올해 상반기 랜섬웨어 공격자에게 지불된 평균 금액이 57만 달러(약 6억6천만원)를 기록, 최대치를 갱신한 것으로 나타났다. 지난해 평균 금액이 31만2천 달러였던 것에 비해 171% 상승한 수치다.
글로벌 보안 기업 팔로알토네트웍스는 자사 사이버 보안 위협 연구기관 유닛42가 올해 상반기 랜섬웨어 위협을 조사한 결과 이같이 나타났다고 24일 밝혔다.
해커의 요구 금액도 증가했다. 상반기 평균 요구 금액은 530만 달러(약 62억원)로, 지난해 평균 금액인 84만7천 달러(약 10억원)에서 518% 늘어났다. 단일 건 중 최고 요구액도 지난해 3천만 달러에서 올해 상반기 5천만 달러로 상승했다.
올해 랜섬웨어 공격자에게 지불된 금액 중 최대치는 세계 최대 육가공 업체 JBS SA의 피해 건으로 1천100만 달러(약 129억원)였다.
랜섬웨어 공격자 중 특히 '레빌(Revil)'의 경우 카세야 VSA 취약점 공격을 입은 모든 조직들에게 범용 복호화 키를 제공하는 대가로 7천만 달러를 요구했다가 5천만 달러로 인하하기도 했다.
올해 상반기에 확인된 주요 랜섬웨어 공격 기법은 ▲키 파일을 암호화해 스크램블링된 데이터와 작동이 중단된 컴퓨터 시스템에 다시 접근하기 위해 몸값을 지불해야 하는 방식 ▲데이터 탈취 후 몸값을 지불하지 않으면 민감한 정보들을 공개하는 방식 ▲피해 조직의 공식 웹사이트에 서비스 거부 공격을 실시하여 폐쇄에 이르게 하는 방식 ▲공격자들이 직접 타깃 조직의 고객, 비즈니스 파트너, 임직원, 미디어에 연락하여 해킹 사실을 알려 업무를 방해하는 방식 등 크게 네 가지다.
조사에 따르면 한 곳에 모든 기법을 사용해 공격을 실행하는 경우는 드물지만, 올해에는 점점 더 많은 공격 사례에서 암호화 및 데이터 탈취 후 몸값을 지불하지 않는 경우 추가적인 공격 조치가 이뤄진 것으로 드러났다. 올해는 공격 기법을 2배로 추가하는 움직임이 관찰됐다.
유닛42는 사이버 범죄 조직들이 하반기에도 지속적으로 지불을 강제하고 더 파괴적인 공격을 실시할 것이며, 하이퍼바이저 및 관리형 인프라 소프트웨어를 노리는 공격이 증가할 것으로 전망했다. 실제로 하이퍼바이저로 알려진 소프트웨어 유형을 암호화함으로써 한 대의 서버에서 운영되는 여러 대의 가상 인스턴스를 손상시키는 공격이 포착됐다.
유닛42는 매니지드서비스공급자(MSP)의 고객사에게 랜섬웨어를 전파하도록 사용됐던 카세야 원격 관리 소프트웨어를 활용한 공격의 후속 여파로, MSP 및 고객사를 타깃으로 하는 공격도 늘어날 것이라고 봤다.
일부 해킹 조직은 사이버 보안에 집중 투자할 자원이 부족한 중소 기업을 정기적으로 집중 공략할 것으로 전망된다. 올해 지금까지 넷워커(NetWalker), 선크립트(SunCrypt), 락비트(Lockbit)를 포함한 여러 랜섬웨어 그룹들이 1만~5만 달러(약 1천만~6천만원)의 금액을 요구하고, 실제로 지불된 것으로 분석됐다. 상대적으로 적은 규모이지만, 소규모 기업의 경우 충분히 타격을 입을 수 있는 금액이다.
관련기사
- 보안업계, 중소기업에 랜섬웨어 대응 솔루션 무상 지원2021.08.10
- 중소기업·기반시설 '랜섬웨어' 보안 강화된다2021.08.05
- 팔로알토 "'제로트러스트'로 원격근무 네트워크 보호해야"2021.07.16
- 美 송유관업체 랜섬웨어 공격 배후는 '러시아 해커조직'2021.05.11
랜섬웨어에 노출될 위험을 최소화하기 위해 팔로알토 네트웍스는 ▲랜섬웨어의 초기 접근을 막기 위한 이메일 보안 관련 교육 및 보안 구성 검토 ▲지속적인 데이터 백업 및 적절한 복구 프로세스 유지 ▲엔드포인트 보안, URL 필터링 또는 웹 보호, 지능형 위협 차단, 사용자 디바이스를 포함하여 전사적으로 구축 가능한 피싱 방지 솔루션 등 보안 제어 도입 등을 제시했다.
이희만 팔로알토네트웍스코리아 대표는 “랜섬웨어 위협은 개인의 컴퓨터를 멈추는데 그치지 않고, 핵심 비즈니스를 중단시키거나 브랜드 평판에 막대한 영향을 미치는 등 피해 규모가 이전과는 다른 수준으로 확장되고 있다”며 “선제적인 대응을 위해 정기적으로 보안 상태를 진단하고 위협 트렌드에 관심을 기울이는 것이 중요하다”고 말했다.