[데이터넷] 세계 2위 랜섬웨어 그룹 블랙캣(Blackcat)이 국제공조로 폐쇄됐는데, 공격자가 이를 다시 회수했다고 공개하면서 수사조직과 공격조직의 팽팽한 줄다리기를 보여줬다. 블랙캣은 북미와 유럽에서 활동했으며, 전체 랜섬웨어 공격의 6%를 차지하는 악명높은 그룹이다. 이들은 시스템과 데이터를 암호화하고, 유출한 데이터를 사이트에 게시한다고 협박하며, 몸값 협상을 위해 피해자 중 한 곳을 규제기관에 신고하기도 했다.

12월 20일 유로폴과 미국 법무부 등이 공조해 블랙캣 조직의 다크넷 사이트를 압수하고 폐쇄하면서 이 사실을 알리는 스플래시 페이지를 띄웠다. 그러자 블랙캣 공격자들이 회수했다는 내용의 페이지로 바뀌었다. 범죄자의 메시지로 바뀐 페이지는 특정 지역에서 접속할 때 보이는 것으로 보인다.

여러 계열사 거느리며 규모 키우는 RaaS

랜섬웨어 조직이 검거되고 공격자가 사용하는 인프라와 범죄수익이 회수되는 성과가 이어지고 있지만, 랜섬웨어 범죄는 사라지지 않으며 오히려 더 큰 사이버 범죄 시장으로 성장하고 있다. 지하시장에서는 서비스형 랜섬웨어(RaaS) 조직을 중심으로 다양한 계열사가 협력하고 있다. 공격도구 개발조직, 초기침투 브로커(IAB), 유출한 데이터를 공개하는 사이트 운영조직, 개발자 채용을 위한 헤드헌팅 조직, 공격자와 연결시켜주는 브로커, RaaS를 소개하는 마케팅 조직 등 다양한 ‘전문’ 조직이 활동하면서 시장을 키우고 있다.

여러 계열사를 거느리는 RaaS에 대응하는 것은 점점 더 어려워지고 있다. SK쉴더스에 따르면 락비트 공격자들이 3AM이라는 새로운 RaaS를 출범시켰으며, 보안시스템에 의해 락비트가 차단되면 3AM이 공격하는 방식으로 공격 효과를 높이고 있다. 이처럼 계열사끼리 협력해 보안 시스템을 우회하는 시도가 점점 더 고도화되고 있다.

RaaS는 다양한 판매 옵션을 제공하면서 공격을 더 쉽고 효율적으로 진행한다. 정기 과금 방식으로 랜섬웨어 도구와 인프라를 유지·관리할 수 있는 서비스를 제공하고, 계열사에 RaaS 구독권을 판매하거나 일회성으로 랜섬웨어 코드를 판매한다.

간혹 조직간, 혹은 조직 내 갈등으로 내부 비리를 폭로하거나 공격도구의 소스코드와 복호화 키를 공개하면서 조직을 와해시키는 일이 발생하며, 국제 사법기관에 의해 조직원이 검거되고 공격 인프라가 폐쇄되면서 활동이 중단되기도 한다.

와해된 조직의 조직원은 독자적인 활동을 하거나 다른 조직에 흡수된다. 그러면 IOC가 바뀌고, 공격 패턴이 달라지기 때문에 기존 공격그룹 식별과 방어 패턴으로는 대응할 수 없고 새로운 식별 패턴이 필요해진다.

생성형 AI로 인해 랜섬웨어 대응이 더 까다로워졌다. 생성형 AI를 사용해 보안 탐지가 어려운 맞춤형 피싱을 사용하고, 목표 조직의 시스템에서 취약점을 찾아내며, 이를 이용해 침투할 수 있는 가장 좋은 공격 방식을 알아낸다. 자신이 개발한 공격도구와 전술·전략의 허점을 생성형AI에 물어보고 개선하며, AI를 이용한 탐지를 우회할 수 있는 방법도 알아낸다.

수단 방법 가리지 않고 금전 갈취

랜섬웨어 공격자는 사회공학기법 피싱, 다크웹에서 판매되는 계정정보와 IAB 서비스, 노출된 취약점, 내부자 매수 등으로 침투한 후 시스템 내부에서 권한을 획득하면서 중요 정보에 접근한다. 가치가 높은 데이터를 수집해 유출한 후 랜섬웨어를 진행해 몸값을 주지 않으면 데이터를 공개한다고 협박한다.

