랜섬웨어 조직 공격해 몸값 대신 자선기부 유도하는 새로운 그룹 나와
USB 이용 공격 다시 부상…러시아·중국 기반 공격자들이 사용
[데이터넷] 올해 상반기 최대위협도 랜섬웨어가 차지했다. 올해 상반기에는 록비트, 클롭 등 대형 랜섬웨어 공격이 발생했으며, 대학을 향한 삼중갈취 랜섬웨어 공격까지 등장했다.
체크포인트의 위협 인텔리전스 부문 체크포인트 리서치(CPR)가 발표한 ‘2023년 중간 보안 보고서’에 따르면 올해 상반기 48개 랜섬웨어 그룹에 의해 2200건 이상의 랜섬웨어 피해가 발생했다. 가장 활발하게 활동한 그룹은 락비트로, 전체 피해의 24%를 차지했다.
하이브, 콘티 등 유명 RaaS 그룹이 수사당국에 의해 검거되고 조직이 와해되자 로얄(Royal), 플레이(Play), 바이언리안(BianLian), 블랙바스타(BlackBasta) 등 새로운 그룹이 등장했다. 또한 말라스라커(MalasLocker)’라는 새로운 공격그룹이 자선기부로 몸값을 내라는 요구를 했는데, 이들의 피해를 입은 조직의 30%가 러시아 공격그룹이었다. 보고서에서는 랜섬웨어 공격그룹 중 러시아 기반 그룹이 가장 많은데, 러시아 조직을 대상으로 랜섬웨어를 한 것이 흥미롭다고 설명했다.
랜섬웨어를 통해 범죄자들이 높은 수익을 올리게 되자 새로운 RaaS 그룹이 생기고, 이들간 경쟁이 격화되고 있다. 서로 더 많은 파트너와 조직원을 모으기 위해 치열하게 다투고 있는데, 대형 그룹의 경우 수백명의 직원, 수억달러의 매출을 올리는 것으로 나타났다.
경쟁이 심화될수록 더 빠른 암호화와 혁신적인 회피기술이 등장하고 있으며, 감염된 컴퓨터의 복구를 더 어렵게 만들고 있다. 다양한 운영체제용 변형 랜섬웨어가 등장하고 있는데, 최근에는 리눅스를 대상으로 하는 랜섬웨어가 크게 늘고 있다.
더불어 기업에서 널리 사용하는 소프트웨어 취약점을 이용하는 공격도 늘고 있다. 락비트는 클라우드 서비스 사업자 클라우드51의 취약점을, 클롭은 고애니웨어 MFT와 무브잇 파일전송 프로그램 취약점을 악용했다. 클롭 공격의 피해를 입은 HR 서비스 제공기업 젤리스의 경우, 자사 고객에게도 피해를 끼치는 다중 공급망 공격의 희생자이자 가해자가 됐다.
교육·의료기관 대상 공격 크게 늘어
이번 보고서에서 주목할 점은 USB를 이용한 공격이 다시 부상하고 있다는 것이다. 지난해 미국 FBI는 악성 페이로드를 탑재한 USB 드라이브가 우편으로 발송된 것을 조사하고 기업·기관의 주의를 당부한 바 있다.
USB 이용 공격 중 가장 유명한 것이 라즈베리 로빈 웜(Raspberry Robin worm)으로, LNK 파일을 이용해 감염된 USB 드라이브를 통해 배포된다. 러시아 기반 공격그룹 FIN11과 관련된 그룹의 소행으로 보인다. 우크라이나 군대와 관련된 개인을 대상으로 한 사이버 스파이 캠페인에서 사용된 사례도 있는데, 이는 러시아 사이버 스파이그룹 가마레돈(Gamaredon)의 일부로 추정되는 셔크웜(Shuckworm)의 소행으로 알려진다. 중국 스파이 그룹인 카마로 드래곤(Camaro Dragon)도 USB를 이용해 전 세계 조직을 감염시켰다.
교육·의료기관 대상 공격이 크게 늘었다는 것도 주목해야 할 변화다. 이 기관은 민감한 개인정보를 다수 갖고 있으며, 환자의 생명을 위협할 수 있기 때문에 공격 성공 시 높은 몸값을 받을 수 있다. 그리고 이 기관은 다루고 있는 정보의 중요성에 비해 보안 대책이 미흡해 공격이 쉽다는 점도 공격자들이 아주 잘 알고 있다.
무한 반복 창-방패 ‘공격용 AI vs 방어용 AI’
공격의 대부분은 이메일을 이용하는데, 올해 상반기 발생한 전체 공격 중 92%가 이메일 악용 공격이었다. 2018년 33%에서 2019년 64%로 2배 가까이 늘더니 2020년부터 80% 이상 비중을 차지해왔으며, 올해는 92%까지 올라갔다.
이메일 악용 공격의 많은 경우가 AI를 이용하고 있다. 공격자는 대화형 AI를 이용해 피해자를 효과적으로 속인다. 이를 AI 기술로 막을 수 있다고 하는데, 공격자는 방어용 AI의 탐지 기술을 빠르게 파악해 이를 우회하는 기술을 더하고 있다. 그야말로 무한 반복되는 창과 방패의 싸움이다.
그럼에도 불구하고 공격자들이 사용하는 것 보다 더 진화한 AI를 이용해야 공격을 막을 수 있다. 체크포인트는 대용량 위협 인텔리전스와 AI 기술을 활용한 ‘쓰렛클라우드 AI’를 통해 고급 공격을 막는다. 쓰렛클라우드AI는 대용량 텔레메트리 데이터와 수백만개의 IoC를 집계하고 분석한다.
체크포인트는 특허 기술 기반 제로 피싱 기술을 적용해 인라인 분석하는 ‘타이탄(Titan)’을 제고하고 있으며, 세계 각국 언어와 국가에 걸친 피싱, 브랜드 사칭, 악성링크와 웹사이트를 차단한다. 제로 피싱은 기존 안티피싱보다 제로데이 피싱 페이지 4배 더 많이 감지했으며, AI 기반 보안 솔루션보다 40% 더 많이 탐지했다. 이 기술은 엔드포인트나 모바일 기기에 설치하지 않아도 돼 쉽게 구축할 수 있다.
마야 호로위츠(Maya Horowitz) 체크포인트 리서치 부문 VP는 “상반기에도 범죄 행위가 지속적으로 증가해 2년 만에 최대 규모를 기록했다. 랜섬웨어나 해티비즘 같은 익숙한 위협은 위협 그룹이 전 세계 조직을 감염시키고 영향을 주기 위해 방법과 도구를 수정하면서 더욱 진화했다. 오랫동안 책상 서랍 속에서 먼지만 쌓이던 USB 저장 장치 같은 레거시 기술도 멀웨어 메신저로 인기를 끌었다”며 “조직은 사이버 보안에 대한 예방 우선의 통합 접근 방식을 채택해 사이버 복원 전략을 구축하고, 방어를 강화해야 한다. 사이버 공격 발생 자체를 봉쇄하기란 불가항력인 일이지만 사전 조치와 올바른 보안 기술을 통해 대부분 예방할 수 있다”라고 말했다.
한편 체크포인트는 점점 더 진화하는 위협에 대응하기 위한 수칙으로 ▲견고한 데이터 백업 ▲사이버 인식 교육 ▲최신 패치 적용 ▲사용자 인증 강화 ▲고급 위협 방지 기술 활용이 필요하다고 강조했다.
