[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>

분업화·협력하는 사이버 범죄 조직

사이버 범죄자들은 각자 전문 영역을 조직화하고, 서로 협력하면서 공격을 고도화한다. 악성코드·익스플로잇 개발 조직, 개발자 모집 조직, 유출한 데이터를 공개할 사이트를 운영할 조직, 마케팅 조직, 협력사를 모집하는 조직 등으로 분업화되며, 이를 서비스(Crime as a Service)로 제공하는 조직이 있다. 랜섬웨어 서비스(RaaS)가 서비스형 범죄의 대표적인 사례다.

최근에는 초기 침투로 공격 발판까지 만들어주는 이니셜 액세스 브로커(IAB) 서비스가 지하시장에 확실하게 자리잡고 있다. IAB는 일정 금액을 지불 받아 타깃 네트워크에 침투할 수 있는 경로를 제공한다. 그동안 공격자들은 초기침투에 상당한 시간과 노력을 기울여야 했지만, IAB를 이용해 쉽게 공격하고 돈을 받아낼 수 있다.

이호석 SK쉴더스 EQST랩 담당은 “랜섬웨어 시장에서 IAB가 하나의 서비스로 자리 잡으면서 더욱 조직화, 분업화되고 있다. 랜섬웨어 그룹은 IAB와 같이 전문적인 인력과 협력할 뿐 만 아니라 각 분야의 전문적인 인력을 고용해 조직화되고 있다. 그룹 내에는 크게 랜섬웨어를 개발하고 유지·보수하는 랜섬웨어 개발자, 유출 사이트를 개발하고 관리하는 웹 개발자와 웹 디자이너, 일을 총괄하는 총책 등의 조직이 있다. 추가로 계열사나 공격자와의 계약을 통해 조직의 형태를 이뤄 공격을 수행한다”고 말했다.

사이버 범죄 시장에서 RaaS가 대세를 이루고 있지만, 최근 독립적인 공격 조직의 활동도 눈에 띄게 증가하고 있다. 레코디드퓨처는 공격에 악용할 수 있는 취약점이 늘어나면서 단독 범죄를 저지르는 공격조직이 나타나고 있다고 설명했다. 유명 범죄조직들이 갈등을 빚으면서 공격코드가 유출되고 있으며, 공격에 즉시 사용할 수 있는 취약점이 늘어나고 있어, 높은 전문성을 갖지 않은 개인도 범죄를 통해 수익을 올릴 수 있다.

독자적으로 행동하는 조직은 이전에 보지 못했던 방식으로 공격하기 때문에 선제적으로 탐지하기 어렵다. 이들은 적은 비용을 들여 짧은 시간 내에 공격하고 돈을 벌기 때문에 일반적으로 알려진 공격 방법과 절차를 따르지 않으며, 한 번 사용한 공격 방식을 또 사용한다는 보장이 없어 기존 보안 탐지 기법으로는 공격을 인지하기 어렵다.

랜섬웨어 공격자, 상반기 4억5000만달러 수익 올려

랜섬웨어 공격자 생태계가 확장되면서 공격자의 수입도 크게 늘어나고 있다. 체이널리시스에 따르면 랜섬웨어 조직이 올해 6개월동안 4억4910만달러의 수익을 올린 것으로 집계됐는데, 이는 체이널리시스가 모니터링하는 암호화폐 지갑만 조사한 것으로, 실제 범죄수익은 이보다 훨씬 많을 것으로 보인다. 이 숫자를 기준으로 계산해도 올해 랜섬웨어 조직은 8억9860만달러를 벌어들일 것으로 보이며, 이는 2021년 최고치인 9억4000만달러에 근접한 숫자다.

랜섬웨어는 공격이 쉽고 몸값을 받아내는데 유리한 조직을 집중적으로 노린다. 그 대표적인 산업이 ‘의료’ 분야다. 랜섬웨어 공격을 가장 많이 받는 산업군 3위로 랜섬웨어가 꼽혔는데, 의료기관에는 공격자가 탐재는 고급 정보가 있으며, 의료설비를 환자의 생명을 위협하는 랜섬웨어 공격을 하면 몸값을 쉽게 받아낼 수 있기 때문이다.

지원이 중단된 오래된 기기와 첨단 기술을 탑재한 기기를 함께 운영하고 있으며, 다양한 의료 IoT(MIoT) 기기도 연결돼 있어 복잡성이 매우 높다. 수천개의 다양한 공급업체 솔루션을 사용하기 때문에 공급망이나 제3자 보안취약성으로 인한 공격도 쉽게 일어날 수 있다.

노조미네트웍스 조사에 따르면 지난해 하반기 공개된 의료분야 취약점 중 83%가 높거나 중대한 위험 수준을 갖고 있는데, 의료기관은 의료설비의 가용성와 안정성을 우려해 취약점 대응에 소극적인 편이다.

의료기관 타깃 공격이 급증하고 있지만, 보안 태세는 충분하지 않다. 아크로니스 조사에 따르면 의료기관은 다른 분야에 비해 기술에 대한 지출이 적으며 53%의 조직이 예산의 10% 미만을 기술에 투자하고 있으며, 보안은 언제나 투자 후순위에 머물러 있다.

수익 높은 제조·금융기관 공격 많아

제조업은 IoT 연결이 늘어나면서 더 많은 공격 위협에 노출된다. 아카마이 조사에서는 제조분야 랜섬웨어가 피해가 증가하고 있는데, 2021년 4분기 대비 2022년 4분기 42% 증가 했다고 설명했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)의 ‘2023년 상반기 주요 사이버위협 동향’에 따르면 올해 상반기 국내 제조업을 대상으로 한 공격이 63% 늘어났다. 제조업은 설비 중단 시 천문학적인 피해를 입기 때문에 몸값 협상에서 불리해 공격자들이 집중 타깃이 된다. 그런데 제조업은 설비 가용성에 민감한 제조업은 취약점 패치에 소극적이며, 취약점을 해결하지 못한 오래된 소프트웨어와 시스템을 운영하고 있어 공격에 취약하다. 그래서 제조업은 쉽게 공격하고 수익을 얻을수 있다.

