 의미있는 점이 발견되는데, 2022년 랜섬웨어 피해액이 4억5680만 달러(약 5633억원)로, 2021년 7억6560만 달러(약 9443억6760만원)보다 40% 감소했다.
랜섬웨어 공격 수가 줄어든 것은 아니고, 집계된 피해액 이외에도 더 많은 피해가 있을 것으로 보인다. 체이널리시스는 모든 공격자의 모든 가상자산 주소를 분석한 것은 아니며, 보고서 작성 이후 추가 식별된 공격자도 있어 피해액은 더 높아질 것이라고 덧붙였다. 2021년에도 보고서 발표 당시 6억200만달러였지만, 이후 추가 피해가 확인돼 7억달러 이상으로 늘어났다.
그럼에도 불구하고 피해액이 줄어드는 것은 사실이라고 체이널리시스는 설명했다. 랜섬웨어 피해자들이 공격자에게 몸값 지불을 거부하는 사례가 늘어나고 있기 때문인 것으로 분석된다.
그 한 원인이 세계 주요국들이 가상자산 거래소를 제재하면서 범죄자금을 현금화하지 못하도록 한 것이었다. 체이널리시스 조사에서는 랜섬웨어 피해액이 주류 거래소로 흘러가는 비중이 2021년 39.3%에서 2022년 48.3%로 높아진 반면, 고위험 거래소로 가는 비중은 10.9%에서 6.7%로 감소한 것으로 분석했다. 랜섬웨어 자금세탁을 위한 다크넷 마켓 등 불법 서비스 이용은 감소했다. 반면 제재 영향이 미치지 못하는 믹서 이용은 11.6%에서 15.0%로 증가했다.
랜섬웨어 몸값 지불률은 점점 낮아지고 있다. 2019년 몸값 지불률은 76% 였으며, 2022년에는 41%로 크게 떨어졌다. 미 재무부는 랜섬웨어 공격자에게 몸값을 지불하면 법적 위험이 추가된다고 밝히면서 피해기업들의 몸값을 지불하지 않으려 하고 있다. 또 보험사들이 사이버 보안 보험에서 랜섬웨어 피해액은 보상하지 않거나 보상범위를 줄이고 있어 몸값 지불을 주저하게 만들고 있다.
공격자 수익 악화되면 랜섬웨어 줄어들 것
제재와 수사로 장기간 공격이 용이해지지 않게 되자, 공격자들은 계속 변종 공격을 개발해내고 브랜드를 새롭게 만드는 한편, 변종간 합종연횡도 펼치고 있다. 예를 들어 콘티는 내부 갈등과 수사기관의 추적으로 활동 중단을 선언했지만, 이 그룹에서 활동하던 공격자들은 몸값을 지불할 가능성이 높은 변종으로 이동해 활동을 이어갔다. 락비트, 선크립트, 하이브, 몬티 등에서 콘티의 흔적을 찾을 수 있다.
체이널리시스는 스턴(Stern)이라는 가명으로 통하는 콘티 그룹의 리더와 또 다른 랜섬웨어 조직이 협력하고 있다고 설명했다. 콘티의 폐업 이후 2022년에 퀀텀, 카라쿠르트, 디아볼, 로얄(Royal)과 같은 랜섬웨어와 연결된 주소와 거래했음을 확인할 수 있다. 또 공격자들은 변종으로 수행한 여러 공격에 같은 지갑을 재사용했다.
콘티의 리더 공격자 그리고 다른 팀원들이 여전히 새로운 브랜드 이름으로 랜섬웨어 공격을 성공적으로 이어나가고 있다면 콘티는 실질적으로 폐업했다고 보기 어렵다. 데이터에 따르면 랜섬웨어 생태계는 별개의 랜섬웨어 집합이 아닌 브랜드 이름만 주기적으로 바꾸는 작은 해커 집단으로 생각하는 편이 더 낫다. 즉 랜섬웨어 생태계를 주도하는 주요 그룹의 활동을 효과적으로 제어하면 공격을 줄일 수 있을 것이며, 그 방법은 공격자의 수익을 악화시키는 것이다.
체이널리시스 보고서는 “더 많은 조직이 데이터 백업 및 기타 보안 조치를 시행한다면 2023년 이후에도 랜섬웨어 수익은 지속해서 감소할 것으로 기대한다”고 밝혔다.
