랜섬웨어 공격을 수행하는 해커들이 피해자로부터 금전을 갈취하기 위한 협박 수위를 계속 높이고 있다. 이번에는 해킹 피해를 입은 기업의 소비자로 협박 대상을 확대해 금전 지불을 유도하는 전략이 등장했다.
일반적으로 랜섬웨어는 데이터를 암호화한 뒤, 피해자에게 복호화 비용을 갈취하는 공격을 뜻했다. 그러나 작년 들어 피해자의 데이터를 암호화하기 전 탈취하고, 피해자가 비용을 지불하지 않을 경우 데이터를 외부에 공개하겠다고 협박하는 전략을 구사하는 경우가 많아졌다.
이같은 협박 전략에도 피해자들이 굴하지 않자, 탈취한 데이터 중 기업 소비자의 개인정보를 찾아내 이를 협박 수단으로 쓰기 시작한 것이다.
미국 IT 매체 블리핑컴퓨터는 '클롭(Clop)' 랜섬웨어 해커가 이같은 전략을 사용하고 있다고 보도했다.
보도에 따르면 이 해커는 최근 방화벽 전문 기업 액셀리온을 해킹하고, 액셀리온의 파일 전송 플랫폼 'FTA'을 사용하는 고객사인 항공기 제조사 봄바디어까지 공격했다.
해커는 봄바디어의 데이터를 탈취한 뒤 그 중 일부를 랜섬웨어 피해자 데이터 유출 전용 사이트에 공개했다. 그러면서 일주일 내 금전을 지불하지 않을 경우 추가로 데이터를 공개할 것이라고 언론에 메일을 보내 알렸다.
그러나 봄바디어가 해킹 사실을 공개적으로 알리고, 협박에 응하지 않자 해커는 탈취한 데이터에서 봄바디어 소비자들의 개인정보를 찾아 데이터가 유출됐다는 이메일을 보냈다.
지난 1월 클롭 랜섬웨어로 해킹을 당한 미국 은행 플래그스타뱅크도 이같은 피해를 당했다.
블리핑컴퓨터는 클롭 랜섬웨어 해커가 임부복 전문 온라인몰 소비자들을 대상으로도 이같은 협박 메일을 보낸 것을 확인했다.
해커는 "당신의 개인정보가 유출됐고, 곧 공개적으로 게시될 것"이라는 제목의 메일을 보냈다. 메일 본문에서는 해킹된 온라인몰의 소비자이기 때문에 연락했다며, 이 온라인몰이 금전을 지불하지 않을 경우 당신의 전화번호와 이메일주소, 신용카드 정보 등이 공개될 수 있다며 경고하는 내용이 담겼다. 온라인몰에 전화나 편지로 개인정보 보호를 요청하라는 내용도 포함됐다.
다른 랜섬웨어에서도 유사한 사례가 포착된 바 있다. 서비스형 랜섬웨어(RaaS)인 '레빌(REvil)' 또는 '소디노키비(Sodinokibi)' 운영자는 랜섬웨어를 판매하면서, 피해 기업의 파트너사를 인터넷전화(VoIP)로 협박할 수 있는 서비스를 제공하겠다고 지난 6일 밝혔다.
관련기사
- 잘 팔리는 랜섬웨어…"2/3가 RaaS"2021.03.05
- 중소기업 랜섬웨어 방어 위해 민·관 협력 개시2021.03.05
- '이력서' 파일 잘못 열면 정보 털리고 랜섬웨어 감염2021.03.03
- 해커, 코로나19 틈타 '의료·제조·에너지' 인프라 집중 공격2021.02.25
랜섬웨어 해커들의 협박 공세가 강화되고 있는 것은 범죄 수익을 거두기 어려워진 상황에 따른 것으로 분석된다. 랜섬웨어 사고 대응 전문 기업 코브웨어에 따르면 지난해 4분기 동안 지불된 랜섬웨어 복호화 비용은 평균 15만4천108 달러(약 1억7천만원)을 기록해, 전분기 평균치였던 23만3천817 달러(약 2억6천만원)보다 34% 가량 감소했다.
해커들의 협박 전략이 갈수록 고도화되고 있지만, 이같은 협박에 응해서는 안 된다는 게 보안업계의 조언이다. 복호화 비용을 지불하더라도 해커가 탈취한 데이터를 삭제하고, 암호화한 데이터를 복호화해줄지는 보장할 수 없기 때문이다.
