[주말판] 전성기 갱신한 2024년 전반기 랜섬웨어 산업 현황

2024-09-28 09:53
  • 카카오톡
  • 네이버 블로그
  • url
블록체인과 암호화폐라는 측면에서 사이버 범죄 산업을 분석하면 올 한 해 어떤 변화를 발견할 수 있을까? 암호화폐라는 다소 생소한 화폐가 주류로 좀 더 편입되었다는 소식도 있지만, 그만큼 가치가 올라 사이버 범죄자들의 주머니가 두둑해졌다는 안 좋은 소식도 있다.

[보안뉴스 문정후 기자] 블록체인 상에서 발생하는 불법 활동의 총량이 올해 들어 20% 가까이 감소했다는 연구 결과가 나왔다. 블록체인 생태계를 전문적으로 분석하는 업체 체이널리시스(Chainalysis)에서 발표한 내용으로, 이는 “범죄 행위가 줄어든다기보다 합법적인 활동이 비율적으로 증가하고 있다는 뜻”이라고 해석된다. 암호화폐 생태계에서 생겨난 밝은 면과 어두운 면 모두를 짚어보자.


[이미지 = gettyimagesbank]

암호화폐 생태계의 변화
2024년 암호화폐 생태계에는 여러 가지 긍정적인 변화가 있기도 했다. 미국에서는 비트코인과 이더리움 현물 ETF가 승인되기도 했고, 금융회계기준위원회(FASB)의 공정 회계 규칙이 개정되면서 결과적으로 암호화폐가 주류 금융 계통에서 더 원활히 수용될 수 있게 되었다. 그러면서 선용 사례가 활발하게 증가하고 있는 것이 2024년에 나타나는 전체적 그림이라고 할 수 있다.

“하지만 모든 새로운 기술이 그렇듯이 새 기술을 악용하는 악성 행위자들도 늘어나고 있는 게 현실입니다. 전년 대비 올해 불법 활동이 감소했음에도 불고하고 특정 사이버 범죄 단체들의 암호화폐 악용과 남용, 도용은 우려스러운 흐름을 보이고 있기도 합니다.” 체이널리시스의 경고다. “올해, 암호화폐의 합법적 유입이 2021년 이후 최고치를 기록했습니다. 전 세계적으로 암호화폐의 활용 범위가 늘어났다는 신호입니다. 그러나 마찬가지로 위험하거나 수상한 암호화폐 서비스도 증가하고 있습니다. 선용과 악용 모두 증가하고 있다는 것인데, 다만 선용 사례가 더 빠른 속도로 늘어나고 있다고 볼 수 있습니다.”

하지만 안심하기에는 이르다. 그 와중에도 랜섬웨어 활동은 전성기를 갱신하고 있기 때문이다. 어딘가로부터 훔쳐서 세탁하기 위해 블록체인 생태계로 유입되는 자금은 2024년 상반기에 15억 8000만 달러인 것으로 집계되고 있는데, 이것은 랜섬웨어와는 별개의 금액이다. 랜섬웨어와 관련된 돈은 4억 5980만 달러 정도 블록체인에 유입됐다고 한다. 작년과 비교했을 때 불법 자금은 두 배 가까이 증가한 것이라고 하며, 랜섬웨어와 관련된 돈도 약 1000만 달러 늘어난 것이라고 한다. 전체적인 범죄 활동량이 줄어들고 있긴 하지만, 이 두 가지 유형의 범죄만큼은 여전히 증가 추세에 있다고 체이널리시스는 경고하고 있다.

첫 번째 유형 : 도난 자금
‘도난 자금’은 말 그대로 돈을 훔치기 위한 사이버 공격을 통해 발생한 돈을 말한다. 결론부터 말해 올해 트렌드에서 눈에 띄는 건 ‘건당 도난당하는 암호화폐의 평균 금액이 80% 가까이 증가했다’는 것이라고 체이널리시스는 지적한다. 범죄 조직들이 한 번에 많은 금액을 가져가기도 하지만, 올해 초 비트코인의 가격이 크게 상승한 것 때문이기도 하다.


[이미지 = gettyimagesbank]

“암호화폐 도둑들은 디파이(DeFi, 탈중앙화)보다 중앙화 거래소를 다시 주요 표적으로 삼고 있습니다. 아무래도 비트코인 거래라는 측면에서 보면 디파이 기반 거래소들이 덜 활성화 되어 있어서 그런 것으로 보입니다. 또, 북한 사이버 공격자들이 점점 더 교묘하게 암호화폐 서비스들과 사용자들을 농락하고 있기도 합니다. 이들의 피싱 공격 및 소셜엔지니어링 공격 기술은 점점 고도화 되어가는 중입니다.”

