[위클리 스마트] '파죽지세' 서비스형 랜섬웨어 증가에 보안업계 긴장
신고 건수 늘고 피해규모 커져…리브랜딩으로 감시 피하기도
행위 기반 백신 구축하고 출처 모르는 프로그램 실행 하지 않아야
(서울=연합뉴스) 오규진 기자 = 올해 들어 서비스형 랜섬웨어(RaaS) 감염 사례가 급격히 늘어나면서 보안업계가 촉각을 곤두세우고 있다.
서비스형 랜섬웨어는 전문 대행업자가 의뢰인의 주문을 받아 대신 제작한 랜섬웨어다.
별도의 전문지식 없이도 랜섬웨어 공격이 가능하고 추적도 어려워 사이버 범죄의 문턱을 낮췄다는 평가를 받는다.
◇ 올해 5월까지 랜섬웨어 신고 건수 100건…피해 규모도 커지는 추세
25일 한국인터넷진흥원(KISA)에 따르면 올해 1월부터 5월까지 국내 기업의 랜섬웨어 피해 신고 건수는 100건이다.
지난해 같은 기간(64건)에 비해 56.3% 증가했다.
피해 규모도 빠르게 커지고 있다.
미국의 사이버 보안 연구 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면 지난해 랜섬웨어 감염으로 발생한 손실은 200억달러(약 26조원)에 달한다.
이 업체는 2031년까지 전 세계 랜섬웨어 피해액이 2천650억달러(약 344조원)에 이르리라 예측했다.
박태환 안랩[053800] 사이버 시큐리티 센터(ACSC) 대응팀장은 "최근 활발하게 유포 중인 랜섬웨어 상당수가 서비스형 랜섬웨어"라고 밝혔다.
이어 "서비스형 랜섬웨어가 제작자들에게 안정적인 수익을 가져다주고 이를 토대로 새로운 랜섬웨어가 나오는 악순환이 계속되고 있다"고 덧붙였다.
◇ '락빗2.0' '블랙캣' 등 활동 두드러져…리브랜딩으로 당국 추적 피하기도
올해 상반기 보안업계에서 가장 주목한 랜섬웨어는 락빗(LockBit)2.0이다.
락빗2.0은 호스트 서버에 침투해 파일을 자체 확장자(.lockbit)로 암호화한 뒤 금전을 요구한다. 부분 암호화 기술을 사용해 처리 속도를 높인 것이 특징이다.
지난 1월 프랑스 법무부 컴퓨터 시스템을 공격해 데이터를 탈취한 사례가 대표적이다.
미국 보안업체 '리코디드 퓨처(Recorded Future)'는 락빗2.0이 올해 최소 650개의 정부 기관·기업 등에 공격을 시도했다고 분석했다.
랜섬웨어 공격자들은 리브랜딩 전략으로 각종 수사·제재 등을 피하기도한다.
리브랜딩은 해커 집단이 공개적으로 운영 중단을 선언한 뒤 새로운 이름으로 악성코드를 유포하는 수법이다.
보안업체 SK쉴더스가 지난 22일 발표한 '2022 상반기 보안 트렌드' 보고서에 따르면 블랙캣(BlackCat) 또는 알파파이브(AlphV)라 불리는 랜섬웨어 조직이 대표적이다.
이 단체의 전신 격인 다크사이드(DarkSide)는 2020년 미국의 송유관 운영 회사 콜로니얼 파이프라인을 해킹한 뒤 440만달러(약 57억원) 상당의 가상자산을 갈취했다.
이후 수사기관이 감시망을 좁혀오면서 이름을 블랙매터(BlackMatter)로, 다시 블랙캣으로 바꿨다고 보고서는 전했다.
◇ 행위 기반 백신 구축 필요…출처 모르는 프로그램은 실행하지 않아야
전문가들은 백신 시스템을 개선해야 한다고 조언한다.
염흥열 순천향대 정보보호학과 교수는 "랜섬웨어 그룹들이 악성코드 탐지시스템을 회피하는 전략을 구사한다"고 지적했다.
그러면서 "백신 프로그램이 인공지능(AI) 기술 학습을 통해 이상 행동을 탐지하는 방식으로 변해야 한다"고 강조했다.
또 기본적인 보안 수칙에 충실할 것을 권고했다.
염 교수는 "서비스형 랜섬웨어는 다크웹이나 피싱 메일에서 주로 감염된다"면서 "출처를 알 수 없는 곳에서 프로그램을 다운받는 행위는 지양해야 한다"고 말했다.
acdc@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>