<보안뉴스>는 보안전문기자들 간의 열띤 논의와 토론을 거쳐 다가오는 2023년에 가장 이슈가 될 보안 분야 핫키워드 10가지를 선정했습니다. 본지에서는 10개의 핫키워드를 차례로 소개하는 한편, 선정된 이슈를 중심으로 2023년 다양한 특집기획을 진행할 예정입니다. 많은 관심과 성원 부탁드립니다. [편집자주]
어제의 랜섬웨어와 오늘의 랜섬웨어는 다르다. 공격자들의 진화 속도가 매섭기 때문이다. 그렇기에 2023년의 랜섬웨어는 2022년의 랜섬웨어와 다를 수밖에 없다.
[보안뉴스 문가용 기자] 다가올 해를 보안의 관점에서 예측한다고 했을 때 랜섬웨어를 들먹이는 게 식상할 정도로 만연한 위협이 되었다. 하지만 랜섬웨어 공격자들의 발전 속도가 심상치가 않아, 작년의 랜섬웨어와 올해의 랜섬웨어는 단어만 같지 위협이라는 면에서의 무게감은 전혀 다르다. 2023년의 랜섬웨어는 2022년의 그것과 상당히 다른 것이 되어 수많은 기업들을 휘청이게 할 전망이다. 성장하는 랜섬웨어를 연말의 스크루지 얘기처럼 식상하지만 과거와 현재, 그리고 미래로 나누어 아주 간략히 살펴본다.
[이미지 = utoimage]
과거
랜섬웨어의 폭발적인 성장을 이끈 요인들 중 첫 손에 꼽히는 건 ‘이중협박’이라는 전술의 발견이다. 데이터를 암호화 하여 못 쓰게 만들고 나서 돈을 요구하는 기존 전략은 그 데이터를 포기하고자 하는 피해자 앞에서 아무런 힘을 발휘하지 못했다. 그러면 데이터를 포기하지 못하게 해야 했다. 어떻게 해야 할까? 그 고민 끝에 나온 것이 이중협박이다. ‘데이터를 포기하겠다고? 그럼 그 데이터를 내가 온 세상에 공개해도 괜찮겠지?’ 이렇게 나온 것이다.
내 손에 데이터를 쥐지 못하는 것과, 내 손으로 쥐지 못하는 데이터를 다른 사람들이 가져가는 건 다른 문제였다. 돈을 내는 기업들이 늘어났다. 건당 피해액도 늘어났고 총 피해액도 늘어났다. 피해가 커진다는 건 공격자들의 주머니가 두둑해진다는 것이다. 일부 유명 랜섬웨어 단체들은 다크웹에서도 막강한 영향력을 발휘하게 됐고, 이들의 성공을 사모하여 랜섬웨어 업계로 진출한 새내기들도 마구 생겨나기 시작했다.
현재
이중협박이라는 새로운 전략이 전문 사이버 공격 단체들의 배를 불리고 영향력을 높였다면, 그리고 거기서 이 모든 사태가 끝났다면(즉 일부 공격자들만 부유해지는 상황) 우리는 랜섬웨어에 대해 그리 심각하게 고민하지 않았을 것이다. 덩치를 한껏 불린 그 단체만 국제 공조로 잡아내 와해시키면 되니까. 실제 유명한 랜섬웨어 단체들 중 적잖은 수가 경찰과 수사 기관들의 힘으로 산산조각 나면서 하루아침에 다크웹에서 사라진 사례가 한둘이 아니다. 물론 이 조직의 파편들이 훗날 되살아나고 있기도 한데, 이건 뒤에 이어질 ‘미래’ 편에서 언급하겠다.
진짜 문제는 덩치가 커진 랜섬웨어 단체들이 수익을 계속해서 늘려나가려는 과정 중에 자연스럽게 산업화 비슷한 일을 이루기까지 했다는 것이다. 이른바 서비스형 랜섬웨어 혹은 RaaS라는 사업 모델이 대세로 자리를 잡게 된 것인데, 이게 적당히 고객에게 랜섬웨어를 대여해주고 공격 성공 대가를 몇 대 몇으로 나누는 그런 시절의 얘기가 아니다. 이중협박 전략으로 막대한 수익을 벌어들인 랜섬웨어 조직들의 RaaS는 훨씬 더 종합적인 서비스가 되어 있었다.
먼저 이전 RaaS 서비스와 달리 현재의 RaaS 서비스는 랜섬웨어라는 주력 도구의 품질에서 큰 차이가 난다. 랜섬웨어 조직들이 비대해지면서 경쟁 구도가 형성되니 랜섬웨어들마다 독특한 특성과 장점을 가지지 않으면 도태될 수밖에 없었다. 그래서 저마다 랜섬웨어를 강화했다. 하지만 ‘암호화’ 기능이 사실상 거의 전부인 랜섬웨어가 강화되어 봤자 얼마나 더 강화되겠는가. 운영자들은 피해자와 협상을 안전하게 할 수 있는 협상 포털이라는 서비스들도 추가했다. 다크웹의 고객들을 위한 ‘고객지원센터’를 따로 운영하는 곳도 생겨났다. 정상적인 기업에 준하는 구조를 갖추게 된 것이고, 이는 랜섬웨어 범죄를 하나의 산업으로 발전시키는 데에까지 이르렀다.
