[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>

파일 전송 소프트웨어 무브잇(MOVEit) 취약점을 이용한 랜섬웨어로 전 세계 최소 514개 조직, 2000만명 이상 피해가 발생했다.

특히 IBM 운영 시스템 이용 데이터 침해 문제가 불거지고 있는데, 미국 콜로라도주 보건의료정책금융부(HCPF)의 경우, IBM이 사용하는 무브잇 애플리케이션의 특정 HCPF 파일에 공격자가 침투해 환자 이름, 생년월일, 집 주소, 사회보장번호, 의료 ID 번호, 소득 정보, 임상·의료 데이터, 건강보험 정보 등이 유출됐으며, 410만여명이 피해를 이븐 것으로 알려진다. 이전에는 미주리주 사회서비스 부서(DSS)의 IBM이 운영하는 무브잇 시스템에 권한 없는 사용자가 액세스 해 민감한 데이터에 접근한 것으로 전해졌다.

무브잇 랜섬웨어는 러시아 기반 랜섬웨어 그룹 클롭(Cl0p)이 진행하고 있으며, 이들은 2년 전부터 무브잇 취약점을 파악하고 대규모 공격을 준비해 온 것으로 분석된다. 피해 조직에는 노턴라이프록, 영국항공, 셸, 지멘스 에너지, DHL, 피델리티 앤 개런티 생명보험, 딜로이트, 도요타 그룹 계열사 도요타 보쇼쿠 등이 있으며, 미국의 여러 의료·교육기관도 큰 피해를 입었다.

레코디드퓨처가 추적하고 있는 전 세계 랜섬웨어 공격 중 7월 한달간 발생한 피해의 35%가 클롭 랜섬웨어에 의한 것으로, 클로은 7500만달러에서 1억달러에 달하는 수익을 올릴 것으로 예상된다.

주목할 점은 클롭이 데이터를 유출한 한 후 다크웹이 아니라 인터넷에서 직접 호스팅되는 클리어웹(Clearweb)에 공개하고 몸값 협상에 나서고 있다는 것이다. 전용 소프트웨어가 필요한 토르가 아니라 클리어웹을 선택한 이유는 데이터에 더 쉽게 액세스 할 수 있으며, 검색엔진을 사용할 수 있어 유출된 정보를 더 빠르게 확산시키고 피해를 더 크게 할 수 있기 때문이다.

클리어웹에 클롭이 개설한 사이트로 확인된 것은 PWC, EY, 커클랜드, TD 어메리트레이드 등이며, 단순히 데이터를 다운로드 할 수 있는 링크를 나열하는 식으로 제작됐다.

데이터 유출·공개 협박 일삼는 범죄자

랜섬웨어는 시스템이나 데이터를 암호화 한 후 복구하려면 돈을 내라고 협박하는 범죄인데, 최근공격자들은 암호화보다 ‘데이터 공개’에 더 집중하는 상황이다. 랜섬웨어 방어 솔루션의 탐지 능력이 개선됐고, 백업을 통해 랜섬웨어 시도를 무력화하고 있어 공격자들이 몸값을 받아내기 어려워졌기 때문이다.

여러 정부에서 랜섬웨어 공격자와 타협해 몸값을 지불하는 것을 금하는 규제를 신설하고 있으며, 사이버 보안 보험에서도 랜섬웨어 몸값은 보장하지 않는 방향으로 선회하고 있다. 또 범죄자와 타협해서 금전 피해를 일으켰을 때 경영진이 법적인 문제를 겪을 수도 있기 때문에 몸값 지불을 꺼리고 있다.

그래서 공격자들은 데이터를 유출한 후 이를 공개하겠다고 협박하면서 몸값 협상에서 유리한 위치에 서고 있다. 데이터를 유출한 후 이를 인질로 잡고 공격하는 방식은, 대량의 데이터를 암호화하는 것 보다 리소스가 덜 들고, 중간에 들킬 위험이 상대적으로 낮다. ‘돈을 주면 데이터는 안전하다’고 피해자를 회유하면 돈을 받아낼 가능성을 높일 수 있다.

피해 기업은 데이터 유출 사고가 발생했다는 사실이 공개되면 기업의 신뢰가 하락하고, 소비자의 집단 소송과 규제당국의 막대한 벌금·과징금을 부과받을 수 있다. 유출한 데이터 중 고객, 파트너사, 원청업체의 기밀정보가 있다면 피해조직은 어쩔 수 없이 공격자의 뜻을 따를 수밖에 없다.

데이터 암호화 없이 유출과 공개 협박만 하는 경우도 늘고 있다. 팔로알토 네트웍스조사에 따르면 지난해 발생한 갈취 사고 중 10%가 암호화 없이 데이터 갈취와 공개 협박만 있었다. 팔로알토 조사에서는 매일 평균 7명의 새로운 피해자 정보가 다크웹 유출 사이트에 게시되며, 4시간에 한 건씩 새로운 피해 대상이 공개된다.

