랜섬웨어, 해커들의 돈벌이 입증됐다...APT와 결합해 파괴력도 늘어

'사이버 인질'로 불리는 악성코드 '랜섬웨어'를 이용하는 해커들의 수입이 높아지고 있다는 분석이 나왔다. 게다가 최근에는 기업이나 기관들을 노린 지능형 지속공격(APT)과 결합한 랜섬웨어가 새로 출현해 파괴력이 강화되고 있는 것으로 조사됐다.

결국 파괴력이 강한 랜섬웨어를 이용해 해커들이 수익을 늘리기 위해 기업을 대상으로 공격을 집중하고 몸값을 요구하는 사례가 급증할 것이라는게 전문가들의 관측이다.

인터파크의 1030만명분 고객정보를 빼내 개인정보를 볼모로 30억원 상당의 비트코인을 요구한 해킹 공격이 기업을 겨냥한 전형적 해킹사례다. 여기에 랜섬웨어가 결합되면 기업들의 피해가 더 커질 수 있다는게 전문가들의 예상이다.

특히 APT와 결합한 랜섬웨어는 백업된 자료를 삭제하거나 백업 경로까지 차단하는 등 다양한 변종으로 파생되고 있는 것으로 파악돼 일반인 뿐 아니라 기업 전산 담당자들의 각별한 주의가 필요하다는 조언이 잇따르고 있다.

■수익성 검증된 랜섬웨어...기업대상 공격 급증 예상
27일 글로벌 사이버 보안 업체 시만텍이 발표한 '랜섬웨어 스페셜 보고서 2016'에 따르면 전세계적으로 랜섬웨어 공격을 통해 요구하는 금액(몸값)이 올해 상반기 기준 679달러(약 77만원)를 기록했다.

지난해 294달러(약 34만원) 대비 2.3배나 급증한 것으로, 2014년 372달러(약 43만원) 이후 감소 추세를 보이다 다시 몸값이 상승 추세로 전환됐다.

이같은 몸값 규모는 국내에도 유사하게 적용되는 것으로 알려져 피해액이 늘고 있는 것으로 추정됐다. 한국의 경우 랜섬웨어 상위 피해 국가 중 상위 30위권 내에 포함될 만큼 랜섬웨어 공격 빈도와 피해가 많은 것으로 나타났다.

지난해 한해에만 자바스크립트 등 동일한 범주에서 변종 랜섬웨어 악성코드 집합인 '패밀리'만 100개가 발견돼 사상 최대치를 기록했다. 전년도 77개 대비 약 30% 증가한 것이다.

피해액 증가는 기업을 겨냥한 표적 공격이 증가했기 때문인 것으로 풀이된다. 대규모로 무차별하게 PC나 스마트폰을 감염시키는 랜섬웨어 공격이 여전하지만, 최근 에는 랜섬웨어 감염의 약 43%가 기업 사용자에 집중돼 있는 것으로 것으로 집계됐다.

이전에는 목표를 두지않은 랜섬웨어 공격이 일반적이었지만, 지난해부터 랜섬웨어 공격이 다양해지면서 기업 측의 피해가 윤곽을 드러내고 있다는게 시만텍의 설명이다.

기업을 겨냥한 랜섬웨어 공격은 성공할 경우 수천대의 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힐 수 있어 몸값은 훨씬 늘어날 수 있다.

■APT와 결합한 신규 위협으로 부상
랜섬웨어의 수익성이 검증되면서 해커들이 보다 많은 수익을 노려 APT 기법을 랜섬웨어에 결합하는 추세도 늘고 있다.

표적형 랜섬웨어 공격은 사실상 사이버 스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술을 활용하면서 높은 수준의 전문성을 보이고 있다.

랜섬웨어 변종들이 자바스크립트, 파워쉘, 파이썬 등 다양한 프로그래밍 언어로 사용되고 있고 스크립트형 언어를 사용해 보안 제품의 탐지를 교묘히 피하기도 한다.

APT는 특정 대상을 정해 오랜기간 동안 e메일 등으로 악성코드 등 다양한 사이버공격을 진행하는 방식으로 피해기업 입장에선 은밀히 진행된 공격 탓에 피해 사실을 감지하지 못하는 경우도 다반사다.

지난 5월 1030만명의 고객정보가 털린 인터파크가 APT 피해사례로, 해커는 랜섬웨어 방식은 아니었지만 APT 방식으로 탈취한 개인정보를 볼모로 삼아 인터파크에 30억원 규모의 비트코인을 요구했다.

이번 사례가 랜섬웨어와 결합했을 경우 기업의 피해 규모는 30억원 수준을 웃돌며 후유증이 만만치 않았을 것이란 분석이다.

국내외 일부 기업들은 서버의 취약점이나 직원들의 부주의로 보안이 APT에 뚫려 랜섬웨어 공격까지 받은 것으로 알려졌다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 "APT가 취약점을 점검한 뒤 일단 어떤 방식으로든 취약점을 찾으면 기업의 백업 여부를 파악한다"며 "일부 랜섬웨어의 경우 백업되는 경로도 차단해 백업이 안되게 하거나 백업이 된 경우 이마저도 지워버리게 하는 식으로 바뀌고 있다"고 설명했다.

hjkim01@fnnews.com 김학재 기자

※ 저작권자 ⓒ 파이낸셜뉴스. 무단 전재-재배포 금지