(SK쉴더스 제공)
`
랜섬웨어 코드를 계열사나 제휴사에 판매해 광범위한 공격을 수행하는 글로벌 조직 '랜섬허브'가 영향력을 확대하고 있다. 이들은 2월에 등장했음에도 불구하고 올해 글로벌 랜섬웨어 피해의 약 15%를 차지한다.
21일 SK쉴더스 화이트해커그룹 EQST는 '랜섬웨어 Arsenal'과 '2024년 3분기 KARA 랜섬웨어 동향 보고서' 등을 발간하고 랜섬웨어 최신 동향을 공유했다. 랜섬웨어는 기업 내부 데이터를 쓰지 못하게 탈취·암호화한 뒤 몸값을 요구하는 공격이다.
분석에 따르면 과거엔 글로벌 해킹조직 '록빗'이 가장 큰 피해를 일으켰다면, 올해 6월을 기점으론 랜섬허브 그룹이 가장 큰 위협으로 떠올랐다. 이들은 미국 통신 회사 프런티어 커뮤니케이션즈를 공격해 75만 명의 개인정보를 유출했을 뿐만 아니라 국내 기업도 한차례 공격한 적 있다.
이들처럼 랜섬웨어 코드나 악성 프로그램(멀웨어)을 판매하는 방식을 서비스형 랜섬웨어(RaaS)라고 한다. 전문 지식 없이도 쉽게 사용할 수 있어 해킹의 진입장벽을 낮췄다는 분석이다.
특히 미국 보안기업 레코디드퓨처 조사에 따르면 랜섬허브는 제휴사에 수익 약 90%를 지급하는 등 파격적 조건으로 몸집을 키우고 있다.
또 EQST 분석에 따르면 최근의 랜섬웨어 집단은 개발, 유포, 공격, 협상 등 분야별로 업무를 나눠 기업과 같은 운영 형태를 보인다. 데이터 암호화 및 유출을 넘어 분산 서비스 서부(디도스) 공격 등을 통해 2중, 3중 협박을 하는 등 공격 방식도 발전하고 있다.
한편 올해 3분기 랜섬웨어 공격은 1314건 발생했으며 그 중 제조업(26.7%)이 가장 큰 피해를 보았다. 기업의 클라우드 도입이 늘어남에 따라 공격 표적도 기업 내부에서 클라우드 환경으로 확대되고 있다.
또 15개의 신규 랜섬웨어 그룹이 발견됐으며 여전히 취약점을 악용한 공격이 이어지고 있는 것으로 조사됐다. 광고 내 악성코드를 삽입해 유포하는 '멀티바이징', 다른 컴퓨터에 원격으로 접속해 화면을 제어하는 RDP 등 방식으로 피해를 야기하는 랜섬웨어 그룹 Meow도 있다.
이 밖에도 EQST는 랜섬웨어 200여 종의 탐지 회피기술, 네트워크 침투 기법, 데이터 탈취 및 유출 과정 등을 단계적으로 분석했다. 이후 위협을 사전에 차단·대응할 수 있도록 단계별 방어 전략을 제시했다.
EQST는 "사용자는 피싱 메일 열람, 첨부파일 실행 등을 주의하는 한편 불필요한 계정 차단, 다중 요소 인증(MFA), 네트워크 간 접점 통제 등 다양한 보안 전략을 수립해야 한다"고 권고했다.
자세한 내용은 SK쉴더스 홈페이지 인사이트 리포트 메뉴에서 무료로 보고서를 내려받아서 확인하면 된다.
legomaster@news1.kr