랜섬웨어가 극성이라는 소리는 수년 전부터 나왔다. 수년 째 성장에 성장을 거듭하고 있는 게 랜섬웨어 분야다. 그런데 아직도 모자라다는 듯, 지금도 빠른 속도로 자라고 있다. 거대한 위협의 끝이 보이질 않는다.
[보안뉴스 문가용 기자] 랜섬웨어 공격 단체들이 새로운 전성기를 맞이하고 있다. 공격자들은 기술적 수준도 높이고 있으며, 양적 팽창도 이어가고 있다. 7월 한 달 동안에만 각종 랜섬웨어 공격 단체들의 정보 유출용 사이트에 새롭게 등록된 피해 조직만 502개였는데, 이는 지난 해 7월에 비해 150%나 증가한 것이라고 한다. 보안 업체 NCC그룹(NCC Group)에 의하면 올해 현 시점까지의 랜섬웨어 피해량은 작년에 비해 79% 늘어난 상황이라고도 한다.
![[보안뉴스 / 8.24.] 랜섬웨어, 새로운 전성기를 맞이하고 있다](http://www.boannews.com/media/upFiles2/2023/08/954346487_4133.jpg)
[이미지 = gettyimagesbank]
랜섬웨어의 이러한 순조로운 성장 비결은 무엇일까? NCC그룹의 글로벌 첩보 분야 수장인 맷 헐(Matt Hull)은 “무브잇(MOVEit)과 같은 파일 전송 서비스 등 기업 환경에서 널리 사용되는 소프트웨어의 취약점들을 노림으로써 효율 높은 공격을 할 수 있게 되었고, 최초 접근 브로커들이 등장하면서 랜섬웨어 공격자들은 자신들이 잘하는 것에만 온전히 집중할 수 있게 됐다”고 설명한다.
“하지만 그것만은 아닙니다. 사이버 범죄자들은 기본적으로 ‘일확천금’을 노리려는 성향이 강합니다. 차근차근 돈을 벌고 저축하려는 생각보다 한 탕 크게 벌이는 것을 선호하죠. 그러니 어떤 전략 하나가 큰 효과를 거두었다는 소문만 나면 다들 그리로 몰립니다. 애초에 랜섬웨어가 돈이 된다고 하니까 사이버 범죄자들이 너도나도 랜섬웨어를 시작하는 것도 그런 이유이고요. 최근 무브잇(MOVEit)과 같은 소프트웨어 익스플로잇으로 클롭(Cl0p)이라는 랜섬웨어 단체가 많은 재미를 봤죠. 따라하려는 그룹이 뒤를 이을 겁니다.”
또 한 조사에 의하면 랜섬웨어 공격의 속도가 빨라졌다고 한다. 최초 침투에 성공한 이후 피해자의 네트워크에 숨어서 도사리고 있는 시간이 평균 5일로 줄어든 것이다. 2022년만 해도 9일이었다. 이는 보안 업체 소포스(Sophos)가 조사한 내용이다. “재미있는 건 랜섬웨어 외 다른 유형의 공격은 반대의 트렌드를 보여주고 있다는 겁니다. 피해자 네트워크에 머무르는 시간이 평균 11일에서 13일로 오히려 늘어났거든요.”
소포스의 CTO 체스터 위즈뉴스키(Chester Wisniewski)는 “랜섬웨어 공격자들이 오랜 시간 활동하면서 자신들의 전문성을 키우다 보니 공격 효율이 높아지고 공격 수행 시간이 줄어드는 것”이라고 설명한다. “5일 안에 구멍을 찾아 들어가고, 들어가서 또 다른 구멍을 찾아 여러 데이터들을 찾아 밖으로 빼돌리고, 나중에는 파일 암호화까지 진행하는 것입니다. 이게 말이 쉽지 매 단계 기술력이 뒷받침되지 않으면 긴 시간이 걸릴 수밖에 없습니다. 랜섬웨어 공격자들의 실력이 좋아지고 있음을 방증하는 조사 결과입니다.”
랜섬웨어 산업 동향
위의 두 보고서는 각기 따로 작성되고 발표됐는데, 합쳤을 때 하나의 커다란 흐름을 보여준다는 점에서 흥미롭다. 랜섬웨어 공격자들이 많아지고 날카로워진다는 것이 바로 그것이다. 그 동안 일부 랜섬웨어 조직들이 파일 암호화 단계를 건너뛰고 오로지 유출된 파일을 공개하겠다는 협박만으로 전술을 바꿔간다는 소식이 있어왔지만, 큰 흐름상 그런 조직들은 얼마 되지 않는 것으로 판명이 난 것이기도 하다.
