Home > 전체기사
사법 활동 늘어나며 랜섬웨어 산업의 지형도도 빠르게 바뀌어
| 입력 : 2021-12-27 21:44 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#정보보호 #정보보안 #IT보안 #사이버보안
많은 나라들이 랜섬웨어에 진지하게 대응하기 시작했다. 그러자 랜섬웨어 공격자들의 움직임도 바빠지기 시작했다. 그런 가운데 세대 교체가 급박하게 이뤄지고 있기도 하고, 눈에 띄는 새내기들이 활약하는 모습이 나타나고 있기도 하다.
[보안뉴스 문가용 기자] 랜섬웨어 공격자들이 계속해서 전략을 발전시키고 있다. 늘어만 가는 사법 기관들의 압박에서 벗어나고, 추적을 따돌리려니 어쩔 수 없다. 게다가 랜섬웨어 운영자들 간 경쟁도 심화되고 있다. 랜섬웨어 시장은 이미 상업 논리에 깊숙히 젖어든 상태이니 도태는 곧 멸종으로 이어질 수밖에 없다는 압박도 상당하다. 불과 몇 년전과 달리 랜섬웨어 생태계는 현재 완전히 개편된 상태라고 보안 업체 인텔471(Intel471)은 말한다.
[이미지 = utoimage]
인텔471은 랜섬웨어 시장이 빠르게 개편되게끔 만든 가장 큰 요인이 랜선웨어 갱단을 잡아들이고 무력화시키려는 정부 기관들의 강력한 압박이라고 보고 있다. 이 때문에 적잖은 랜섬웨어 단체들이 은퇴를 선언하거나 무기한 활동을 중단하기도 했다. 그렇다고 랜섬웨어 활동 전체의 비율이 줄어든 건 아니다. 새로운 변종과 패밀리들이 치고 들어왔기 때문이다.
인텔471이 조사한 바에 의하면 2021년 7월과 9월 사이에 인텔471이 찾아낸 랜섬웨어 공격은 총 612건이라고 한다. 그리고 이 공격들을 거슬러 올라가 보면 총 35개의 랜섬웨어 변종들이 나타난다고 한다. 그 중 60%는 총 4개의 랜섬웨어들로만 구성이 되었다. 록빗 2.0(LockBit 2.0)이 33%, 콘티(Conti)가 15.2%, 블랙매터(BlackMatter)가 6.9%, 하이브(Hive)가 6%를 차지했다. 산업별로 보면 제조업, 일반 및 산업용 제품, 전문 서비스, 컨설팅, 부동산 산업에서 가장 피해가 컸다.
아보스록커(Avos Locker)의 경우 공격의 빈도도 높아졌지만 전략적인 측면에서도 활발한 변화를 기록한 랜섬웨어 패밀리들 중 하나다. 최근에는 윈도 안전모드로 진입해 애니데스크(AnyDesk)라는 정상 원격 관리 도구를 설치하고, 이를 통해 랜섬웨어를 유포하는 방식을 선보이기도 했다. 보안 솔루션들 대부분이 안전모드에서는 실행되지 않는다는 것을 이용한 것으로 분석된다.
또 다른 랜섬웨어인 하이브(Hive)의 경우 어마어마한 공격을 가하는 것으로 최근 유명세를 얻었다. 보안 업체 그룹IB(Group-IB)에 의하면 하이브는 2021년 6월 후반기에 나타났는데, 10월 16일까지 355개의 기업들을 공격한 것으로 분석됐다. 러시아의 랜섬웨어 단체 에버레스트(Everest)는 피해자가 협박에 응하지 않을 경우, 접근 권한 및 기술을 다른 공격자들에게 팔아넘기는 식으로 압박의 수위를 높이고 있다. 이 전술은 2022년 랜섬웨어 공격자들 사이에서 모방될 가능성이 높아 보인다.
이런 와중에 새로 나온 랜섬웨어인 파이사(PYSA)의 약진도 두드러진다. 11월 한 달 동안, 그 전까지 왕좌에 있던 콘티(Conti) 랜섬웨어를 몰아내고 1위 랜섬웨어에 록빗 2.0과 함께 나란히 이름을 올렸다. 한 달 동안 기업들을 겨냥한 공격은 50% 증가시켰고, 정부 기관들을 겨냥한 공격은 400% 증가시켰다. 10월과 11월의 파이사는 완전히 다른 얼굴을 하고 있다고 전문가들은 표현하고 있기도 하다.
“세계의 사법 기관들이 랜섬웨어 공격자들을 잡아들이는 데에 보다 공격적인 자세를 취하기 시작했습니다. 인기 높은 랜섬웨어 변종들을 무력화시키는 기술력도 높아졌고요. 그러나 그만큼 랜섬웨어 개발자들의 적응력도 날이 갈수록 좋아지고 있습니다. 눈에 덜 띄고, 덜 탐지되고, 덜 분석되는 방법을 날카롭게 갈고 닦습니다.” 인텔471 전문가들의 설명이다.
“사이버 범죄자들이 안전하게 활동할 수 있는 국가나 지역이 있는 한 여러 나라의 사법 기관들이 아무리 애를 써도 공격의 수위를 낮출 수는 없을 겁니다. 사이버 팬데믹을 막으려면 전 세계적인 합동 작전이 필요합니다. 한 국가도 사이버 범죄자들을 그냥 두지 않겠다는 결의와 실천에서 빠지지 않는, 그런 합동 작전을 말합니다.”
3줄 요약
1. 랜섬웨어 공격자들, 거센 압박에 맞서 적응력 키우고 있음.
2. 과거의 영광을 누렸던 랜섬웨어는 종적 감추고, 신진 세력들 늘어남.
3. 랜섬웨어 공격자들이 안전하게 거할 나라 있는 한 랜섬웨어 공격은 멈추지 않을 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
보안뉴스 원병철) [단독] KT 고객 유심 복사로 암호화폐 탈취? ...
보안뉴스) [2022 보안 핫키워드-1] 다크웹의 대중화 추세, 사이...
