[보안뉴스 문가용 기자] 랜섬웨어 그룹들의 ‘전문성’이 날이 갈수록 높아지고 있다. 랜섬웨어 자체의 수준도 높아지고 있지만, 그 랜섬웨어를 전략적으로 활용해 피해자의 목을 죄고, 산업 전체적으로 협업과 파트너십의 구조를 형성하는 측면에 있어서 놀라운 발전을 거듭하고 있다. 랜섬웨어 대여업인 RaaS 시장은 본격적으로 무르익어 가는 중이다.
[이미지 = utoimage]
2022년 전반기 동안 가장 활발하게 활동했던 랜섬웨어 그룹은 콘티(Conti), 록빗(LockBit), 알프브이(Alphv), 블랙바스타(Black Basta), 바이스소사이어티(Vice Society) 등이다. 보안 업체 루킹글래스(LoookingGlass)의 보고서에 의하면 이들 그룹은 대부분 미국의 조직들을 집중적으로 공략했다고 한다. 하지만 다른 지역에서의 피해도 만만치 않았다.
루킹글래스는 전반기 동안 1133건의 랜섬웨어 사건과 207건의 데이터 유출 사건을 조사했다고 한다. 이 중 상당 수가 15개의 주요 랜섬웨어 공격 단체에 의해 자행됐는데, 록빗, 콘티, 알프브이가 가장 많은 사건을 일으킨 것으로 분석됐다. 다양한 분야에서 공격이 발생했지만 그 중에서도 특히 제조업과 산업재 분야에서 가장 많은 피해가 있었다. 그 다음으로 엔지니어링과 건설, 의료, 생명 과학, 도소매 분야가 주로 겨냥을 당했다.
전문화와 ‘규모의 경제’
루킹글래스는 랜섬웨어 산업의 전문화를 이끄는 두 가지 요인을 소프트웨어의 발전과 범죄 네트워크의 향상이라고 보고 있다. 이 두 가지가 있어 랜섬웨어를 대여 하는 서비스인 RaaS가 나올 수 있었고, 덩치가 커진 랜섬웨어 공격 단체가 버그바운티를 실시할 수 있었으며 자체적으로 영업 팀과 고객 관리 팀까지 갖출 수 있었다는 것이다. “예전에는 랜섬웨어라는 멀웨어를 개발하는 사람 몇으로 구성된 게 다였는데, 이제는 영업 팀과 고객 관리 팀까지 갖춘 정식 사업체가 되었습니다. 산업 자체를 더 활성화시킬 구조가 완성된 것이죠. 당분간 랜섬웨어가 사라지리라 기대하기 힘듭니다.”
루킹글래스의 CEO 브라이언 웨어(Bryan Ware)는 “규모의 경제도 랜섬웨어의 전문화를 도왔다”고 말한다. “RaaS를 통해 랜섬웨어 공격을 하는 것과, 랜섬웨어 개발자 스스로가 공격을 하는 것과, 이룰 수 있는 성과의 규모가 대단히 다릅니다. RaaS 방식이 훨씬 많이 공격할 수 있고, 그러므로 기대 수익이 비교할 수 없을 정도로 높죠. 규모가 커지니 수요도 높아지고, 그것에 공급을 맞춰야 하니 더 커지는 방향으로 갈 수밖에 없기도 하고요.”
대부분 랜섬웨어 그룹들에 있어 범죄의 동기는 당연히 돈이다. 전문화의 과정 없이도 돈을 벌 수 있었다면 아마 지금도 전문화가 되지 않았을 것이다. 즉 전문화가 더 많은 수익을 보장해주니 전문화 혹은 기업화에 투자를 하는 것이라고 볼 수 있다. “이것 외에는 이들이 자꾸만 전문가로 변모해 가는 현상을 설명할 방법이 없습니다. 회사처럼 운영하면 할수록 금전적으로 나아지는 부분이 있는 것이 확실합니다.” 웨어의 설명이다.
랜섬웨어가 자꾸만 전문적으로 발전한다는 건 IT 팀과 보안 팀에 어떤 의미로 다가갈까? 랜섬웨어 활동이 더 빈번해지고, 랜섬웨어라는 소프트웨어가 계속해서 발전할 것이라는 뜻이다. “이전보다 더 향상된 랜섬웨어가 등장할 가능성이 훨씬 높아졌습니다. 심지어 그 개발 속도가 느리지도 않을 것이라고 봅니다. 이제 개발을 담당한 사람이 영업이나 공격, 수익 배분, 현금화 등에 신경 쓰지 않아도 되거든요. 전문화를 통해 일이 분담됐고, 개발자는 이제 개발에만 집중할 수 있습니다.”
RaaS의 전문화, 지속된다
올해 통신사인 버라이즌(Verizon)도 보고서를 통해 비슷한 내용의 경고를 발표한 적이 있다. 랜섬웨어 공격은 효율적으로 변하고 있고, 다크웹의 경제 역시 전문적인 구조를 갖추기 시작했다는 내용이었다. 또한 이런 방향으로의 발전은 한동안 이어질 것이라고 예측하고 있다. “분업의 구조를 갖췄다는 건 성장의 발판이 마련됐다는 것과 동일한 말입니다. 여기까지 온 랜섬웨어 운영자들이 성장을 가속시킬 건 분명한 일입니다.” 당시 버라이즌이 보고서에 쓴 내용이다.
실제로 현재 다크웹에는 랜섬웨어와 관련된 시장들이 우후죽순 늘어나는 중이다. 산업 전체가 부유해지고 있다는 뜻이다. 최근 베나피(Venafi)와 포렌식패스웨이즈(Forensic Pathways)가 조사한 바에 따르면 각종 랜섬웨어 패밀리, 소스코드, 빌드 서비스, 맞춤형 개발 서비스, RaaS 광고가 목록화 되어 있는 웹 페이지가 다크웹에서만 475쪽이 넘는다고 한다.
랜섬웨어 시장의 번창은 ‘최초 접근 브로커(IAB)’들과의 파트너십 증가를 통해서도 엿볼 수 있다. 올해 보안 업체 소포스(Sophos)가 발표한 보고서에 의하면 랜섬웨어 운영자들과 최초 침투 브로커들 사이의 협업 사례가 크게 증가하는 중이라고 한다. 한 쪽은 랜섬웨어에만 온전히 역량을 쏟고, 다른 한 쪽은 피해자의 네트워크에 침투해 문을 열어두는 것에 역량을 쏟음으로서 시너지를 내는 것이다. IAB의 증가는 범죄 시장으로의 진입 장벽을 낮추고 있기도 하다.
3줄 요약
1. 랜섬웨어 운영자들의 전문화, 다크웹을 풍요롭게 함.
2. 전문화가 되면서 랜섬웨어의 질도 높아지고 공격 전략도 탄탄해짐.
3. 일종의 기업처럼 운영되는 랜섬웨어, 전문화의 흐름은 이어질 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>