반복 공격 일삼는 랜섬웨어

심각한 문제는 공격에 성공한 후 범죄자들이 단 한번만 돈을 뜯어가는 법은 없다는 사실이다. 범죄자들은 암호화로 비즈니스를 중단시키고, 유출한 데이터를 공개하겠다고 협박하며, 도스나 디도스로 서비스 재개를 방해하면서 피해 조직을 지속적으로 협박한다.

해당공격을 어떻게 진행했는지 분석한 보고서를 구입하도록 하며, 구입하지 않으면 이를 고객사와 경쟁사에 보내겠다고 압박한다. 그리고 피해 조직이 공격당했고 공격자와 협상해 돈을 지불했다는 사실을 언론에 알려 신뢰를 하락시키겠다는 협박도 추가한다. 실적공개를 앞둔 시점 등 중요한 시기에 협박해 돈을 받아낼 가능성을 더 높인다.

이 같은 다중갈취 랜섬웨어는 날이갈수록 늘어나고 있는데, 팔로알토 조사에서는 지난해 발생한 랜섬웨어 중 데이터 탈취를 병행하는 다중갈취 공격이 70%를 차지했는데, 2021년에는 40%였다.

아카마이의 ‘멈추지 않는 랜섬웨어: 공격 테크닉과 활발한 제로데이 공격’ 보고서에서는 “랜섬웨어는 파일이나 시스템을 인질로 붙잡는 것을 넘어 사이버 범죄 기업으로 진화하고 있다”며 “처음 공격당한 후 3개월 내에 후속 공격을 당할 확률이 6배 높다. 동일한 공격그룹 뿐만 아니라 다른 그룹의 공격을 당할 가능성도 있다”고 설명했다.

공격자들은 데이터를 유출한 후 이를 게시해 피해조직과 협상에 사용하는 별도의 사이트도 운영하고 있는데, 특히 3월부터 유출 사이트에 공개되는 데이터량이 빠르게 증가하고 있는 것으로 나타난다. 클롭 랜섬웨어가 고애니웨어(GoAnywhere) 소프트웨어 취약점을 이용한 랜섬웨어 공격을 본격적으로 수행한 3월과 무브잇 랜섬웨어로 피해조직을 협박하기 시작한 5월부터 크게 늘어난 것으로 분석된다.

레코디드퓨처는 랜섬웨어 범죄자가 하루 평균 15건 이상 공격에 성공했다고 공개하고 있다고 분석했으며, VM웨어 조사에서는 응답자의 57%가 유출된 데이터가 다크웹에 공개되는 등의 피해를 입었으며, 66%는 복수의 랜섬웨어 조직이 제휴하거나 협력해 공격해왔다고 밝혔다.

이동하 체크포인트코리아 지사장은 “랜섬웨어는 초기에 단순히 데이터를 암호화하고, 그 해독을 위한 비용을 요구하는 것이 주 목적이었지만, 최근에는 피해자에 대한 압박을 극대화하기 위해 데이터 공개 위협을 통해 몸값을 받아내려하거나, 공격 피해 사실을 외부에 유포하여 기업의 신뢰도를 하락시키는 방법 등 다중 갈취 전술을 적극적으로 활용하고 있다. 이로써 공격자들은 피해자에게 더 큰 압박을 가하며, 복구 불가능한 피해를 줄 수 있다”고 밝혔다.

다시 활개치는 랜섬웨어

2021년 악명높은 랜섬웨어 조직이 잇달아 검거되고 범죄자금을 회수당하면서 공격이 다소 주춤했지만, 지난해부터 다시 늘기 시작했다. 체크포인트 리서치 보고서 분석에 따르면 2022년 한해동안 약 790만건의 랜섬웨어 피해가 발생했는데, 이는 전년대비 100% 증가한 수치다. 빔 소프트웨어는 지난해 85%의 기업이 랜섬웨어 공격을 당했고 80%는 실제로 피해를 입었다고 답했다.

아카마이 조사에서는 제로데이·원데이 취약점 공격이 급증하면서 2022년 1분기 대비 2023년 1분기 피해자가 143% 늘었다. 베리타스 조사에서는 기업을 대상으로 한 랜섬웨어 공격은 15초마다 한 번씩 일어나고 있으며, 전 세계 89%, 국내 92%에 달하는 기업이 클라우드 환경에서 랜섬웨어 공격을 받은 경험이 있는 것으로 나타났다.

랜섬웨어 공격이 늘면서 공격자의 수익도 크게 늘고 있다. 체이널리시스의 ‘2023 가상자산 범죄 보고서’에서는 랜섬웨어 수익이 2022년 크게 감소했다가 다시 급증했는데, 풍부한 자금력을 갖춘 대규모 조직이 다시 공격을 개시하는 ‘빅게임 헌팅(Big-game Hunting)’이 유행하기 때문이라고 설명했다. 또한 공격자는 돈을 받을 가능성이 점점 낮아지면서 몸값을 받을 수 있는 상황이 됐을 때 더 높은 금액을 요구하고 있어 피해 금액은 더욱 많아질 것으로 보인다.