SK쉴더스 “2분기 랜섬웨어 1556건, 공공·소비자 서비스로 확산”

대형 조직 공백에도 위협 지속, INC 소스코드 유통 우려

SK쉴더스는 ‘KARA(한국 랜섬웨어 대응 협의체) 랜섬웨어 동향 보고서’를 통해 올해 2분기 전 세계 랜섬웨어 피해가 1556건에 달했다고 27일 밝혔다. 이는 전년 동기 대비 17% 늘어난 수치로, 공공기관과 소비자 대상 서비스까지 공격이 확대되면서 일상생활에 직접적인 위협이 되고 있는 상황이다.

올해 2분기 건수는 직전 분기(2575건)보다 40% 감소했지만, 이는 클롭(Clop), 랜섬허브(RansomHub) 등 대형 조직의 활동 중단에 따른 일시적 영향일 뿐 위험 수준은 여전히 높다고 보고서는 평가했다. 같은 기간 퀼린(Qilin)이 두드러졌고, 랜섬허브 중단 이후 월평균 피해가 35건에서 70건으로 두 배 뛰었다. 아키라(Akira) 가상사설망(VPN) 취약점을, 플레이(Play)는 방화벽과 윈도우 취약점을 연계해 노리는 등 공격 방식도 고도화됐다. 건라(Gunra), 데브맨(Devman), 노바(Nova) 같은 신생 그룹도 새롭게 등장했다.

실제 피해 사례도 일상과 맞닿아 있다. 매스웍스(MathWorks)의 매트랩(MATLAB)·시뮬링크(Simulink) 관련 클라우드 서비스가 장기간 마비돼 연구와 실무가 지연됐다. 국내에서는 예스24가 두 달 만에 다시 랜섬웨어 피해를 입어 도서 검색, 전자책, 공연 예매 등 핵심 서비스가 중단되며 대규모 소비자 피해가 발생했다.

헬스케어 분야에선 다비타(DaVita), 케터링 헬스(Kettering Health), 코버넌트 헬스(Covenant Health) 등에서 환자 정보 유출과 진료 지연이 발생했다. 미국 맥라렌 헬스케어는 작년 공격으로 74만명 개인정보가 유출된 사실을 뒤늦게 확인하기도 했다. 이에 따라 미국 연방수사국(FBI), 사이버보안·인프라안보국(CISA), 보건복지부(HHS)는 7월 합동 주의보를 발령했다. 미국 일부 지방정부와 사법기관의 행정·치안 시스템도 멈추며 주민 불편으로 이어졌다.

보고서는 INC 조직의 움직임에도 주목했다. INC는 ’서비스형 랜섬웨어(RaaS)’ 모델로 운영되며 의료·제조·공공 등 운영 중단 시 피해가 큰 산업군을 집중 겨냥한다. 최근 다크웹에서 INC의 소스코드가 판매되는 정황이 나타나, 유사 랜섬웨어 제작과 변종 확산 우려가 커지고 있다. 특정 조직을 넘어 새로운 범죄 주체가 잇달아 등장할 가능성이 크다는 것이다.

SK쉴더스는 대응 방안으로 ▲신속한 보안 패치 ▲내부 권한 최소화 ▲행위 기반 이상 징후 감시 강화를 제시하고, 실시간 탐지와 대응이 가능한 사이버 보안 서비스인 ‘관리형 탐지 및 대응(MDR, Managed Detection & Response)‘을 핵심 대안으로 꼽았다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 “랜섬웨어가 소비자 서비스와 공공기관으로 확산돼 일상을 직접 위협하고 있다”며 “실시간 탐지와 대응이 가능한 MDR로 선제 대비해야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network