2022년과 비교해 2023년에는 암호화폐 도난액이 50% 감소했지만, 올해는 해킹 활동이 다시 증가했다는 것도 중요한 포인트다. “흥미롭게도 올해 7월까지 도난된 누적 금액은 이미 15억 8000만 달러를 넘었으며, 이는 작년 같은 기간에 비해 약 84.4% 증가한 수치입니다. 2024년 해킹 사건 수는 2023년에 비해 약간만 증가해 연간 2.76% 증가했습니다. 사건당 평균 피해액은 79.46% 증가하여 2023년 1월에서 7월까지 건당 590만 달러에서 올해 현재까지 사건당 1060만 달러로 증가했습니다.”

단일 사건당 피해 금액이 크게 늘어난 이유는 무엇일까? 체이널리시스는 제일 먼저 암호화폐 자산 자체의 가격 상승을 주요 이유로 꼽는다. “비트코인의 가격을 예로 들어 볼까요. 2023년 첫 7개월 동안 비트코인은 평균 26141 달러였습니다. 그런데 2024년 첫 7개월 동안의 가격은 평균 60091 달러로 기록됐습니다. 130%나 증가한 것이죠. 비트코인의 가격 상승세로 인해 범죄자들이 큰 수익을 거두었다고도 볼 수 있습니다.”

체이널리시스는 해킹 공격 후 도난당한 자금의 이동과, 그 자금과 관련된 거래량을 중요한 지표로 삼고 추적한다고 밝혔다. 해킹된 암호화폐 서비스들이 어떤 자산을 어느 규모로 도난당했는지 정확하게 공개하지 않기 때문에 범죄 규모를 확실히 파악할 수 없는 상황에서, 자금의 이동 경로와 거래량을 추적함으로써 암호화폐 생태계에서 벌어지는 범죄의 실상을 파악할 수 있기 때문이다. “2023년의 경우, 도난당한 자산의 총 거래 금액 중 30%가 비트코인으로 이뤄졌습니다. 올해는 40%를 기록하고 있고요.”

범죄자들 사이에서 비트코인이 점점 더 높은 비중을 차지하게 된다는 건, 다시 말해 비트코인을 중요하게 다루는 거래소들이나 암호화폐 서비스 제공자들이 위험하다는 뜻이 된다. 과연, 비트코인을 비중 높게 다루는 중앙화 거래소들이 점점 더 높은 빈도로 공격의 표적이 되고 있는 것을 체이널리시스는 발견할 수 있었다고 한다. “탈중앙화 프로토콜을 기반으로 하는 거래소들이 한 때 집중 공격을 당하기도 했었는데, 비트코인의 가격이 올라가고, 비트코인의 가치가 높아지면서 다시 공격자들은 중앙화 거래소들을 공략하고 있습니다. 예를 들어 DMM의 경우, 올해 3억 500만 달러를 도난당하기도 했습니다.”

암호화폐 도둑들은 4년간 분산형 거래소를 집중적으로 타겟팅한 후 다시 중앙화 거래소를 목표로 삼고 있다고 체이널리시스는 경고하고 있다. “특히 북한과 연관된 사이버 해킹 조직들은 IT 직무에 지원하는 등 점점 더 정교한 소셜엔지니어링 전술을 활용하여 중앙화 거래소 같은 곳에 침투해 암호화폐를 탈취하고 있습니다. 최근 UN 보고서에 따르면 서구 테크 분야 기업들이 4,000명 이상의 북한인을 고용했다고 합니다.”

두 번째 유형 : 랜섬웨어
코로나로 인해 팬데믹 사태가 전 세계를 뒤덮을 시기에 랜섬웨어 공격자들 역시 최고의 전성기를 맞이한 것으로 보였다. 하지만 아직 그들의 전성기는 찾아오지 않은 것으로 보인다. 코로나는 한 풀 꺾였는데 랜섬웨어 공격자들은 갈수록 강력해지고 있기 때문이다. “2024년에는 랜섬웨어로 인한 피해 액수가 역대 최고를 기록할 것으로 보입니다. 랜섬웨어 공격자들은 큰 돈을 낼 만한 표적들을 조심스럽게 선정한 후, 피해자들이 돈을 내지 않으면 안 되는 상황을 만드는 것에 능숙해지고 있으며, 이것이 이들의 성공을 이끌어내고 있습니다. 올해 다크앤젤스(Dark Angels)라는 그룹의 경우 한 건으로 7500만 달러를 피해자로부터 받았는데, 이는 역대 단일 사건 최고 금액입니다.”


