[아이뉴스24 김혜경 기자] 국내외에서 '서비스형 랜섬웨어(Raas)'가 피해 규모와 확산 속도를 끌어올리고 있다. 개발자와 공격자의 분업이 이뤄지고 비전문가도 랜섬웨어를 구매해 사이버 공격을 시도할 수 있게 되면서다. RaaS 형태로도 유포되는 '블랙캣' 랜섬웨어가 최근 국내에서도 발견되면서 기업들의 주의가 요구된다.
◆ 랜섬웨어도 서비스 형태로 '맞춤 제작'
랜섬웨어는 '몸값(Ransom)'과 '소프트웨어(Software)'의 합성어다. 글로벌 보안기업 팔로알토 네트웍스에 따르면 지난해 평균 몸값 요구 금액은 전년 대비 144% 급증한 220만달러(약 27억원), 평균 지급액은 78% 증가한 54만1천달러(약 6억7천만원)로 집계됐다.
랜섬웨어 피해 기업은 전년 대비 85% 늘어난 2천566곳으로 나타났다. 지역별로 보면 ▲미주 60% ▲유럽·중동·아프리카 31% ▲아시아·태평양지역 9% 순으로 많았다. 가장 많은 공격을 받은 분야는 ▲법무법인 ▲건설 ▲도·소매 ▲의료 ▲제조업 등으로 조사됐다.
특히 '콘티(Conti)' 랜섬웨어 그룹은 전체 분석 건수 중 20% 이상을 차지했다. 이어 '소디노키비(Sodinokibi)'로 알려진 '레빌(REvil)'이 7.1%, '헬로키티(Hello Kitty)'와 '포보스(Phobos)'가 각각 4.8%로 나타났다. 팔로알토는 범죄 집단들이 RaaS를 비롯해 다중 갈취 기법, ‘로그포쉘(Log4Shell)' 등의 보안 취약점을 이용해 몸값을 갈취하고 있다고 분석했다.
RaaS는 일종의 랜섬웨어 주문 제작 대행 서비스다. 특정 집단이나 개인이 랜섬웨어를 제작해 범죄조직에 공급하고 수익을 공유하는 형태다. 다크 웹(Dark Web) 등을 통해 암호화폐로 거래되므로 익명성이 보장된다는 점과 전문지식이 없는 일반인도 접근 가능하다는 점이 특징이다. RaaS 제작자는 일정액을 수수료로 받거나 범죄 수익을 배분해 이득을 취한다. 특정 RaaS의 경우 한 번 배포하고 끝나는 것이 아닌 업데이트를 지속 제공하는 것으로도 알려졌다.
RaaS는 몇 년 전부터 포착되기 시작했지만 코로나19가 불러일으킨 사회 변화와 맞물리면서 주의해야 할 사이버 위협으로 지목되고 있다. 그룹IB(Group-IB)에 따르면 2020년 발생한 랜섬웨어 공격 중 64%가 RaaS로 분석됐고, 랜섬웨어 개발자의 수요가 늘면서 몸값도 2배 이상 급증한 것으로 나타났다. 랜섬웨어를 찾는 수요가 늘면서 RaaS 등장도 촉발한 셈이다.
앞서 2016년 3월 처음 발견돼 아시아태평양 지역을 중심으로 확산됐던 '케르베르(Cerber)'도 대표적인 RaaS다. 지난해 8월 한국인터넷진흥원(KISA) 보고서에 따르면 피해기업을 협박하는 협상전문가도 등장하는 등 랜섬웨어의 지능화는 가속화되고 있는 상황이다.
보안업계 한 관계자는 "RaaS 주문자가 특정 내용을 암호화하고 싶다거나 혹은 암호화하지 말라는 방식으로 요청을 하면 제작자가 이같은 조건에 맞춰 만들어주는 구조"라면서 "초기에는 기성품 형태로 시장에 내놨다면 최근에는 맞춤 제작을 통해 좀 더 지능화되고 있는 추세"라고 설명했다.
기업과 기관, 개인 등 공격 대상을 구분하지 않는 것도 유의해야 할 점이다. 이 관계자는 "공격자는 특정 사이트에 랜섬웨어를 심어 놓기도 하는데 취약점이 존재할 경우 사이트에 방문하는 것만으로도 감염될 수 있다"며 "누구든 랜섬웨어 공격의 피해자가 될 수 있다"고 말했다.
◆ 국내서 발견된 '블랙캣'의 정체는?
최근 국내에서도 랜섬웨어 조직 블랙캣의 활동 징후가 포착됐다. 블랙캣도 디른 해커집단처럼 RaaS를 제작·배포하는 것으로 알려졌으며 지난해 12월 글로벌 의류브랜드 몽클레르(Moncler)를 공격해 데이터를 빼돌린 바 있다.
일각에서는 '다크사이드(Darkside)'와 블랙캣이 동일한 조직이라고 추정하고 있다. 다크사이드는 지난해 5월 미국 콜로니얼 파이프라인 랜섬웨어 사건의 배후로 지목된 해커집단으로, 미 정부는 1000만달러의 현상금을 내건 바 있다. 블랙캣이 신생 조직인지 다크사이드를 비롯한 기존 랜섬웨어 집단의 점조직인지 의견은 분분하지만 아직까지는 명확한 근거가 발견되지 않은 것으로 알려졌다.
업계 관계자는 "최근 블랙캣 활동 징후가 국내 한 산업군에서 처음으로 포착됐다"며 "피해가 발생하기 전 조기에 발견해 차단한 상태"라고 말했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기