2023년 랜섬웨어 피해자들이 낸 돈은 11억 달러

2024-02-23 16:30
  • 카카오톡
  • 네이버 블로그
  • url
랜섬웨어의 전성기는 아직도 오지 않았다. 아니, 온 줄로 알고 있으면 어느 덧 기록이 깨지고 또 깨진다. 작년 랜섬웨어 공격자들은 피해 액수라는 측면에서 신기록을 세웠다.

[보안뉴스 = 캐리 팔라디 IT 칼럼니스트] 2022년부터 랜섬웨어 생태계가 크게 뒤바뀐 것 같았다. 랜섬웨어 공격의 횟수는 줄어들었고, 범인들에게 돈을 내려하는 피해자들의 수도 줄어들었기 때문이다. 하지만 기쁨도 잠시, 2023년 랜섬웨어는 다시 전성기의 기량을 회복했다. 랜섬웨어 공격의 빈도가 높아졌고, 피해자들로부터 빼앗은 돈의 규모는 새로운 기록을 수립할 정도였다. 블록체인 분석 업체 체이널리시스(Chainalysis)의 조사에 따르면 2023년 한 해 동안 암호화폐를 통해 피해자들이 범인들에게 지급한 돈은 11억 달러(한화 약 1조 4,643억원)라고 한다.


[이미지 = gettyimagesbank]

랜섬웨어가 2023년 한 해 동안 갑자기 전성기의 모습을 되찾은 건 어떤 이유에서일까? 무시무시한 한 해가 지나고서 바로 뒤인 2024년, 우리는 어떤 시간을 지나게 될까? 너무나 오래된 문제인 ‘랜섬웨어’를 새삼스레 집중 조명해 본다.

1. 주요 랜섬웨어 공격자들
사이버 범죄자들에게 있어 랜섬웨어만큼 효자 종목도 없다. 돈도 많이 벌어다주는데 진입 장벽도 낮은 편이기 때문에 사이버 범죄에 관심이 있는 사람들은 누구나 랜섬웨어를 한 번씩 거쳐가는 분위기다. 간단한 취약점 익스플로잇만 할 줄 알아도, 혹은 다크웹에서 랜섬웨어를 구독할 줄만 알아도 누구나 랜섬웨어 공격을 실시할 수 있게 된다. 그래서 도떼기시장 같기도 하지만, 그럼에도 눈에 띄는 몇몇 그룹들이 존재한다.

IT분야의 정보공유분석센터(IT-ISAC)의 위협 첩보 국장인 조나단 브렐리(Jonathan Braley)의 경우 “현재 진행되는 모든 랜섬웨어 공격의 25%가 록빗(LockBit)의 짓”이라고 꼽는다. “이걸 좀 더 와닿게 설명하자면, 일주일에 10번에서 12번 정도 록빗 랜섬웨어 조직의 소행을 목격한다고 볼 수 있습니다. 매주 빠짐없이요.”

2023년에는 TSMC라는 대만의 거대 IT 업체와 IT 제품 및 서비스 제공업체인 CDW가 록빗에 당했던 것이 유명하다. 록빗은 TSMC로부터 7천만 달러,CDW로부터 8천만 달러를 요구했었다. 2024년에는 세인트안토니병원(Saint Anthony Hospital)과 루리소아병원(Lurie Children’s Hospital)을 공격하기도 했다. 다만 록빗은 최근 국제 공조로 무력화된 것으로 알려졌다.

작년 록빗만큼 활동력이 강했던 랜섬웨어 조직으로는 클롭(Clop)이 있다. 무브잇(MOVEit) 침해 사건의 배후 세력으로 꼽히는데, 이 사건으로 수천 개 조직들과 수천만 명의 사용자들이 영향을 받았다고 소프트웨어 업체 엠시소프트(Emsisoft)는 집계하고 있다. 무브잇 사태의 경우, 인기 높은 소프트웨어인 무브잇의 제로데이를 통해 사용자 기업에 대거 침투해 파일을 빼돌렸던 것으로 ‘랜섬웨어 없는 랜섬웨어 사건’으로 기록되고 있기도 하다.

그 다음 눈에 띄었던 그룹은 블랙캣(Blackcat)이다. 이들은 자신들이 침해한 기업 하나가 침해 사실을 공개하지 않자 스스로 미국 증권거래위원회(SEC)에 보고하기도 했다. 12월에는 미국 사법부가 “FBI를 통해 블랙캣 피해자들을 위한 복호화 도구를 개발했다”고 발표했으며, 이를 통해 500개 이상의 조직이 블랙캣의 마수에서 벗어날 수 있었다. 이 때 아낀 피해액은 6800만 달러인 것으로 분석되고 있다.