[이미지 = gettyimagesbank]

2023년초만 하더라도 랜섬웨어 피해자들이 지불하는 금액의 중위값은 20만 달러 미만이었다. 하지만 2024년 6월 중순에는 150만 달러로 급등했다고 체이널리시스는 보고서를 통해 밝히고 있다. 그러면서 “랜섬웨어 공격자들의 표적이 변하면서 금액이 크게 늘어났다”고 이유를 설명하기도 한다. “더 큰 다국적 기업이라든가, 사회 기반 시설을 담당하는 기업이나 단체들을 목표로 삼고 있습니다. 이런 조직들은 큰 자금을 융통할 수 있을 뿐만 아니라, 랜섬웨어 공격으로 인한 사소한 차질이라도 치명적으로 다가오기 때문입니다.”

2024년 주목할 만한 랜섬웨어 사건은 무브잇(MoveIT)이라는 파일 전송 프로그램에서 발견된 제로데이 취약점을 악용한 사건이다. 클롭(Cl0p)이라는 랜섬웨어 조직이 저지른 사건으로, 공격자들은 기업들 사이에서 널리 사용되는 이 유틸리티의 제로데이를 몰래 파악한 후 이를 통해 각종 기밀을 빼돌리는 데 성공했다. 그리고 그것을 가지고 기업들을 하나하나 협박하기 시작했다. 그러면서 10억 달러 이상의 수익을 거둔 것으로 추정된다. 이 사건의 전모는 아직도 다 파악되지 않고 있다.

여기에 유명 호텔 및 숙박 업소 체인인 시저스(Caesars)가 랜섬웨어 공격에 당한 것도 잊으면 안 된다. 알프파이브(ALPHV) 혹은 블랙캣(BlackCat)이라고 불리는 랜섬웨어 조직이 배후에 있는 사건으로, 당시 시저스 호텔을 이용하는 숙박객들은 방에 들어갈 수 없거나, 카지노 게임을 즐길 수 없게 되는 등 큰 불편함이 야기됐다. 이 때문에 회사 측에서는 공격자들에게 1500만 달러의 돈을 지불해야만 했다. 그러면서 랜섬웨어 산업 전체의 수익은 크게 올라갔다.

“2023년 작년 6월까지 누적된 랜섬웨어 피해액은 4억 4910만 달러였습니다. 올해는 위와 같은 중요한 사건들에 힘입어 4억 5980만 달러로 크게 증가했습니다. 이 페이스가 유지된다면 2024년이 랜섬웨어 피해액 측면에서 최악의 해가 될 수 있으며, 2025년과 2026년에 이 기록이 갱신되지 말라는 법 또한 없기에 랜섬웨어에 대한 보다 근본적인 대처 방안이 필요해 보입니다.”

잡초와 같은 랜섬웨어 공격자들
키바컨설팅(Kiva Consulting)의 총괄 변호사 앤드류 데이비스(Andrew Davis)는 “랜섬웨어 산업에도 적잖은 부침이 있었지만 이들은 비교적 큰 변동 없이 자신들이 하던 일을 해내는 모습을 보여주었다”고 말한다. 블랙캣이나 록빗(LockBit)과 같은 악명 높은 랜섬웨어 단체가 사법 기관의 활동에 의해 와해된 것을 두고 한 말이다. 이들은 랜섬웨어 산업 내에서 적잖은 영향력을 발휘하던 조직이었는데, 이 두 조직이 사라졌음에도 랜섬웨어 공격자들의 전체적인 활동량에는 큰 변화가 없었다는 것이다. “기존 강자들이 없어진 자리에 새로운 강자들이 들어서고, 또 새내기들이 끊임없이 보충되면서 랜섬웨어 산업 전체는 큰 위기 없이 유지되고 있습니다. 우리에게는 안 좋은 소식이죠.”


[이미지 = gettyimagesbank]

사법 활동으로 체포되는 랜섬웨어 공격자들이 증가하고 있지만, 그럼에도 랜섬웨어 공격은 점점 악화되고 있다고 할 수 있다. 위에서 언급된 다크엔젤 해킹 조직의 기록적인 성공이 그 증거 중 하나라고 체이널리시스는 강조한다. “2023년 단일 사건 최고 피해액보다 96%, 2022년 사건보다 335% 증가한 수치입니다. 최악의 개별 사건도 해를 거듭하며 발전하고 있지요. 위기감을 가져야 하는 이유입니다. 이 기록을 누가 세워줘도 이상하지 않거든요.”

