SK쉴더스 “새로운 랜섬웨어 공격 늘었다, 초기 침투 브로커도 기승”
올 3분기 1000건이 넘었던 국내 랜섬웨어 공격 성향을 분석한 결과 신규 그룹의 공격이 도드라진 것으로 나타났다. 9월에는 대량의 기업 데이터 탈취 사태가 일어나기도 하며 각별한 주의가 요구되는 시점이다.
사이버보안 서비스 기업 SK쉴더스는 8일 2023년 3분기 KARA 랜섬웨어 동향 보고서를 발간했다고 8일 밝혔다. 카라(KARA·Korea Anti Ransomware Alliance)는 SK쉴더스의 정보보안 서비스 부문인 인포섹(infosec) 주도로 구성한 랜섬웨어 대응 민간 협의체다.
보고서는 지난 3분기 가장 활발하게 활동한 랜섬웨어 공격 그룹의 동향과 전략을 상세히 다뤘다.
3분기 동안 랜섬웨어 공격은 총 1384건이 발생했는데 이는 지난해 같은 기간의 2배가 넘는 수치다. 올해 9월에만 496건의 공격이 집중됐다. 이는 클롭(Clop), 락빗(LockBit) 등 유명 랜섬웨어 그룹의 대규모 공격뿐 아니라, 신규 랜섬웨어 그룹의 공격이 적지 않았던 것으로 파악됐다. 신규 랜섬웨어의 공격 비중은 전년보다 늘어나 전체 공격의 17.6%를 차지했다.
특히, 지난 9월에는 락빗이 국내 한 대기업의 데이터 800기가바이트(GB)를 탈취하고 업무 관련 문서, 데이터베이스 관련 파일 등 100GB 분량의 데이터를 공개해 파장이 일었다. SK쉴더스는 “이들은 기업을 대상으로 데이터 탈취뿐만 아니라 공개를 빌미로 금전을 요구하는 이중 협박 전략을 쓰고 있어 피해가 커지고 있다”고 전했다.
랜섬웨어 공격 시 초기 침투를 전문으로 하는 초기 침투 브로커(IAB·Initial Access Broker)와의 협업은 더욱 강화되고 있는 것으로 조사됐다. 대형 랜섬웨어 그룹들이 초기 침투 경로를 IAB에게 구매해 공격을 수행한 뒤 얻은 암호화폐 수익을 숨기는 ‘믹싱 서비스’를 이용하는 등 체계화된 공격 전략이 도드라진다.
이 밖에도, 초기 침투 방법으로 취약점을 악용한 전문적인 공격 방법과 비교적 공격이 쉬운 피싱, 스팸 메일, 사회공학 기법을 이용한 상반된 전략이 모두 발견되고 있는 것으로 조사됐다.
한편 선제적인 대응을 할 수 있도록 SK쉴더스 인포섹의 랜섬웨어 대응센터에서는 이번 보고서와 함께 랜섬웨어 복호화 도구 2종을 무료로 배포한다.
해당 2종은 ‘키그룹(KeyGroup)’ 랜섬웨어와 ‘노빗(NoBit)’ 랜섬웨어 일부 버전에서 실행 가능하며 암호화된 파일을 복구할 수 있다.
반러시아 성향을 드러낸 키그룹 랜섬웨어는 다양한 제작 도구를 활용해 변종을 만들어내고 있어 대비가 시급하다는 게 SK쉴더스의 설명이다. 노빗은 서비스형 랜섬웨어로 빠른 암호화와 쉬운 사용법 등으로 공격자들이 선호하고 있는 것으로 알려졌다.
김병무 SK쉴더스 인포섹 클라우드보안사업본부장은 “특색 있는 신규 랜섬웨어들이 계속 발견되고 매분기 공격 건수가 늘어나는 만큼 전략과 기법을 사전에 파악해 선제적인 조치가 필요한 시점”이라며 “이번 복호화 도구 무료 제공을 계기로 랜섬웨어 예방에서부터 사후 조치까지 기업 환경에 맞는 맞춤형 대응 방안을 지속적으로 제시하겠다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
![[바스리] “암호화보다 안전하고, 개인정보 남용도 막는 ‘파편화’”](https://byline.network/wp-content/uploads/2020/03/lego-block.jpg)
