2022년부터 랜섬웨어 생태계가 크게 뒤바뀐 것 같았다. 랜섬웨어 공격의 횟수는 줄어들었고, 범인들에게 돈을 내려하는 피해자들의 수도 줄어들었기 때문이다. 하지만 기쁨도 잠시, 2023년 랜섬웨어는 다시 전성기의 기량을 회복했다. 랜섬웨어 공격의 빈도가 높아졌고, 피해자들로부터 빼앗은 돈의 규모는 새로운 기록을 수립할 정도였다. 블록체인 분석 업체 체이널리시스(Chainalysis)의 조사에 따르면 2023년 한 해 동안 암호화폐를 통해 피해자들이 범인들에게 지급한 돈은 11억 달러(한화 약 1조 4,643억원)라고 한다.
랜섬웨어가 2023년 한 해 동안 갑자기 전성기의 모습을 되찾은 건 어떤 이유에서일까? 무시무시한 한 해가 지나고서 바로 뒤인 2024년, 우리는 어떤 시간을 지나게 될까? 너무나 오래된 문제인 ‘랜섬웨어’를 새삼스레 집중 조명해 본다.
1. 주요 랜섬웨어 공격자들
사이버 범죄자들에게 있어 랜섬웨어만큼 효자 종목도 없다. 돈도 많이 벌어다주는데 진입 장벽도 낮은 편이기 때문에 사이버 범죄에 관심이 있는 사람들은 누구나 랜섬웨어를 한 번씩 거쳐가는 분위기다. 간단한 취약점 익스플로잇만 할 줄 알아도, 혹은 다크웹에서 랜섬웨어를 구독할 줄만 알아도 누구나 랜섬웨어 공격을 실시할 수 있게 된다. 그래서 도떼기시장 같기도 하지만, 그럼에도 눈에 띄는 몇몇 그룹들이 존재한다.
IT분야의 정보공유분석센터(IT-ISAC)의 위협 첩보 국장인 조나단 브렐리(Jonathan Braley)의 경우 “현재 진행되는 모든 랜섬웨어 공격의 25%가 록빗(LockBit)의 짓”이라고 꼽는다. “이걸 좀 더 와닿게 설명하자면, 일주일에 10번에서 12번 정도 록빗 랜섬웨어 조직의 소행을 목격한다고 볼 수 있습니다. 매주 빠짐없이요.”
2023년에는 TSMC라는 대만의 거대 IT 업체와 IT 제품 및 서비스 제공업체인 CDW가 록빗에 당했던 것이 유명하다. 록빗은 TSMC로부터 7천만 달러,CDW로부터 8천만 달러를 요구했었다. 2024년에는 세인트안토니병원(Saint Anthony Hospital)과 루리소아병원(Lurie Children’s Hospital)을 공격하기도 했다. 다만 록빗은 최근 국제 공조로 무력화된 것으로 알려졌다.
작년 록빗만큼 활동력이 강했던 랜섬웨어 조직으로는 클롭(Clop)이 있다. 무브잇(MOVEit) 침해 사건의 배후 세력으로 꼽히는데, 이 사건으로 수천 개 조직들과 수천만 명의 사용자들이 영향을 받았다고 소프트웨어 업체 엠시소프트(Emsisoft)는 집계하고 있다. 무브잇 사태의 경우, 인기 높은 소프트웨어인 무브잇의 제로데이를 통해 사용자 기업에 대거 침투해 파일을 빼돌렸던 것으로 ‘랜섬웨어 없는 랜섬웨어 사건’으로 기록되고 있기도 하다.
그 다음 눈에 띄었던 그룹은 블랙캣(Blackcat)이다. 이들은 자신들이 침해한 기업 하나가 침해 사실을 공개하지 않자 스스로 미국 증권거래위원회(SEC)에 보고하기도 했다. 12월에는 미국 사법부가 “FBI를 통해 블랙캣 피해자들을 위한 복호화 도구를 개발했다”고 발표했으며, 이를 통해 500개 이상의 조직이 블랙캣의 마수에서 벗어날 수 있었다. 이 때 아낀 피해액은 6800만 달러인 것으로 분석되고 있다.
보안 업체 베이커호스테틀러(BakerHostetler)의 파트너 크레이그 호프만(Craig Hoffman)에 의하면 “랜섬웨어 단체들에 대항하여 움직이는 사법 기관들의 성공 사례가 늘어나고 있다”며 “여기에 당한 공격자들은 힘을 잃고 이전과 같은 활동력을 보이지 못하거나 일정 기간 잠적해 있게 된다”고 설명한다. 그러나 당하고만 있지 않는 게 해커들의 특성이기도 하며, 여러 가지 대책들을 마련해 나타나기도 한다.
보안 업체 어택아이큐(AttackIQ)의 팀장인 앤드류 코스티스(Andrew Costis)는 “랜섬웨어가 처음 등장했을 때만 해도 개별적이고, 파편화 된 움직임만 보였는데 지금은 조직적이고 훨씬 부드러운 움직임들이 보이고 있다”고 말한다. “그래서 랜섬웨어 공격자들은 요 몇 년 정보를 빼돌려 협박하는 전략을 효과적으로 채용하고 있죠. 민감한 데이터를 공개하겠다고 하면서 돈을 톡톡히 뽑아내고 있지요.”