체이널리시스는 이러한 상황을 보다 상세히 분석하기 위해 랜섬웨어 사건을 피해액에 따라 다음과 같이 분류해 파악하기 시작했다고 한다.
- 매우 높은 심각도: 연간 최대 지불액 100만 달러 초과
- 높은 심각도: 연간 최대 지불액 10만 ~ 100만 달러
- 중간 심각도: 연간 최대 지불액 1만 ~ 10만 달러
- 낮은 심각도: 연간 최대 지불액 1천 달러 미만

이 분류 시스템을 통해 지불액 크기의 급격한 성장을 파악할 수 있었다고 체이널리시스는 밝힌다. “상승 추세는 특히 ‘매우 높은 심각도’ 유형에서 뚜렷하게 나타나는데, 2023년 초의 평균 지불액이 198939 달러에서 2024년 6월 중순에는 150만 달러로 증가했기 때문입니다. 이는 이 기간 동안 가장 심각한 유형의 랜섬웨어 피해 액수가 7.9배 증가했음을 나타내며, 2021년 초와 비교했을 때는 거의 1200배 늘어난 수치라고 할 수 있습니다. 랜섬웨어 공격자들이 더 큰 기업과 중요한 사회 기반 시설 제공 업체를 목표로 삼기 시작했다는 것을 시사합니다. 공격자들에게 돈을 지불할 가능성이 높은 곳들을 골라서 공격한다는 것이죠.”

그러나 한 가지 다행인 것은, 이런 심각한 유형의 랜섬웨어 사건의 건수 자체가 늘어나고 있지는 않다는 점이라고 체이널리시스는 짚는다. 블랙캣이나 록빗 등 대규모 랜섬웨어 공격을 저지르던 주요 조직들이 사법 기관의 활동으로 사라지게 된 것이 주요한 이유인 것으로 분석된다. “이들이 앞장서서 저지르던 대규모 공격이 크게 줄어들 수밖에 없었습니다. 하지만 두 조직의 구성원들이 전부 손을 씻었다고 할 수는 없을 겁니다. 각기 흩어져 좀 더 작은 규모의 공격을 실시하는 등으로 변화를 꾀하고 있겠지요. 그래서 매우 높은 심각도 사건은 50% 이상 줄어들고 높은 심각도로 분류되는 유형의 랜섬웨어 사건은 연초 대비 104.8% 증가했습니다.”

또 하나 중요한 트렌드, 지불 빈도
이러한 모든 악재에도 불구하고 피해자들이 몸값을 지불하는 경우가 줄어들고 있다고 체이널리시스는 짚는다. “랜섬웨어 범죄자들이 운영하는 사이트의 게시물은 전년 대비 10% 증가했는데, 이는 더 많은 피해자가 발생했다는 것을 나타냅니다. 그러나 실제로 랜섬웨어 공격자들에게 지불하는 경우는 전년 대비 27.29% 감소했습니다. 이러한 두 가지 추세를 함께 읽어보면, 올해 들어 공격이 증가했음에도 불구하고 지불율은 감소하고 있다는 긍정적인 신호로 볼 수 있습니다. 이는 피해자들이 더 잘 대비하고 있어 공격자에게 지불할 필요가 줄어들었음을 의미합니다.”


[이미지 = gettyimagesbank]

이는 랜섬웨어 산업을 장기적으로 무력화시킨다는 점에서 매우 긍정적인 흐름이라고 볼 수 있다. FBI를 비롯해 여러 수사 기관들이 항상 강조하는 것처럼 피해자들의 돈은 랜섬웨어 산업을 육성시키는 데 사용될 수밖에 없기 때문이다. 반대로 피해자들이 내는 돈이 줄어들면 랜섬웨어 산업도 동력을 잃게 된다. 하지만 지불의 빈도가 낮아지고 있기 때문에 랜섬웨어 공격자들이 한 번에 더 높은 금액을 피해자들로부터 받아내는 전략으로 기울고 있다고 분석할 수도 있어, 아직 희망을 갖기에는 이르다. “그래도 빈도가 계속해서 줄어들면 결국 금액도 감소할 때가 오지 않을까 합니다.”

체이널리시스는 “사이버 범죄를 막으려면 나 혼자 잘 하는 것으로 소용이 없다”고 강조하며 “공격자들이 유지하고 있는 공격의 공급망 자체를 뒤흔들어야 한다”고 보고서를 통해 설명했다. “공격을 실제로 저지르는 자, 그러한 조직에 소속되어 여러 역할을 하는 자, 파트너십을 맺은 다른 공격 조직, 공격 인프라 제공자, 자금 세탁 전문가, 이들의 자금을 현금화 해 주는 서비스 제공자 등으로 이들의 공급망은 구성되어 있습니다. 그렇기 때문에 강력한 공격이 가능하기도 하지만, 그렇기 때문에 허점도 많아지고 있죠. 사법 활동으로 꼬리가 잡히는 랜섬웨어 공격자들이 적지 않다는 게 그것을 증명합니다. 해킹 조직 하나가 아니라 공급망 전체를 염두에 둔 추적 행위가 필요합니다.”
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기