몸값을 받고 복호화 키를 받은 후, 이 사실을 경쟁사, 고객, 규제기관에게 알린다면서 또 다시 돈을 요구한다. 일부 공격 사례에서는 공격 보고서를 제작해 강매하면서 구입하지 않으면 이를 인터넷에 공개하겠다고 또 다시 협박한다.

공격자가 무작정 높은 몸값을 요구하는 것은 아니며, 피해기업이 지불할만한 ‘적정 금액’을 계산한다. 피해조직의 매출액 등을 감안해 지불할 수 있는 수준 내에서, 컴플라이언스 위반, 고객 손해배상액 등을 감안했을 때 몸값 지불이 더 낫다고 판단하는 금액이다.

몸값을 준다고 해서 데이터를 받을 수 있는 것도 아니다. 가트너 조사에 따르면 몸값을 지불한 기업은 암호화 데이터의 61%만 복구할 수 있었으며, 암호화 키가 제공된다 해도 복호화 속도가 느려 사고 이전 수준으로 복구하는 것이 매우 어렵다.

랜섬웨어 피해금액은 나날이 높아지고 있다. 사이버시큐리티벤처스는 랜섬웨어가 2초마다 한 번씩 공격하고 있다고 분석했으며, 2031년까지 매년 2650억달러의 피해를 입을 것으로 예상했다. 랜섬웨어 지불 금액 중 가장 큰 금액은 CAN 파이낸셜이 지불한 4000만달러였다. 랜섬웨어 갱단의 수익은 더 높아져 블랙바스타(Black Basta)는 2년간 1억700만달러의 수익을 걷어들인 것으로 알려진다.

아카마이 조사에 따르면 아시아 태평양 지역 랜섬웨어 피해자는 2022년 1분기부터 지난해 1분기까지 1년동안 204% 증가했다. 우리나라의 지난해 상반기 피해는 전년대비 14% 증가했으며, 중견기업 피해가 3배 늘었다.

쉽게 공격해 수익 얻는 랜섬웨어

공격자는 더 쉽게 침투할 수 있으며, 많은 돈을 받을 수 있는 조직을 노린다. 보안이 취약한 중소기업을 공격해 지적재산권(IP)을 훔치고, 피해기업의 원청업체나 파트너십 관계에 있는 대규모 조직으로 접근할 수 있는 권한도 획득한다. 해외 지점·지사, 공급망 관계사, 프리랜서 개발자 등을 통해 침투하는 행태도 자주 보이고 있다.

최근에는 의료기관이 집중 공격을 당하고 있다. 의료기관은 IT 기술을 활용한 스마트 의료 시스템으로 전환하면서 보안 투자에는 소홀한 편이다. 병원은 높은 수익을 안겨줄 수 있는 의료데이터가 풍부하게 있으며, 의료 서비스가 중단됐을 때 환자의 생명을 위태롭게 할 수 있기 때문에 몸값을 받아내는데 유리하다.

마이크로소프트는 2022년 9월 이후 랜섬웨어 시도가 2배 이상 증가했다고 분석했다. 보안에 취약한 병원, 학교, 지방정부 등에서 피해가 컸으며, 랜섬웨어의 80% 이상이 관리되지 않은 기기로 인해 발생했다고 설명했다.

미국 미네소타대학 연구에 따르면 랜섬웨어 공격을 받은 병원에 입원한 환자의 병원 내 사망률이 증가했다는 조사결과를 발표한 바 있다. 미국 일리노이주의 120년 된 병원 세인트마가렛헬스는 2021년 랜섬웨어 공격을 받았는데 그 피해를 회복하지 못하고 지난해 폐쇄를 결정했다.

전 세계 협력해 랜섬웨어 대응

랜섬웨어는 기업의 최대 위협이 될 뿐 아니라 국가 안보에도 치명적인 위협이 될 수 있다. 콜로니얼 파이프라인 공격에서 볼 수 있듯, 시민 생활에 밀접한 관련이 있는 인프라를 중단시켰을 경우 막대한 피해가 발생한다. 만일 원자력발전소를 랜섬웨어로 멈추게 했다가 폭발 등의 사고가 발생한다면 전쟁으로 인한 피해를 넘어서는 타격을 입게 된다.