보안 업체 액시오(Axio)의 사이버 보안 고문인 리차드 카랄리(Richard Caralli)는 “오히려 데이터를 빼돌린 후 이를 공개하겠다고 협박하는 게 훨씬 강력한 전략임을 랜섬웨어 조직들이 알아챘다는 게 큰 문제”라고 지적한다. “2023년 MGM과 23앤미(23andMe)에서 벌어진 게 바로 이 데이터 협박 사건이죠. 데이터를 훔쳐서 다크웹에 판매하는 것보다 이런 식으로 피해자를 협박하는 게 훨씬 더 많은 돈을 벌 수 있는 길이라는 게 입증되었습니다.”
2. 주요 공격 기법들
랜섬웨어 그룹들이라고 해서 무조건 고도화 된 공격 기법만 활용하는 건 아니다. 소셜엔지니어링과 피싱 공격이라는, 수없이 그 효과가 증명된 수법이 있는데 굳이 다른 방법을 쓸 이유가 없기도 하다. 카랄리는 “첨단 기술과 효과 좋은 보안 도구들만 생각하다가 기본 실천 사항과 반드시 해야 할 일들을 놓치고 있다는 반증”이라고 지적한다.
제로데이 취약점을 익스플로잇 하는 것 역시 최근 랜섬웨어 공격자들 사이에서 인기가 높아지고 있다. 위에서 언급한 무브잇 사태가 바로 대표적인 사례다. 브랠리는 “난이도가 낮은 공격을 하는 것이 공격자들에게는 가장 좋겠지만, 언젠가는 대단히 높은 곳에 걸려 있는 열매를 노려야 할 때 혹은 노리고 싶을 때도 있다”며 “그럴 때는 새로운 방법과 전략을 동원하기도 한다”고 말한다.
“그러면서 새로운 프로그래밍 언어를 활용하기도 하지요. 러스트로 랜섬웨어를 만들어 공격하는 식으로요. 혹은 맥OS나 리눅스 등 보다 생소한 플랫폼을 공격하기도 하고, 모바일 OS들을 공략 대상으로 삼기도 합니다. 자꾸만 변하는 게 그들이 무서운 이유 중 하나이기도 하지요.”
즐겨 사용하는 전략을 더 날카롭게 벼리기도 한다. 코스티스는 “소셜엔지니어링을 한두 차원 발전시켜 활용하는 사례들도 있다”고 말한다. “다중인증 문자가 계속 피해자에게 전달되게 해서 나중엔 기계적으로 ‘okay’ 버튼을 누르게 하는 ‘피로도 높임 공격’ 같은 것도 있고, 전화기 문자 메시지를 활용하는 피싱 공격도 실제로 활용됩니다. 인공지능이나 생성형 인공지능을 활용하는 것도 최근 유행하고 있습니다.”
3. 주요 피해자들
랜섬웨어 공격자들은 대부분 돈을 위해 움직이는 자들이다. 호프만은 “만약 당신이 VPN을 사용하고 있는데, 마침 랜섬웨어 공격자들이 취약점을 잘 알고 있는 VPN이라면 어떨까”라고 질문을 던지며 “공격자들은 자신이 알고 있는 취약점을 대강 스캔해서 발견되는 것을 익스플로잇 한다”고 스스로 답한다. 돈을 노리는 것이기 때문에 ‘아무나 걸려라’ 식의 공격을 하는 게 대부분이라는 뜻이다. “돈 많은 부자를 찜해서 표적 삼아 노리는 랜섬웨어 공격자는 거의 없습니다.”
그래서 랜섬웨어 피해가 발생하는 산업은 다양하다. 금융 업계는 물론 의료, 교육, 정부 기관 등 구분이 딱히 없다. “다만 최근에는 사회 기간 시설을 노리는 듯한 움직임이 좀 더 많이 탐지되는 편”이라고 브렐리는 짚는다. “사회 기간 시설 관리 측이 랜섬웨어에 감염되면 어떻게 될까요? 돈을 낼 확률이 높죠. 사회 기간 시설 대부분 잠시라도 멈추면 안 되니까요. 게다가 의외로 민감한 정보를 발견할 수도 있습니다.” 그래서 코스티스는 “목적을 가진 랜섬웨어 공격이 늘어난다면 표적형 랜섬웨어 공격이 곧 등장할 수도 있다”고 점친다.
2023년 12월, 이란의 이슬람혁명군과 관련이 있는 한 단체가 미국 펜실베이니아 주의 수도국 한 곳을 해킹한 적이 있었다. 그보다 한 달 전에는 텍사스의 수도 관리 시설이 랜섬웨어에 감염되는 바람에 얼마 간 물 공급이 어려웠다. 카랄리는 “돈도 돈이지만 사회적 혼란과 공포 야기라는 목적을 달성하고 있는 것일지도 모른다”고 공격자들의 동기를 예상하기도 한다.
자세한 정보는 아래의 사이트에서 확인하세요.
https://www.boannews.com/media/view.asp?idx=126915&kind=4