미래
산업화라는 토대 위에서 랜섬웨어는 전성기를 계속해서 갱신할 것으로 예상된다. 이는 첫째로 보다 더 기업처럼 변모해가는 현상으로 나타날 것이라고 전문가들은 예상하고 있다. 랜섬웨어 조직 간 경쟁 때문에 협상 포털과 고객지원센터가 점점 ‘당연한 것’이 되어가는 상황에 더해 영업팀을 갖춘 랜섬웨어 조직들이 하나 둘 늘어날 것으로 예측되기도 한다. 피해자의 데이터를 시장에 던져놓고 누군가 구매하기를 기다리는 것보다 적절한 판매처를 찾아 확보하는 게 수익성이 높기 때문이다. 그리고 랜섬웨어를 대여할 사람을 보다 빠르게 확보하는 것도 이 영업팀의 일이 될 것이다.
영업팀까지 갖춰둔 상황이라면 랜섬웨어 조직들 간의 경쟁이 매우 치열해질 것이라는 걸 예상할 수 있다. 이 단계에서는 마케팅팀이 나올 것으로 전망된다. 각종 마케팅 이벤트나 프로그램을 개발하고, 이를 통해 고객을 확보하며 새로운 판로를 확보하는 활동이 시작될 것이다. 이런 활동들이 전부 온라인 공간에서 이뤄지니 사업을 보다 원활하게 진행하려면 IT 기술 지원도 보장이 되어야 한다. 어느 순간 IT 지원 팀도 랜섬웨어 조직 안에 생겨날 가능성이 높다. 그런 후에는 조직들 간 M&A 활동도 생겨날 것이다.
랜섬웨어 세계에 대기업들이 하나 둘 생겨날 것이라는 전망인데, 그렇다는 건 틈새 시장을 공략하려는 ‘작은 덩치의 조직’들이 등장할 가능성 역시 높아진다는 의미가 될 수 있다. 랜섬웨어 대기업들은 사법기관의 견제를 끊임없이 받을 것이고, 와해되는 조직들도 생겨날 텐데 이런 조직들로부터 파생된 소규모 조직들이 보다 빠르고 날카롭게 움직여 기업과 기관들의 숨통을 효과적으로 조일 수도 있다. 특정 산업에 특화된 랜섬웨어라든지, 특정 업체만 집요하게 노리는 조직이 될 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]
어제의 랜섬웨어와 오늘의 랜섬웨어는 다르다. 공격자들의 진화 속도가 매섭기 때문이다. 그렇기에 2023년의 랜섬웨어는 2022년의 랜섬웨어와 다를 수밖에 없다.
[보안뉴스 문가용 기자] 다가올 해를 보안의 관점에서 예측한다고 했을 때 랜섬웨어를 들먹이는 게 식상할 정도로 만연한 위협이 되었다. 하지만 랜섬웨어 공격자들의 발전 속도가 심상치가 않아, 작년의 랜섬웨어와 올해의 랜섬웨어는 단어만 같지 위협이라는 면에서의 무게감은 전혀 다르다. 2023년의 랜섬웨어는 2022년의 그것과 상당히 다른 것이 되어 수많은 기업들을 휘청이게 할 전망이다. 성장하는 랜섬웨어를 연말의 스크루지 얘기처럼 식상하지만 과거와 현재, 그리고 미래로 나누어 아주 간략히 살펴본다.
[이미지 = utoimage]
과거
랜섬웨어의 폭발적인 성장을 이끈 요인들 중 첫 손에 꼽히는 건 ‘이중협박’이라는 전술의 발견이다. 데이터를 암호화 하여 못 쓰게 만들고 나서 돈을 요구하는 기존 전략은 그 데이터를 포기하고자 하는 피해자 앞에서 아무런 힘을 발휘하지 못했다. 그러면 데이터를 포기하지 못하게 해야 했다. 어떻게 해야 할까? 그 고민 끝에 나온 것이 이중협박이다. ‘데이터를 포기하겠다고? 그럼 그 데이터를 내가 온 세상에 공개해도 괜찮겠지?’ 이렇게 나온 것이다.
내 손에 데이터를 쥐지 못하는 것과, 내 손으로 쥐지 못하는 데이터를 다른 사람들이 가져가는 건 다른 문제였다. 돈을 내는 기업들이 늘어났다. 건당 피해액도 늘어났고 총 피해액도 늘어났다. 피해가 커진다는 건 공격자들의 주머니가 두둑해진다는 것이다. 일부 유명 랜섬웨어 단체들은 다크웹에서도 막강한 영향력을 발휘하게 됐고, 이들의 성공을 사모하여 랜섬웨어 업계로 진출한 새내기들도 마구 생겨나기 시작했다.
