아카마이 “아태지역 랜섬웨어 절반은 2·4중 갈취 방식…의료·법률 노려”

신규 그룹 확산, 컴플라이언스 악용 사례 증가…제로트러스트·세분화 대응 필수

아카마이테크놀로지스(힌국 대표 이경준)는 최근 ‘인터넷 현황 및 랜섬웨어 보고서(State of the Internet Report)’를 통해 아시아·태평양 지역 기업을 겨냥한 랜섬웨어 공격이 더 정교하고 복합적인 방식으로 진화하고 있다고 4일 밝혔다.

전체 데이터 유출 사건 중 절반 이상이 랜섬웨어로 인한 것으로, 공격자들은 피해자의 심리·법적 약점을 동시에 노리는 ‘다중 갈취(extortion)’ 전술을 사용하고 있는 것으로 나타났다.

아카마이는 이번 보고서에서 기존의 이중 갈취(데이터 암호화 후 유출 협박)에 더해 ▲디도스(DDoS) 공격 ▲고객·파트너·미디어 대상 협박 ▲법적 규제 위협까지 결합한 4중 갈취 사례가 늘고 있다고 분석했다.

스티브 윈터펠드 아카마이 자문 최고정보보호책임자(CISO)는 “오늘날의 랜섬웨어는 단순한 데이터 암호화에 그치지 않는다”며 “서비스 중단, 평판 훼손, 법적 위협까지 아우르며 기업을 전면적인 위기로 몰아넣고 있다”고 말했다.

보고서는 락빗(LockBit), 블랙캣(BlackCat), Cl0p 등 기존 그룹 외에도 Abyss Locker, Akira 등 신규 랜섬웨어 그룹이 아태지역에서 활동을 강화하고 있다고 지적했다. 이들은 특히 의료 및 법률 서비스와 같은 규제 민감 산업을 표적으로 삼고 있다.

대표적인 사례로는 ▲호주의 한 요양 재단에서 Abyss Locker 공격으로 1.5테라바이트(TB)의 민감 정보가 유출된 사건 ▲싱가포르 법률 사무소가 Akira 공격을 받은 뒤 190만달러의 몸값을 지불한 사례 등이 언급됐다.

서비스형 랜섬웨어(RaaS) 플랫폼을 이용하는 RansomHub, Play, Anubis 같은 하이브리드 그룹도 중소 의료기관, 교육기관까지 공격 대상을 확장하고 있다.

아카마이는 규제 미비와 일관성 부족도 위험 요인이라고 지적했다. 예컨대 싱가포르는 개인정보보호법(PDPA)을 위반하면 연간 매출의 최대 10%를 벌금으로 부과하지만, 일본은 유사 위반에 대해 금전적 처벌 규정이 없다. 인도는 형사 처벌까지 가능하다.

아카마이는 이같은 규제의 불균형이 기업의 보고를 지연시켜 사각지대를 만들고 있으며, 공격자들이 이를 악용해 ‘규제 갈취(regulation extortion)’ 전술로 이어진다고 분석했다.

또한 아카마이는 제로트러스트 아키텍처와 마이크로세그멘테이션의 중요성을 강조했다. 아태지역의 한 컨설팅 기업 사례처럼 내부망을 세분화해 공격자의 수평 확산을 조기에 차단할 수 있다는 것이다.

루벤 코 아카마이 아태지역 보안 기술·전략 디렉터는 “아태 기업들은 빠르게 혁신하고 있지만, 보안 팀은 계속 확장되는 공격 표면에 대응하기 어려움을 겪고 있다”며 “검증된 접근 통제와 세분화된 내부 방어 체계가 필수”라고 강조했다. 이어 “정기적인 복구 훈련과 사고 대응 시뮬레이션 등도 사이버 회복탄력성을 높이는 핵심 수단”이라고 덧붙였다.

아울러 아카마이는 생성형 AI와 대규모언어모델(LLM)의 악용 가능성도 경고했다. 기술 전문성이 없는 이들도 손쉽게 악성 코드와 정교한 사회공학 공격을 시도할 수 있어, 전체 위협 환경이 확장되고 있다는 것이다.

한편 암호화폐 탈취 규모도 커지고 있다. 아카마이는 트릭봇(Trickbot) 악성코드 조직이 2016년 이후 약 1조53억원 상당의 암호화폐를 탈취한 것으로 추정했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network