"700만원 보증금 내면 해킹수익 나눠줄께"…달라진 랜섬웨어 공격 방식

이스트시큐리티, 1분기 랜섬웨어 6만건 차단…위협 여전
권한 상승·방어 우회 기술까지…신종 RaaS 조직 활동 활발

[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = 랜섬웨어 공격이 기승을 부리고 있는 가운데 약 700만원(5000달러) 정도의 보증금만 내면 누구나 랜섬웨어 공격에 참여하고 수익배분에 참여할 수 있는 서비스형 랜섬웨어(RaaS) 방식까지 등장했다.

이스트시큐리티는 지난 1분기 동안 자사의 보안 솔루션 '알약'을 통해 총 6만3909건의 랜섬웨어 공격을 사전에 차단했다고 14일 밝혔다. 이는 하루 평균 약 694건의 공격이 차단된 셈이다.

이스트시큐리티는 이와 함께 1분기 랜섬웨어 동향 분석 결과도 발표했다. 주요 내용으로는 ▲랜섬허브(RansomHub) 조직의 맞춤형 백도어 '베트루거(Betruger)' 사용 ▲신규 랜섬웨어 서비스(RaaS) 조직의 다수 등장 ▲미국 사이버안보국(CISA)·연방수사국(FBI)·다중주 정보공유 및 분석센터(MS-ISAC)의 고스트(Ghost) 랜섬웨어 관련 공동 권고문 발표 ▲취약점 악용을 통한 초기 침투 지속 ▲새로운 랜섬웨어 종류의 출현 등이 포함됐다.

전문성 없어도 가입 가능…공격 실행은 제휴사, 수익은 분배 구조

지난 1분기에는 다수의 신규 RaaS 조직이 출현하며, 공격 수법의 다양화와 고도화가 두드러졌다.

지난달 7일에는 '반헬싱(VanHelsing)'이라는 새로운 RaaS 조직이 나타났다. 이 조직은 등장하자마자 짧은 시간 안에 3건의 피해 사례를 일으키며 주목받았다.

특히, 반헬싱은 약 700만원(5000달러)만 내면 누구나 '제휴사(affiliate)'로 참여할 수 있게 돼 있으며, 제휴사는 피해자로부터 받은 랜섬머니의 최대 80%까지 가져갈 수 있다.

랜섬웨어 공격에서 '제휴사'는 실제로 공격을 실행하는 핵심 주체로, RaaS 모델에서 중요한 역할을 맡는다. RaaS는 랜섬웨어를 하나의 '서비스'처럼 제공하는 형태로, 운영자가 악성코드와 관련 인프라(암호화 도구, 협상 페이지, 피해자 관리 패널 등)를 개발해 배포하면, 제휴사는 이를 이용해 공격을 수행하고 수익을 나눈다.

반헬싱 조직은 러시아를 포함한 독립국가연합(CIS) 국가들을 공격 대상에서 제외하고 있어, 러시아 기반의 사이버 범죄 조직과 관련이 있다는 의심도 받고 있다

RaaS 조직 등장 속속…고도화된 공격 기법에 보안 우려 커져

지난해 12월 등장한 모피어스(Morpheus) 랜섬웨어는 RaaS 모델 기반으로 운영되며, 정부기관이나 대기업 등 고부가가치 대상을 중심으로 공격을 수행했다. 특히 윈도의 암호화 애플리케이션 프로그래밍 인터페이스(API)를 활용해 파일 확장자를 변경하지 않고 암호화를 수행하는 방식이 눈에 띈다.

보안 전문가들은 모피어스가 지난해 중반 등장한 헬캣(HellCat) 랜섬웨어와 유사한 '페이로드'를 사용한다는 점에서, 동일한 빌더(builder)나 코드베이스를 공유하고 있을 가능성에 주목하고 있다. 페이로드는 악성코드가 시스템에 침투한 후 실제로 수행하는 주요 악성 행위 또는 탑재된 실행 코드를 말한다.

같은 시기 등장한 아누비스(Anubis) 랜섬웨어는 윈도, 리눅스, NAS, ESXi 등 다양한 운영체제를 지원하며, 직접 공격을 실행하는 '제휴사'에게 다양한 수익화 옵션을 제공한다.

이 랜섬웨어는 ChaCha 및 ECIES 암호화 알고리즘을 기반으로 고속 암호화를 수행하며, 권한 상승, 방어 시스템 우회 등 고급 기술도 갖추고 있어 위협 수준이 높은 것으로 평가된다.

이스트시큐리티 ESRC(시큐리티 대응센터) 관계자는 "이미 알려진 취약점을 이용한 랜섬웨어 공격이 지속되고 있다"면서 "보안 담당자들은 사내 인프라 점검을 통해 알려진 취약점을 패치해야 하고, 패치 적용이 어려운 상황이라면 추가적인 보안 조치를 진행 및 주기적인 데이터 백업을 통해 랜섬웨어 피해를 최소화할 수 있도록 해야 한다"고 밝혔다.

☞공감언론 뉴시스 chewoo@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개