보안 업체 베이커호스테틀러(BakerHostetler)의 파트너 크레이그 호프만(Craig Hoffman)에 의하면 “랜섬웨어 단체들에 대항하여 움직이는 사법 기관들의 성공 사례가 늘어나고 있다”며 “여기에 당한 공격자들은 힘을 잃고 이전과 같은 활동력을 보이지 못하거나 일정 기간 잠적해 있게 된다”고 설명한다. 그러나 당하고만 있지 않는 게 해커들의 특성이기도 하며, 여러 가지 대책들을 마련해 나타나기도 한다.

보안 업체 어택아이큐(AttackIQ)의 팀장인 앤드류 코스티스(Andrew Costis)는 “랜섬웨어가 처음 등장했을 때만 해도 개별적이고, 파편화 된 움직임만 보였는데 지금은 조직적이고 훨씬 부드러운 움직임들이 보이고 있다”고 말한다. “그래서 랜섬웨어 공격자들은 요 몇 년 정보를 빼돌려 협박하는 전략을 효과적으로 채용하고 있죠. 민감한 데이터를 공개하겠다고 하면서 돈을 톡톡히 뽑아내고 있지요.”

보안 업체 액시오(Axio)의 사이버 보안 고문인 리차드 카랄리(Richard Caralli)는 “오히려 데이터를 빼돌린 후 이를 공개하겠다고 협박하는 게 훨씬 강력한 전략임을 랜섬웨어 조직들이 알아챘다는 게 큰 문제”라고 지적한다. “2023년 MGM과 23앤미(23andMe)에서 벌어진 게 바로 이 데이터 협박 사건이죠. 데이터를 훔쳐서 다크웹에 판매하는 것보다 이런 식으로 피해자를 협박하는 게 훨씬 더 많은 돈을 벌 수 있는 길이라는 게 입증되었습니다.”

2. 주요 공격 기법들
랜섬웨어 그룹들이라고 해서 무조건 고도화 된 공격 기법만 활용하는 건 아니다. 소셜엔지니어링과 피싱 공격이라는, 수없이 그 효과가 증명된 수법이 있는데 굳이 다른 방법을 쓸 이유가 없기도 하다. 카랄리는 “첨단 기술과 효과 좋은 보안 도구들만 생각하다가 기본 실천 사항과 반드시 해야 할 일들을 놓치고 있다는 반증”이라고 지적한다.

제로데이 취약점을 익스플로잇 하는 것 역시 최근 랜섬웨어 공격자들 사이에서 인기가 높아지고 있다. 위에서 언급한 무브잇 사태가 바로 대표적인 사례다. 브랠리는 “난이도가 낮은 공격을 하는 것이 공격자들에게는 가장 좋겠지만, 언젠가는 대단히 높은 곳에 걸려 있는 열매를 노려야 할 때 혹은 노리고 싶을 때도 있다”며 “그럴 때는 새로운 방법과 전략을 동원하기도 한다”고 말한다.

“그러면서 새로운 프로그래밍 언어를 활용하기도 하지요. 러스트로 랜섬웨어를 만들어 공격하는 식으로요. 혹은 맥OS나 리눅스 등 보다 생소한 플랫폼을 공격하기도 하고, 모바일 OS들을 공략 대상으로 삼기도 합니다. 자꾸만 변하는 게 그들이 무서운 이유 중 하나이기도 하지요.”

즐겨 사용하는 전략을 더 날카롭게 벼리기도 한다. 코스티스는 “소셜엔지니어링을 한두 차원 발전시켜 활용하는 사례들도 있다”고 말한다. “다중인증 문자가 계속 피해자에게 전달되게 해서 나중엔 기계적으로 ‘okay’ 버튼을 누르게 하는 ‘피로도 높임 공격’ 같은 것도 있고, 전화기 문자 메시지를 활용하는 피싱 공격도 실제로 활용됩니다. 인공지능이나 생성형 인공지능을 활용하는 것도 최근 유행하고 있습니다.”

3. 주요 피해자들
랜섬웨어 공격자들은 대부분 돈을 위해 움직이는 자들이다. 호프만은 “만약 당신이 VPN을 사용하고 있는데, 마침 랜섬웨어 공격자들이 취약점을 잘 알고 있는 VPN이라면 어떨까”라고 질문을 던지며 “공격자들은 자신이 알고 있는 취약점을 대강 스캔해서 발견되는 것을 익스플로잇 한다”고 스스로 답한다. 돈을 노리는 것이기 때문에 ‘아무나 걸려라’ 식의 공격을 하는 게 대부분이라는 뜻이다. “돈 많은 부자를 찜해서 표적 삼아 노리는 랜섬웨어 공격자는 거의 없습니다.”

