랜섬웨어 조직, 신규 그룹 계속 등장하고 IAB와 협업 등 규모 확대 전망
랜섬웨어 대응 역량 확대 위해 단계별 보안 프로세스 마련해야

[보안뉴스 이소미 기자] 점점 더 고도화되는 사이버 공격은 기업부터 개인에 이르기까지 멈추기는커녕 걷잡을 수 없을 만큼 확대되고 있다. 특히 기업 자산인 시스템의 경우 한 번 뚫리게 되면 데이터 유출은 물론 모든 업무가 일시에 마비될 정도로 그 피해는 매우 심각하다. 또한 복구에 투입되는 시간과 비용도 만만치 않아 각국 정부가 사전 예방에 초점을 맞춰 사이버 보안 강화에 열을 올리고 있는 이유다.


[이미지=gettyimagesbank]

랜섬웨어, 모바일·가상자산 공격, 피싱·스미싱, 산업 IoT 보안 위협 등은 최근까지 꾸준히 발생하고 있는 사이버 공격 유형이다. 이 중에서도 ‘랜섬웨어’는 다변화와 진화 과정을 거쳐 여전히 가장 활발히 감행되고 있는 공격이다. 대다수의 보안기업 및 보안전문가들은 2024년에도 랜섬웨어 위협은 여전히 유효하다고 예측하고 있다.

전 세계적으로 랜섬웨어 공격과 금전 갈취를 위한 협박이 동시복합적으로 진행되며 피해규모 역시 꾸준히 증가세를 이뤘다. 민간 랜섬웨어협의체(Korea Anti Ransomeware Alliance, 이하 KARA) 분석 결과에 따르면, △1분기 총 933건 △2분기 총 1,311건 △3분기 총 1,384건으로 집계되며 올해 랜섬웨어 그룹 공격은 분기별로 꾸준히 증가한 것으로 나타났다.

올해 주요 활동 랜섬웨어 그룹인 ‘클롭(Clop)’과 ‘록빗(LockBit)’, ‘말라스(Malas)’가 기업들이 업무 시 주로 사용하는 소프트웨어의 제로데이 취약점을 악용한 공격으로 많은 기업들에게 피해를 입혔다. 또한 많은 신규 랜섬웨어 그룹들의 출현과 랜섬웨어 공격 시 초기침투만을 전문적으로 하는 IAB(Initial Access Brocker : 초기침투 수행 브로커)와의 협업 강화 구축 행태는 랜섬웨어 그룹이 서로 간의 역할 분담을 통해 규모를 체계적으로 확장시켜 나갈 목적으로 분석되고 있다. 초기 침투 방법은 취약점을 악용한 전문적인 공격 방법과 함께 비교적 공격이 쉬운 △피싱 △스팸 메일 △소셜 엔지니어링 기법을 이용한 상반된 전략이 모두 발견됐다.

서비스형 랜섬웨어, 2024년 더욱 활성화·체계화 될 듯
이러한 IAB와의 협업은 랜섬웨어 생태계를 한층 더 조직적이고 치밀하게 형성할 수 있다고 전문가들은 우려의 목소리를 전하고 있다. 여기에 공격자들은 공격을 성공시키기 위해 하나의 랜섬웨어가 아닌 다양한 서비스 랜섬웨어(RaaS : Ransomware-as-a-Service)를 활용하고 있다. 이는 계열사를 고용하고 초기 침투 경로를 IAB에게 구매해 공격을 수행한 뒤 얻은 수익을 가상자산 추적을 피하기 위해 사용하는 ‘믹싱 서비스’를 이용해 자금 세탁하는 등 체계화된 양상을 띠고 있다.

이러한 변화는 전문적인 지식이 없어도 랜섬웨어 공격이 가능해 피해 사례는 더욱 증가할 것으로 전망되고 있다. 또한 과거 랜섬웨어 그룹들은 데이터 암호화를 통해 몸값을 요구하는 것이 대부분이었지만, 최근에는 복호화 툴이 공개되거나 탐지를 회피하기 위해 데이터 탈취만 수행하고 몸값을 요구하는 그룹들이 등장하고 있어 주의가 요구된다.

이외에도 ‘Go’, ‘Rust’와 같은 비주류 언어로 개발된 랜섬웨어 공격이 나타나 각별한 주의가 요구된다. 해당 공격은 하나의 코드로 다양한 운영체제 타깃 공격이 가능해 공격의 범위가 넓고 기존의 C/C++ 제작 랜섬웨어보다 탐지될 확률이 낮으며, 빠른 암호화가 가능하다. 최근 공격자들이 탐지 회피 및 분석 방해를 위해 선호하는 방식으로 앞으로도 꾸준히 발견될 것으로 예측되고 있다.

이렇게 급변하는 랜섬웨어 공격 대비를 위해 기업들은 보유하고 있는 네트워크·인프라·자산 등에 대한 관리 구조화와 보안 관제 및 사고 대응을 위한 각 단계별 보안 프로세스 마련이 요구되고 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>