클롭이 파일 암호화 소프트웨어의 제로데이 취약점을 익스플로잇 한 것만으로 랜섬웨어 공격을 실시한 게 큰 화제가 됐지만, 아직 그 흐름이 주류로 자리를 잡지는 못한 모습이다. “아직 절대 다수의 랜섬웨어 그룹은 파일을 암호화 하기도 하고 빼돌리기도 하는, 이중 협박 전략을 선호합니다.” 헐의 설명이다.
피해자 위주로 랜섬웨어 현황을 바라보자면, 중공업 분야가 특히 위험한 것으로 조사되고 있다. 헐은 “중공업 분야가 아직 디지털 기술에 대한 규제가 부족하고, 기업들도 보안을 낯설어 해서 좀처럼 예산을 쓰지 않으려 한다”고 설명을 추가한다. “예를 들어 금융 서비스 분야의 현재 상황과 비교했을 때 중공업 분야의 보안 수준은 매우 떨어진다고 할 수 있습니다. 금융 서비스는 10년 전부터 랜섬웨어 공격을 받아왔으니까요.”
눈에 띄는 또 다른 트렌드는 랜섬웨어 공격자들의 횡적 움직임이 빨라지고 있다는 것이라고 소포스는 경고한다. “특히 액티브 디렉토리(Active Directory) 서버들을 침해하는 속도가 빨라졌어요. 그리고 침해한 후 네트워크 내부 깊숙한 곳으로 들어가는 것에도 능숙한 모습을 보이고 있고요. 현재 액티브 디렉토리 서버 침해에 걸리는 시간은 평균 16시간으로 조사됩니다.” 여기에 더해 시차를 공격에 활용하려는 움직임도 있다고 소포스는 전한다. “피해자들 시간대에서는 잠 잘 시간이나 휴일에 공격을 실시하는 식입니다.”
새로운 길을 제시한 클롭
위에서도 언급했지만 올해 랜섬웨어 그룹에 대해 논할 때 빠질 수 없는 단체가 있으니 바로 클롭이다. 1월에는 고애니웨어 MFT(GoAnywhere MFT), 5월에는 무브잇이라는 기업용 소프트웨어의 제로데이 취약점들을 익스플로잇 하는 전략을 들고 나타나 큰 성공을 거두었다. 간단한 공격으로 수많은 피해자를 양산하는 등 높은 효율의 공격을 선보였으며, 실제 수익도 꽤나 높았던 것으로 알려져 있다. 게다가 파일을 암호화 하지도 않고 협박만으로 피해자를 압박하는 신박한 움직임으로 적잖은 충격을 안기기도 했다.
“랜섬웨어 공격이긴 한데 파일 암호화 과정이 없었어요. 정보를 빌미를 삼아 협박을 하고, 그 협박을 못 이긴 피해자가 돈을 낸다는 큰 틀에서는 랜섬웨어가 분명한데 중간에 랜섬웨어의 핵심인 파일 암호화가 없어진 것입니다. 꽤나 새로운 전술이었죠. 그런데도 효과는 훨씬 좋았던 것으로 알려져 있습니다. 많은 공격자들이 모방할 거라고 봅니다.”
실제로 이런 전술을 펼침으로써 클롭은 타 랜섬웨어 그룹보다 훨씬 많은 기업들을 협박할 수 있었다. NCC그룹이 조사한 바에 의하면 2위였던 록빗3.0(LockBit 3.0)보다 무려 세 배 많은 피해자들이 클롭 웹사이트에 등록되어 있다고 한다. “클롭이 워낙 많은 피해를 일으켰기 때문에 올해의 통계를 내면 피해가 더 많아 보이는 측면도 있습니다. 물론 클롭을 뺀다고 해서 그러한 큰 흐름이 바뀌는 건 아닙니다. 랜섬웨어 산업은 전체적으로 증가한 게 맞습니다. 클롭을 포함해서 통계를 내면 랜섬웨어 피해량은 작년보다 79% 증가했고 클롭을 빼도 57% 증가했습니다.”
위즈뉴스키는 세계 경제 상황이 침체되고 있다는 것 역시 피해자들에게 좋지 않게 작용할 것이라고 내다보고 있다. “경제 상황이 좋지 않기 때문에 누구나 돈이 더 고픈 시기입니다. 사이버 범죄자들도 마찬가지죠. 어떻게 해서든 수익을 높이려 애를 쓸 건데, 그러려면 더 많은 공격을 시도할 수밖에 없습니다. 그렇기 때문에 경제 상황이 호전될 때까지 사이버 공격은 더 거세질 겁니다.”
3줄 요약
1.랜섬웨어 공격자들, 양과 질 모두 크게 늘어남.
2. 올해의 ‘아웃라이어’는 단연 클롭 랜섬웨어.
3. 랜섬웨어 공격자들의 극성 수위 한 단계 올라갈 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 8.24.] 랜섬웨어, 새로운 전성기를 맞이하고 있다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