그래서 랜섬웨어 피해가 발생하는 산업은 다양하다. 금융 업계는 물론 의료, 교육, 정부 기관 등 구분이 딱히 없다. “다만 최근에는 사회 기간 시설을 노리는 듯한 움직임이 좀 더 많이 탐지되는 편”이라고 브렐리는 짚는다. “사회 기간 시설 관리 측이 랜섬웨어에 감염되면 어떻게 될까요? 돈을 낼 확률이 높죠. 사회 기간 시설 대부분 잠시라도 멈추면 안 되니까요. 게다가 의외로 민감한 정보를 발견할 수도 있습니다.” 그래서 코스티스는 “목적을 가진 랜섬웨어 공격이 늘어난다면 표적형 랜섬웨어 공격이 곧 등장할 수도 있다”고 점친다.

2023년 12월, 이란의 이슬람혁명군과 관련이 있는 한 단체가 미국 펜실베이니아 주의 수도국 한 곳을 해킹한 적이 있었다. 그보다 한 달 전에는 텍사스의 수도 관리 시설이 랜섬웨어에 감염되는 바람에 얼마 간 물 공급이 어려웠다. 카랄리는 “돈도 돈이지만 사회적 혼란과 공포 야기라는 목적을 달성하고 있는 것일지도 모른다”고 공격자들의 동기를 예상하기도 한다.

4. 앞으로의 흐름
2024년이 시작되고 현재까지 IT 업체 콤패리테크(Comparitech)는 60건 이상의 랜섬웨어 사건을 추적하고 있다고 밝힌 바 있다. IT-ISAC은 1월에만 185건의 랜섬웨어 사건을 발견했다고 하는데, 이는 작년 1월 120건에 비해 꽤나 빠르게 증가한 것이다. 그렇기에 2024년, 랜섬웨어 공격자들은 더 많은 공격을 퍼부을 것이 뻔하다고 예측할 수 있다.

여기에 더해 코스티스는 “듀얼 랜섬웨어에 주의해야 한다”고 덧붙인다. “피해자가 랜섬웨어에 걸려 시달리다가 결국 공격자에게 돈을 내면 어떻게 될까요? 파일을 복구하거나 되찾은 후 그 랜섬웨어 공격자를 다시 만나지 않게 될까요? 그러고 싶겠지만, 요즘 랜섬웨어 공격자들은 피해자의 돈을 받은 직후 다른 랜섬웨어를 사용해 공격을 실시합니다 마치 또 다른 랜섬웨어에 걸린 것처럼 피해자들을 압박하는 것이죠. 이렇게 두 가지 랜섬웨어를 가지고 공격하는 걸 듀얼 랜섬웨어라고 합니다.”

호프만의 경우 “가상 환경을 공략하는 랜섬웨어 단체의 기술이 좋아지고 있다”고 지적하기도 한다. “가상 환경에 있기 때문에 안전하다고 여길 수 있는데, 때로는 그 믿음 때문에 가상 환경의 불완전함이 보이지 않게 되기도 합니다. 점점 더 많은 사용자들이 이런 식으로 가상 환경을 적극 사용하기 시작한다면, 이를 전문으로 노리는 랜섬웨어 패밀리가 등장할 겁니다.”

이런 랜섬웨어를 막으려면 무엇보다 보안의 기본기가 잘 갖춰져 있어야 한다고 호프만은 강조한다. “패치 관리, 접근 제어 등 기본만 제대로 해도 랜섬웨어 공격자들을 매우 힘들게 만들 수 있습니다. 또한 내야 할 돈의 액수도 줄일 수 있습니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 가시

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 그린아이티코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 효성인포메이션시스템

    • 비전정보통신

    • 경인씨엔에스

    • 지오멕스소프트

    • 성현시스템

    • 디비시스

    • 다후아테크놀로지코리아

    • 동양유니텍

    • 이앤엠솔루션

    • 세연테크

    • 트루엔

    • 위트콘

    • 투윈스컴

    • 이에스티씨

    • (주)우경정보기술

    • 주식회사 에스카

    • 이오씨

    • 넥스트림

    • 넷앤드

    • 에스지앤

    • 베스핀글로벌

    • 체크막스

    • 프렌트리

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • 포엠아이텍

    • 새눈

    • 창성에이스산업

    • 한국씨텍

    • 태정이엔지

    • 네티마시스템

    • 에이앤티코리아

    • 유투에스알

    • 구네보코리아주식회사

    • (주)일산정밀

    • 이스트컨트롤

    • 에스에스티랩

    • 에이앤티글로벌

    • 주식회사 알씨

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 유에치디프로

    • 두레옵트로닉스

    • 엘림광통신

    • 티에스아이솔루션

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기