컨텐츠 바로가기

공공기관‧기업 노리는 랜섬웨어, 거드는 가상자산‧다크웹

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
#2020년 11월 22일, 이랜드그룹을 대상으로 클롭(Clop) 랜섬웨어 공격이 발생했다. 사내 전상망이 자사 백화점 등 결제 단말기와 연동돼 오프라인 영업에도 피해가 발생했다. 해커조직 클롭은 대가를 지불하지 않으면 확보한 고객 카드정보 200만 건을 공개하겠다고 협박했다. 현재까지 절반에 달하는 100만 건의 개인정보가 다크웹에 공개된 것으로 확인됐다.

#러시아의 해킹 단체 팬시베어를 사칭한 조직은 2020년 국내 은행권‧공공기관‧기업 등을 대상으로 디도스 공격용 협박메일을 발송했다. 국가정보원은 금융위원회와 과학기술정보통신부 등 관계기관과 정보를 공유, 금융업무 마비를 막았다. 현재는 외국의 정보‧보안기관과 공격 IP, 해킹메일 등 침해지표를 상호 교환해 분석 중이다.


사회기반시설이나 생활과 밀접한 관련이 있는 산업들을 대상으로 랜섬웨어 공격이 확대되는 가운데, 해킹 조직들이 대가로 추적이 어려운 가상자산을 요구하는 경우가 늘어나고 있다.

◇가상자산과 다크웹 발판삼아…랜섬웨어 활개


실제 이랜드그룹을 공격한 클롭은 4000만 달러(한화 약 450억 원) 상당의 비트코인을 요구했다. 팬시베어를 사칭한 그룹 또한 공격 중단의 조건으로 20비트코인을 지불하라는 협박 메일을 발송했다.

랜섬웨어 공격은 다크웹과 가상자산을 발판삼아 증가하고 있다. 통상 랜섬웨어 공격을 위해서는 전문적인 지식이 필요하다. 최근에는 별도 지식이 없어도 서비스형 랜섬웨어를 판매하는 판매자에게 의뢰하면 공격을 대신해주는 서비스가 생겨나는 추세다. Raas(Ransomeware as a Service)로, 제작자와 공격자가 추후 수익금을 분배받는 구조다.

이재광 한국인터넷진흥원(KISA) 종합분석팀 팀장은 “온라인 상에서는 RaaS를 구매할 수 없으니 다크웹을 통해 서비스형 랜섬웨어를 유통한다”라며 “수익금 분배 시 현금보다는 익명성이 보장되고 자금세탁이 가능한 가상자산을 이용하면서 자연스럽게 시장이 태동하고 있다”라고 설명했다.

이투데이

랜섬웨어 피해 현황이다.(사진제공=한국인터넷진흥원(KISA))

<이미지를 클릭하시면 크게 보실 수 있습니다>


실제 국내외를 막론하고 랜섬웨어 공격이 폭증하는 추세다. 체크포인트의 5월 조사에 따르면 랜섬웨어 공격 수는 2020년 초 대비 2021년 102% 증가했다. 특히 작년 3분기부터 50% 이상 급증했다. 국내 또한 랜섬웨어 신고가 2019년 39건 대비 2020년 127건으로 325% 증가했다. 2021년 상반기에만 78건의 랜섬웨어 피해가 보고됐다.

◇랜섬웨어 예방책, 가상자산 추적 기술은?


보안 전문가들은 랜섬웨어 공격에 상당한 시간이 소요되는 만큼, 예방의 중요성을 강조했다.

KISA가 분석한 랜섬웨어 사고 현장의 특징에 따르면 전체 공격 과정에 1년 이상이 소요된다. 기업 타깃형 공격이 대부분인 만큼 최초침투부터 내부 이동, 거점 확보, 랜섬웨어 실행까지 시간이 필요하다는 것이다.

더불어 공격자는 랜섬웨어를 대량으로 퍼뜨리기 위한 지점을 찾아 거점을 구축해야 한다고 분석했다. 주로 관리자나 개발자의 PC, 중앙관리(AD, Active Directory) 서버가 타깃이다. 최근에는 기업의 테스트 서버 또한 취약점으로 꼽히는 추세다.

이재광 KISA 종합분석팀 팀장은 “랜섬웨어에 대비해 백업을 준비해야 하지만, 백업 데이터 감염 사례도 다수 존재하는 만큼 (백업만으로는) 충분하지 않다”라며 “랜섬웨어 리스크를 사업의 연속성 유지 관점에서 고민해야 하고, 원인 분석을 위해 관련 로그(기록)를 삭제하지 말고 꼭 유지해야 한다”라고 말했다.

이투데이

한국인터넷진흥원(KISA)이 개발 중인 사이버범죄 활동 정보 추적 기술이다.(사진제공=2021 국가정보보호백서에서 발췌)

<이미지를 클릭하시면 크게 보실 수 있습니다>


가상자산이 촉발한 범죄를 막기 위한 방안들도 마련되고 있다. KISA는 가상자산 부정거래 등 사이버범죄 활동 정보 추적 기술을 2020년 4월부터 개발 중이다. 가상자산 지갑주소 클러스터링에 기반해 가상자산 취급업소(VASP)를 식별하는 성능이 주다. 다크웹 기반 사이버범죄를 추적하고 수사하는 데 필요한 기초자료를 생성할 수 있을 전망이다.

이 팀장은 “전 세계 CERT(침해사고 대응팀)와 협의체를 운영하며 사고 및 기술에 대한 정보를 신속하게 공유하고 있다”라며 “가상자산 추적에 대해서는 국제적으로도 연구가 되고 있고, KISA도 힘을 쏟는 만큼 성과가 있을 것으로 기대하고 있다”라고 말했다.

[이투데이/박소은 기자(gogumee@etoday.co.kr)]

▶프리미엄 경제신문 이투데이 ▶비즈엔터

이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.