챗GPT 이용 랜섬웨어 피해 현실화 ··· 중요 인프라 타깃 공격 위험
[데이터넷] 지난해 챗GPT를 이용해 랜섬웨어 공격을 한 중국 해커들이 체포됐다. 이들은 챗GPT를 활용해 랜섬웨어 기능을 개선하고, 피해자 네트워크 취약점을 찾아낸 것으로 알려진다.
SK쉴더스의 ‘2023년 4분기 KARA 랜섬웨어 동향 보고서’에서는 챗GPT와 같은 생성형 AI를 이용하는 랜섬웨어 공격자의 행태에 대해 자세히 분석했다. 이들은 랜섬웨어 공격 성공률과 정확도를 높이기 위해 생성형 AI를 사용하며, 구글 바드의 다크웹 버전 ‘다크바트(DarkBart)’도 사용하는 것으로 알려진다.
이미 지하시장에서는 피싱·BEC를 위한 AI 모델 ‘웜GPT(WormGPT)’, 악성코드 작성과 피싱 페이지 생성 등을 위한 AI 모델은 ‘사기GPT(FraudGPT)’가 널리 사용되고 있으며, 랜섬웨어를 위한 AI 활용 사례도 공유되면서 보안 탐지를 우회하고 사용자를 효과적으로 속이는 것으로 알려진다.
협력사 이용 공격 위험도 높아
보고서에 따르면 지난해 4분기 탐지된 랜섬웨어는 1266건으로, 전년 동기 대비 65.4% 상승했다. 이 중 국내에서는 4건의 피해사례가 확인됐다. 10월 석유제조업체가 노이스케이프(NoEscape) 그룹의 공격을 당했으며, 11월에는 국제기구와 전자부품 제조업체가 락비트(LockBit), 퀼린(Qilin) 그룹의 피해를 입었다. 12월에는 블랙스위트(BlackSuit) 그룹이 골프 관련 소프트웨어 개발 업체를 공격해 개인정보를 유출하고 이를 악용한 피싱 문자 등으로 추가 피해를 입혔다.
SK쉴더스가 조사한 해킹 사고 중에서는 협력사가 랜섬웨어 공격을 당해 원청사의 회계 서버와 민감 자료가 암호화되고, 파일이 유출된 사례가 있었다. SK쉴더스는 협력사를 비즈니스 파트너로 많이 활용하는 제조업에서 랜섬웨어 공격 비중이 가장 높으며, 지난해 전체 랜섬웨어 중 22%가 제조업을 대상으로 한 것이라고 설명했다.
이 기간 눈에 띄는 랜섬웨어 동향 중 전 세계적으로 핵티비즘의 성격을 띈 공격이 늘었다는 것이다. 기업, 정부기관 등 전 세계 다양한 대상을 목표로 공격하고 있으며, 고스트섹(GhostSec), 솔로몬의 병사(Soldiers of Solomon) 등의 활동이 증가했다.
고스트섹은 이슬람 극단주의 단체 ISIS에 사이버 공격을 수행하기 위한 그룹이며, 지난해 10월부터 텔레그램 메신저를 통해 고스트락커(GhostLocker) 서비스형 랜섬웨어(RaaS)를 판매하기 시작했다. 가격은 999달러이며, 4999달러까지 인상시킬 계획이다.
협력자에 수익 90% 주는 ‘블랙캣’
이번 보고서에서는 러시아 기반 공격그룹 블랙캣(BlackCat)에 대해 상세히 분석했다. 이들은 데이터를 유출과 암호화 협박을 병행하는 대표적인 그룹으로 FBI가 블랙캣의 데이터 유출 사이트를 압수했다고 발표했는데, 이들은 곧바로 인프라를 복구하고 활동을 재개했다. 또 FBI에 대한 보복을 목적으로 핵심 인프라 공격을 예고하기도 했다.
이들은 2021년 활동을 시작했으며, 2022년 227건, 2023년 431건의 공격을 성공시켰다. 러시아어에 능통한 협력자만 모집하고 있으며, 피해자의 PC에서 사용하는 언어가 독립국가연합(CIS)에서 사용하는 언어이면 공격하지 않는다.
블랙캣은 협력자에게 높은 수익률을 보장하면서 빠르게 영향력을 확대하고 있다. 블랙캣 그룹은 수익의 90%를 제공하는데, 다른 조직은 공격을 통해 얻은 수익의 70%를 제공한다고 광고한다. 이들은 RaaS를 사용하며, 폭발물 제조, 방위 계약, 패션 등 다양한 산업을 대상으로 공격하고 있다.
SK쉴더스·카라, 랜섬웨어 대응 원스톱 서비스 제공
한편 SK쉴더스는 지능화되고 집요해지는 랜섬웨어 공격에 대응하기 위해서는 정보보호 활동을 강화하며, 피해 시 즉시 유관기관에 알리고 전문기업의 도움을 받을 것을 권고했다. SK쉴더스는 민간 보안·백업 및 컨설팅 기업과 민간 랜섬웨어 대응 협의체 카라(KARA)를 운영하고 있으며, 랜섬웨어 사고 접수부터 원인 파악, 대응, 복구, 대책 등 모든 절차를 원스톱으로 빠짐없이 지원하고 있다.
김병무 SK쉴더스 정보보안사업부장은 “범죄에 특화된 생성형 AI를 활용한 랜섬웨어 공격이 본격화되고 있는 만큼 랜섬웨어 공격 대응 방안 점검과 기업의 정보보호 활동이 강화되어야 할 것”이라며 “민간에서 유일하게 랜섬웨어 원스톱 서비스를 제공하고 있는 만큼 급변하는 랜섬웨어 공격 트렌드에 맞춘 보안 전략을 선보이겠다”고 밝혔다.