현재
이중협박이라는 새로운 전략이 전문 사이버 공격 단체들의 배를 불리고 영향력을 높였다면, 그리고 거기서 이 모든 사태가 끝났다면(즉 일부 공격자들만 부유해지는 상황) 우리는 랜섬웨어에 대해 그리 심각하게 고민하지 않았을 것이다. 덩치를 한껏 불린 그 단체만 국제 공조로 잡아내 와해시키면 되니까. 실제 유명한 랜섬웨어 단체들 중 적잖은 수가 경찰과 수사 기관들의 힘으로 산산조각 나면서 하루아침에 다크웹에서 사라진 사례가 한둘이 아니다. 물론 이 조직의 파편들이 훗날 되살아나고 있기도 한데, 이건 뒤에 이어질 ‘미래’ 편에서 언급하겠다.
진짜 문제는 덩치가 커진 랜섬웨어 단체들이 수익을 계속해서 늘려나가려는 과정 중에 자연스럽게 산업화 비슷한 일을 이루기까지 했다는 것이다. 이른바 서비스형 랜섬웨어 혹은 RaaS라는 사업 모델이 대세로 자리를 잡게 된 것인데, 이게 적당히 고객에게 랜섬웨어를 대여해주고 공격 성공 대가를 몇 대 몇으로 나누는 그런 시절의 얘기가 아니다. 이중협박 전략으로 막대한 수익을 벌어들인 랜섬웨어 조직들의 RaaS는 훨씬 더 종합적인 서비스가 되어 있었다.
먼저 이전 RaaS 서비스와 달리 현재의 RaaS 서비스는 랜섬웨어라는 주력 도구의 품질에서 큰 차이가 난다. 랜섬웨어 조직들이 비대해지면서 경쟁 구도가 형성되니 랜섬웨어들마다 독특한 특성과 장점을 가지지 않으면 도태될 수밖에 없었다. 그래서 저마다 랜섬웨어를 강화했다. 하지만 ‘암호화’ 기능이 사실상 거의 전부인 랜섬웨어가 강화되어 봤자 얼마나 더 강화되겠는가. 운영자들은 피해자와 협상을 안전하게 할 수 있는 협상 포털이라는 서비스들도 추가했다. 다크웹의 고객들을 위한 ‘고객지원센터’를 따로 운영하는 곳도 생겨났다. 정상적인 기업에 준하는 구조를 갖추게 된 것이고, 이는 랜섬웨어 범죄를 하나의 산업으로 발전시키는 데에까지 이르렀다.
미래
산업화라는 토대 위에서 랜섬웨어는 전성기를 계속해서 갱신할 것으로 예상된다. 이는 첫째로 보다 더 기업처럼 변모해가는 현상으로 나타날 것이라고 전문가들은 예상하고 있다. 랜섬웨어 조직 간 경쟁 때문에 협상 포털과 고객지원센터가 점점 ‘당연한 것’이 되어가는 상황에 더해 영업팀을 갖춘 랜섬웨어 조직들이 하나 둘 늘어날 것으로 예측되기도 한다. 피해자의 데이터를 시장에 던져놓고 누군가 구매하기를 기다리는 것보다 적절한 판매처를 찾아 확보하는 게 수익성이 높기 때문이다. 그리고 랜섬웨어를 대여할 사람을 보다 빠르게 확보하는 것도 이 영업팀의 일이 될 것이다.
영업팀까지 갖춰둔 상황이라면 랜섬웨어 조직들 간의 경쟁이 매우 치열해질 것이라는 걸 예상할 수 있다. 이 단계에서는 마케팅팀이 나올 것으로 전망된다. 각종 마케팅 이벤트나 프로그램을 개발하고, 이를 통해 고객을 확보하며 새로운 판로를 확보하는 활동이 시작될 것이다. 이런 활동들이 전부 온라인 공간에서 이뤄지니 사업을 보다 원활하게 진행하려면 IT 기술 지원도 보장이 되어야 한다. 어느 순간 IT 지원 팀도 랜섬웨어 조직 안에 생겨날 가능성이 높다. 그런 후에는 조직들 간 M&A 활동도 생겨날 것이다.
랜섬웨어 세계에 대기업들이 하나 둘 생겨날 것이라는 전망인데, 그렇다는 건 틈새 시장을 공략하려는 ‘작은 덩치의 조직’들이 등장할 가능성 역시 높아진다는 의미가 될 수 있다. 랜섬웨어 대기업들은 사법기관의 견제를 끊임없이 받을 것이고, 와해되는 조직들도 생겨날 텐데 이런 조직들로부터 파생된 소규모 조직들이 보다 빠르고 날카롭게 움직여 기업과 기관들의 숨통을 효과적으로 조일 수도 있다. 특정 산업에 특화된 랜섬웨어라든지, 특정 업체만 집요하게 노리는 조직이 될 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
