랜섬웨어 유행에 해커·피해자 지원 서비스 주목도 ↑

최초 침투 대행·금전 협상·사이버보험 산업 성장 조짐

컴퓨팅입력 :2021/07/10 22:15

데이터를 암호화한 뒤 이를 복호화하는 대가로 금전을 요구하는 사이버공격인 랜섬웨어가 전세계적으로 성행하면서, 랜섬웨어 공격자 또는 피해자를 지원하는 서비스도 주목을 받고 있다.

최근 랜섬웨어 공격 행태는 해커가 직접 악성코드를 개발하기보다, 해킹 포럼 등에서 판매되는 서비스형 랜섬웨어(RaaS)를 구입해 사용하는 경우가 많다. 고급 해킹 역량을 보유하지 않은 공격자도 RaaS를 이용해 랜섬웨어 공격을 수행할 수 있게 된 것이다.

랜섬웨어 공격에 대한 접근성이 낮아지고, 공격 건수가 늘어남에 따라 공격 과정이 분업화되는 경향이 나타나고 있다. 해킹 초기 단계인 내부망 침투가 일례다.  내부망 침투 권한을 판매하는 사업이 활황을 띤다는 분석이 나온다. 해커가 랜섬웨어 피해자와의 협상을 전담할 인력을 찾는 모습도 포착됐다.

동시에 사이버보험처럼, 랜섬웨어 피해자를 위한 서비스도 활성화되는 것으로 분석된다. 랜섬웨어 공격이 이전과 달리 개인정보 유출 협박, 분산서비스거부(DDoS) 공격 등을 병행하는 등 고도화된 전략을 구사하면서 피해 사례가 늘자 자연히 수요가 높아진 것으로 보인다.

[사진=Pixabay]

■해커, '내부망 침투' 전문가와 협업 움직임

위협 인텔리전스 기업 KELA는 8일 랜섬웨어 공격이 더 이상 해커 개인만 관여하는 것이 아닌, 각 단계별 전문 인력이 개입하는 양상으로 변화하고 있다는 내용을 담은 보고서를 자사 블로그에  게재했다.

KELA는 랜섬웨어 공격자들에게 내부망 접근 권한을 판매하는 이들을 주목했다. 내부망 접근 권한은 주로 피싱 공격 또는 취약점 공격을 통해 탈취된다. 탈취된 접근 권한은 다른 사이버위협 행위 수행 및 동일한 네트워크에 연결된 다른 기기로의 공격 확산, 원격데스크톱프로토콜(RDP)나 가상사설망(VPN)을 통한 지속적인 원격 접근 채널 확보 등에 악용될 수 있다.

올해부터 1월부터 5월까지 내부망 접근 권한 판매 현황을 조사한 결과,  보다 해킹이 용이한 관리자 권한을 찾는 수요가 높았다. KELA는 관리자 권한이 사용자 권한 대비 평균 10배 이상 높은 가격에 거래됐다고 밝혔다. 사용자 접근 권한 판매자가 관리자 접근 권한까지 추가로 획득한 경우 이전보다 25~115% 판매가를 인상했다고 덧붙였다.

사용자 권한만 보유한 해커가 해킹을 성공시키기 위해 찾는 인력이 내부망 침투 전문가다. KELA는 이런 전문가들을 찾는 게시글을 다수 발견했다. 한 게시글에서 해커는 미국 달러로 지급되는 고정 보너스와 수익의 10% 정도를 제공할 것이라고 언급하기도 했다.

또 "사용자 권한으로 해킹 프로세스를 시작한 이후, 권한 상승에 성공해 네트워크를 암호화하게 되면 복호화 비용 배분 비중이 늘어날 것"이라고 명시한 사례도 있었다. KELA는 해커들이 권한 상승 성공 대가로 복호화 비용의 10~30%를 명시한 게시글들을 발견했다.

랜섬웨어 피해자로부터 획득한 복호화 비용 배분 방식(출처=KELA)

■랜섬웨어 해커&피해자, 협상 전문가 찾는다

랜섬웨어에 감염된 피해자와 해커 간 협상을 지원하는 전문 인력에 대한 수요도 관찰됐다.

KELA는 "랜섬웨어 유행 초기에는 해커가 랜섬노트에 명시한 이메일을 통해 피해자와 소통했으나, RaaS가 활성화되고,  비즈니스화되면서 많은 위협 행위자들이 피해자와의 소통을 위한 자체 포털을 구축하기 시작했다"며 "일부에서는 피해자와 복호화 비용을 결정하고, 금액을 낮추고, 지불 조건을 논의하는 활동을 아웃소싱하는 상황"이라고 봤다.

랜섬웨어 피해자들도 복호화 비용 협상가를 찾고 있다는 분석이다. KELA는 "몇 년 전과 달리 피해자들이 협상 서비스에 대한 수요가 있다"며 "랜섬웨어 협상 전문가들은 보험사와 파트너 관계를 맺고 있고, 고객이 부족하지 않다"고 설명했다.

해커들도 원활한 소통을 위해 협상 전문가들을 찾고 있다. KELA는 해킹 그룹 '레빌'이 협상 전담 인력을 모집할 때, 대화 가능한 수준의 영어 능력을 요구 사항 중 하나로 명시했다고 언급했다.

러시아어를 사용하는 해킹 그룹에서 협상 인력을 찾는 게시글도 지난 3월 발견됐다. 게시글에서 해커는 "사우디아라비아 대기업에 접근할 협상가가 필요하다"며 "사우디아라비아 소재의 사이버보안 또는 복구 회사들에 연락할 수 있는 인력을 찾는다"고 언급했다.

KELA는 협상가들이 복호화 비용의 평균 10~20%를 대가로 요구한다고 밝혔다.

■사이버보험 가입률↑…피해 늘자 보험료도 상승세

해킹 피해를 입을 경우 보험금을 받을 수 있는 사이버보험의 인기도 높아졌다. 미국 회계감사원(GAO)에 따르면 미국의 사이버보험 가입률은 지난 2016년 26%에서 작년 47%로 증가했다.

랜섬웨어 성행이 사이버보험 가입률 증가를 주도했다. 북미 사이버보험 제공업체인 콜리션은 작년 상반기 접수된 사이버보험 청구 사례의 41%가 랜섬웨어 관련 사례라고 밝혔다. 콜리션은 이 기간 동안 보험 가입자들이 받은 랜섬웨어 공격 건수가 260% 증가했으며, 해커가 요구하는 복호화 비용도 평균 47% 증가했다고 덧붙였다.

관련기사

출처=GAO

사이버보험 수요가 증가하는 동시에, 해킹 피해가 더 빈번해지고 피해 금액 규모도 갈수록 커지면서 보험사의 지출액도 늘어났다. 이에 따라 사이버보험료도 증가했다. GAO는 보험 중개인을 대상으로 설문조사한 결과, 응답자의 절반 이상은 작년 말 사이버보험료가 10~30% 상승했다고 답했다고 밝혔다.

보험업계 대변인들이 해킹 피해 시 심각한 피해가 발생하는 의료, 교육 등 업종에 대해서는 사이버보험 보장 한도를 줄였다고 언급한 점도 덧붙였다.