이에 세계 주요 국가 정부가 랜섬웨어 대응에 적극적으로 나서고 있는데, 영국의 경우 국가안보전략합동위원회(JCNSS)는 치명적인 랜섬웨어 공격 위험을 경고하는 보고서를 발표하면서 국가사이버보안센터, 국가범죄수사국과 협력해 내각에서 책임지고 랜섬웨어 대응에 나설 것을 요구했다.

미국 국가안보회의(NSC)는 우리나라, 일본, 영국, EU 등 전 세계 48개국가 인터폴 등 국제수사기관이 함께하는 ‘랜섬웨어 대응 이니셔티브 정상회의(CRI)’를 결성, 정기적인 회의를 개최하면서 랜섬웨어 대응을 위한 국제대응에 나서고 있다. 지난해 11월 열린 3차 회의에서는 랜섬웨어 대가로 절대 금전을 지불하지 않는다는 서약에 서명했다.

백업, 랜섬웨어 피해 예방 위한 기본

랜섬웨어 피해를 예방하기 위해서는 백업·복구 시스템을 기본적으로 갖춰야 한다. 가트너는 데이터 보호에 대한 계층화된 접근 방식으로 백업·복구 시스템을 구축할 것을 권고했다. 데이터와 애플리케이션의 비즈니스 영향도를 분석해 보호 수준을 결정하며, 중요한 데이터는 고성능 스토리지에 백업·복구 시스템을 갖춰 빠르게 복구하고, 불변 스토리지와 격리된 데이터 세트를 사용해 안전하게 보호할 것을 권장했다. 또한 온프레미스, 오프사이트 데이터센터, 클라우드 등 여러 환경과 다양한 매체에 데이터 세트를 복제해 가용성과 추가 보호를 지원해야 한다.

백업은 랜섬웨어 피해 예방을 위한 가장 기본적인 조치이지만, 이조차 제대로 갖춰지지 않은 곳이 많다. 베리타스 조사에 따르면 한국 기업의 29%가 데이터 복구 전략이 없거나 일부만 갖고 있다고 답했다. 한국 기업의 38%가 지난 2년간 데이터 유실을 경험했다고 답했는데도 백업에는 소홀했던 것이다.

백업만으로는 랜섬웨어 대응이 충분하지 않으며, 랜섬웨어 공격 시도의 빠른 탐지와 차단이 필요하다. 조직은 공격 예방을 위한 보안 조치를 적극 실시하며, 피싱 등으로 초기 침투를 허용하지 않도록 직원의 보안 인식 교육도 정기적으로 시행한다.

민간 협력으로 랜섬웨어 공동 대응

랜섬웨어 방어를 위해서는 새로운 랜섬웨어 공격 방식을 파악하고 대응할 수 있어야 하며, 이를 위해서는 다방면의 협력이 필요하다. 특히 피해기업은 적극적으로 피해 사실을 관계기관에 알려 새로운 공격에 대응할 수 있는 방법을 찾아야 한다.

그런데 KISIA의 정보보호 실태조사에 따르면 랜섬웨어 침해사고를 신고하지 않은 기업이 더 많았는데, 피해 규모가 경미해서 신고하지 않았다는 답이 69.8%에 이른다. 신고하지 않은 이유에 대해 신고가 복잡해서, 신고해도 피해가 회복되지 않을 것이어서가 각각 27.9%였다.

랜섬웨어 대응을 위해서는 피해기업의 적극적인 협조가 필요하다. 피해기업의 공격 방식을 파악해 대응 방법을 찾아 다른 공격 피해를 막아야 하기 때문이다. 기업·기관간 정보공유, 국가간 정보공유도 필수이며, 국가간 공조수사도 필요하다. 랜섬웨어는 국경을 초월해 공격을 진행하기 때문이다.

국제공조를 통해 악명높은 갱단이 폐쇄되는 성과가 이어지고 있다. 블랙캣, 다크사이드, 콱봇(Qakbot), 레인저 로커 등의 인프라가 해체되고 데이터 유출 사이트가 폐쇄됐다. 랜섬웨어 대응 성과를 높이기 위해 여러 기업과 기관, 국가가 협력하면서 랜섬웨어 조직의 변화를 추적하고, 대응책을 마련하고 있다.

우리나라에서는 SK쉴더스가 주도하고 있는 민간 합동 랜섬웨어 대응 조직 카라(KARA)에 트렌드마이크로, 지니언스, 구글 클라우드 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우, S2W 등이 참여하고 있으며, 랜섬웨어 예방과 피해복구, 협상 및 대책까지 지원하고 있다.