컨텐츠로 건너뛰기
검색
뉴스1 언론사 이미지

"디도스 곁들이고 내부자 포섭하고"…올해 더 거세질 랜섬웨어

뉴스1 윤주영 기자
원문보기

"디도스 곁들이고 내부자 포섭하고"…올해 더 거세질 랜섬웨어

서울맑음 / -3.9 °

공격 늘었으나 수익성 약화…입체적 전술로 해커 협상력 강화

"韓 안전지대 아냐…백업은 필수, 제로트러스트 관제 더해야"



ⓒ News1 김초희 디자이너

ⓒ News1 김초희 디자이너


(서울=뉴스1) 윤주영 기자 = 랜섬웨어 공격은 증가 추세지만, 개별 공격의 기대 수익은 감소하고 있다는 분석이 나온다. 공격 그룹은 이를 만회하고자 분산서비스 거부(디도스) 등 다른 공격을 곁들이거나, 기업 내부자를 포섭하는 등 입체적인 전술을 써 협상력을 높이는 중이다.

8일 글로벌 위협 인텔리전스 기업 레코디드 퓨처는 지난해 글로벌 랜섬웨어 동향을 다룬 보고서를 통해 이같은 내용을 밝혔다.

지난해 공개된 전체 랜섬웨어 공격 건수는 전년 대비 47% 증가했다. 구체적 수치는 집계 기관마다 차이가 있지만, 7000건 이상일 것으로 추정된다.

공격이 증가하는 이유는 서비스형 랜섬웨어(RaaS)의 확산 탓이다. 이는 랜섬웨어 개발자가 악성코드를 '제휴사'라고 불리는 다른 조직들에 판매하는 수익모델이다. 비전문가라도 손쉽게 공격을 시도할 수 있다.

다만 개별 공격의 수익성은 떨어지고 있다. 기업들이 해커와 협상하기보다는 데이터 백업 및 보안 강화로 맞대응하기 시작하면서다.

염흥열 순천향대 정보보호학과 교수는 "기업들이 랜섬웨어로 암호화된 데이터를 풀기 위해 몸값을 지불하는 것을 멈추기 시작했다"며 "대신 이를 예방하고자 기업들이 보안 강화에 열을 올리는 상황"이라고 설명했다.


공격의 '가성비'가 떨어지자, 해커들은 변종 수법을 쓰기 시작했다. 레코디드 퓨처가 파악한 유형은 크게 3가지다.

우선 서비스형 랜섬웨어 주도 세력들이 디도스 공격을 기존 번들 서비스에 추가 제공하기 시작했다. 공격 제휴사들의 이탈을 막고자 일종의 덤을 얹는 것이다. 최근 등장한 랜섬웨어 그룹 '카오스'가 이같은 전략을 쓰며, 과거 REvil 역시 유사한 서비스를 제공했다.

또 목표 기업의 내부자를 포섭하려는 시도가 확인된다. 랜섬웨어의 초기 침투는 일반적으로 자격증명 탈취나 시스템 취약점 악용이다. 하지만 최근 영어 원어민을 활용해 내부자를 포섭하려는 사회공학적 공격이 확인된다고 레코디드 퓨처는 설명했다.


지난해 한 랜섬웨어 그룹이 BBC 기자를 포섭하려 한 시도가 대표적이다. 조 타이디 기자는 "BBC 해킹을 도우면 데이터 몸값의 15%를 주겠다"는 제안을 받았다고 전했다.

레코디드 퓨처는 "비공개 문건까지 감안하면 내부자 포섭은 지난해 크게 증가했다"며 "대기업 인력 감축이 올해에도 이어질 경우, (경제적 유인책이 커지기 때문에) 포섭 시도가 거세질 수밖에 없다"고 전망했다.

IT 용역에게 합법적인 일인 것처럼 속여, 기업 침투에 가담하도록 하는 수법도 있다. 헬프 데스크(사내 임직원 대상 기술지원) 업무로 빙자한 뒤, 해당 용역들이 원격 제어도구 등을 설치하게 만드는 것이다. 의심을 사지 않도록 합법 구인 플랫폼까지 활용한다.


이같은 방식은 아직 드물지만, IT 인력 플랫폼의 접근성을 고려할 때 충분히 확산할 가능성이 있다고 레코디드 퓨처는 경고했다.

기업들로서는 기존 공격표면 방어에 더해 내부 통제까지 강화해야 하는 상황이 됐다. 랜섬웨어는 기본적으로 데이터 백업이 필수 대비책이지만, 내부에서의 접근·통신마저 끊임없이 검증하는 '제로트러스트' 보안 역시 대안이 될 수 있다.

염흥열 교수는 "기존 보안 모델이 외부와의 격리에 초점을 뒀다면, 제로트러스트는 내부 이상 트래픽을 감시하는 '관제형'에 가깝다"며 "워크로드를 격리해서 시스템 간의 측면 위협 이동을 방지하는 '마이크로 세그멘테이션' 전략이 필요하다"고 조언했다.

한국도 지난해 예스24, SGI서울보증 등 어려 업권에서 피해를 본 만큼, 랜섬웨어 안전지대가 아니다. 정부도 해킹과의 전면전에 나선 상황이다. 이상중 한국인터넷진흥원(KISA) 원장은 최근 시무식을 통해 "기업·조직에 큰 피해를 주는 랜섬웨어 공격에 대응하는 역량을 체계적으로 강화할 것"이라고 말했다.

legomaster@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지. <용어설명> ■ 랜섬웨어 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화해 쓸 수 없도록 한 뒤 이를 인질로 금전을 요구하는 악성 프로그램이다. ■ 디도스 분산 서비스 거부(Distributed Denial of Service). 여러 개의 장치를 이용해 컴퓨터 서버나 네트워크 장비가 처리할 수 없을 정도의 과도한 트래픽을 발생시켜 정상적인 데이터 전송에 장애를 일으키는 해킹 공격의 일종. ■ 제로트러스트 제로 트러스트(Zero Trust)는 아무것도 기본적으로 신뢰하지 않는다는 원칙에 기반한 최신 보안 모델이다. 모든 사용자·장치·애플리케이션·트랜잭션을 신뢰하지 않고 항상 신원과 권한을 엄격하게 검증한 후 접근을 허용한다.

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.