중소기업도 공격자의 단골이다. 아카마이가 탐지한 랜섬웨어 피해 조직의 65%는 중소기업이었다. 중소기업만 노리는 에잇베이스(8base) 랜섬웨어도 등장했다.

올해 상반기 금융기관이 가장 많은 랜섬웨어 피해를 입었다는 보고서도 있다. 트렌드마이크로가 탐지한 랜섬웨어 중 9034건이 금융을 타깃으로 한 것으로 가장 많았다. 5073건을 기록한 리테일보다 1.7배 많은 수치다.

팔로알토는 수익성 있는 대형 조직을 겨냥하는 ‘빅게임 헌팅’을 주의하라고 경고했다. 대기업의 관문을 뚫는 것은 어렵겠지만, 보안이 취약한 자회사, 원격지 사무소와 지점·지사, 원격근무자를 감염시켜 내부로 확장하는 것은 상대적으로 쉽다고 설명한다.

취약점 악용 랜섬웨어, 패턴 없이 공격해 선제 방어 어려워

2021년 대형 랜섬웨어 조직이 잇달아 해체된 후 한동안 랜섬웨어 그룹이 새로 등장하는 빈도가 잦아들었지만, 지난해부터 다시 늘어나는 현상을 보이고 있다. 트렌드마이크로가 올해 상반기 탐지한 새로운 랜섬웨어 그룹은 14개, 레코디드퓨처는 현재 100개 이상 변종을 추적하고 있다고 설명했다.

현재 가장 활발한 활동을 벌이고 있는 그룹은 클롭이다. 아카마이는 클롭에 의한 피해자가 2023년 1분기에 전년동기대비 9배 늘었다고 설명했다. 클롭은 2021년 지원 종료된 레거시 파일 전송 기기를이용해 석유기업 대상 공격을 벌였으며, 올해 초에는 고애니웨어 MFT 취약점 악용 공격, 봄부터는 무브잇 제로데이 취약점 공격을 벌였다. 최근 취약한 버전의 무브잇을 실행하는 2500개 이상의 인터넷 노출 서버가 발견되는 등 무브잇 취약점 공격은 여전히 진행중이다.

랜섬웨어 공격그룹은 일정한 패턴을 갖고 있지만, 클롭은 취약점을 이용하기 때문에 공격을 예측하고 방어하기 어렵다. 클롭은 새로운 취약점이 발견되고 사용자가 많으면 빠르게 공격 방식을 바꾸어 진입하는 경향을 보인다. 체이널리시스 보고서에서는 클롭이 랜섬웨어 피해 조직당 평균 173만달러를 받았다고 분석했다.

락비트, 1720건 공격 기록

가장 많은 빈도로 공격하고 있는 것은 락비트다. 락비트는 미국 기업으로부터 9100만달러를 갈취한 전력이 있으며, 전체 랜섬웨어 피해의 39%를 기록하고 있다. 2022년 1분기 대비 2023년 1분기 피해자 수가 143% 증가했다. 락비트가 운영하는 데이터 유출 사이트에는 우리나라 기업을 포함한 40여개 기업이 있으며, 최근 몇 년 동안 1720건의 공격을 한 기록을 세우고 있다.

아크로니스가 상반기 탐지한 랜섬웨어 중 가장 많은 피해자를 만든 조직이 락비트로 전체 피해의 49%를 차지했다. 레코디드퓨처 조사에서도 락비트가 데이터 유출 사이트에 공개한 유출 데이터가 2위인 콘티의 2배, 3위인 클롭의 3.6배에 이른다.

노조미네트웍스는 RaaS 조직인 락비트가 전 세계에 퍼져있으며, 랜섬웨어 공격의 10~25%를 차지하고 있다고 분석했다. 이들은 리눅스, VM웨어 ESXi, 애플 맥OS 침투를 시도하고 있어 랜섬웨어 공격빈도가 낮은 운영환경까지 장악하고자 한다.

악성 윈도우 커널 드라이브를 사용해 보안 소프트웨어 탐지를 피하는 블랙캣(BlackCat) 랜섬웨어의 활약도 두드러진다. 이들은 MS 윈도우 하드웨어 개발자 프로그램에서 도난당한 키를 사용해 서명된 윈도우 커널 드라이버와 업데이트 버전을 사용한다. ALPHV로도 불리는 블랙캣은 RUST 언어를 사용해 보안 탐지를 성공적으로 회피하고 있다.

국내 기업을 노리는 조직도 다양하게 공개된다. 안랩이 분석한 ‘하쿠나 마타타(Hakuna matata)’ 랜섬웨어는 암호화 이후에도 시스템에 상주하며 암호화폐 지갑 주소를 공격자 주소로 변경시켜 피해 기기에서 암호화폐 거래를하면 공격자 지갑 주소로 거래가 이뤄지도록 한다. 이들은 RDP를 이용해 침투한 것으로 추정되며, 시스템 잠입 후 많은 시스템을 암호화시키고, 데이터 유출과 공개 협박을 한다.

2021년 온라인에 유출된 바북록커 랜섬웨어 코드를 이용하는 변종 공격도 끊임없이 발견되고 있다. 이스트시큐리티는 바북록커가 리눅스 기반 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문에 많은 공격그룹이 변종을 만들어 공격하고 있다고 설명했다.