지난해 가장 활발하게 활동했던 서비스형 랜섬웨어(RaaS) 조직은 '락빗(Lockbit)'인 것으로 나타났다.
랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 잠금을 해제하거나 암호를 해독하기 위한 대가로 돈을 요구하는 악성 프로그램을 말한다. 미국 재무부에 따르면 2021년에 미국 은행과 금융기관에서만 약 12억 달러(약 1조6천억원)가 랜섬웨어 지불 비용으로 처리됐다. 그중에서도 최근에는 악성프로그램을 서비스 형태로 제공해 랜섬웨어 공격을 가능하게 하는 서비스형 랜섬웨어(RaaS)가 급격히 증가하고 있다.
탈로스는 "사법기관들은 랜섬웨어 공격을 막기 위해 지난해 관련 법 집행의 범위를 넓히고 강도를 강화했다"며 "하지만 랜섬웨어 단체들은 오히려 이름을 변경해 활동하거나 운영을 중단하고 새로운 전략적 파트너십을 맺는 등 다양한 시도를 하며 공격을 이어 나갔다"고 말했다.
■ 락빗, 국세청 해킹 주장해 관심 끌어…英 최대 우편 서비스 회사 공격도
시스코의 인텔리전스 보안 조직 탈로스가 지난해 추적한 19개의 RaaS 단체 가운데 가장 활발히 활동한 조직은 '락빗'인 것으로 나타났으며, 다크웹 피해 게시물 수의 20% 이상이 이들의 소행인 것으로 확인됐다.
락빗은 최근 국세청을 해킹했다고 주장해 화제가 됐던 해킹 조직이기도 하다. 락빗은 지난달 한국 국세청을 해킹했다고 주장하며 이달 1일 자료를 공개하겠다고 밝혔으나, 실제 자료 공개가 이뤄지진 않았다. 국세청은 락빗으로부터 해킹된 사실이 없다고 밝혔다.
영국 최대 우편 서비스 회사인 로열메일은 지난 1월 락빗의 공격을 받아 우편 서비스가 중단되기도 했다. 락빗은 파일을 암호화할 뿐만 아니라 훔친 정보를 온라인에 공개하겠다고 위협하기도 했다.
■ RaaS 더욱 다양해졌다…하이브·블랙 바스타 등 뒤이어
지난해 활동한 RaaS 단체 중 '하이브(Hive)'와 '블랙 바스타(Black Basta)'가 근소한 차이로 락빗의 뒤를 이었다.
탈로스는 "이는 소수의 단체가 독점적으로 활동했던 몇 년 전과는 달리 랜섬웨어 그룹이 더욱 다양해졌다는 점을 시사한다"고 말했다.
하이브는 지난해 3월 기준 125개의 의료기관을 타깃으로 삼은 것으로 알려졌다. 인도의 최대 전력 회사인 타타 파워(Tata Power)를 공격하기도 했으며, 루마니아의 국영석유 회사인 롬페트롤을 공격하기도 했다.
탈로스는 "또한 랜섬웨어 관계자들은 더 이상 사일로화된 구조가 아닌 여러 랜섬웨어 단체에 걸쳐 활동하고 있으며, 각자의 고유 기술을 가진 공격자들은 여러 캠페인과 위협 조직에 참여할 기회가 더 많은 것으로 확인됐다"고 밝혔다.
■ 우크라이나 전쟁發 편 나눠 공격도…마찰 생길 시 스핀오프
탈로스에 따르면 우크라이나 전쟁으로 인해 랜섬웨어 생태계 내에서는 마찰도 포착됐다. 많은 공격자들이 러시아와 우크라이나 중에 편을 택한 후 상대국을 타깃으로 하는 사이버 공격을 개시한 것이다.
그중 가장 두각을 나타낸 랜섬웨어 단체는 '콘티(Conti)'다. 콘티는 러시아의 우크라이나 침공을 방해하는 자는 모두 공격하겠다고 경고했다. 이에 콘티와 관계있는 해커는 소스 코드와 채팅 내용 등 내부 정보를 유출하며 콘티에 복수를 시도하기도 했다.
'락빗 블랙(LockBit Black)'이라 불리는 록빗 3.0 버전의 빌더가 유출이 되기도 했다. 유출자는 락빗 출신 개발자로 추정된다. 락빗은 조직의 지급 구조에 불만을 품고 벌인 일이라고 설명했다.
이러한 마찰이 일어나면 랜섬웨어 단체들은 이름을 바꾸거나 새로운 단체로 등장한다. 탈로스는 "콘티가 운영을 중단하고 오프라인으로 인프라를 전환했을 때 탈로스의 텔레메트리에서 랜섬웨어 탐지 횟수가 전반적으로 감소했다"며 "그러나 얼마 지나지 않아 콘티의 스핀오프 단체인 블랙 바스타가 등장했다"고 밝혔다. 이어 "두 단체가 유사한 결제 방식, 정보 유출 웹사이트와 소통 방식을 보유하고 있다"고 설명했다.
■ 칵봇·이모텟 등 '상용 로더' 활발…일반 프로그램에 몰래 악성코드 배포
탈로스는 지난해 트로이목마 공격도 지속적으로 일어났다고 밝혔다. 트로이목마는 정상적인 프로그램이나 파일로 위장해 컴퓨터에 침입해 공격하는 멀웨어를 말한다.
그중에서도 기존에 사람들이 상용으로 내려받는 프로그램을 악용하는 방법인 '상용 로더'가 전 세계적으로 사이버 위협을 지속적으로 가하고 있다. 상용 로더는 2단계에 걸쳐 멀웨어를 유포하는 트로이목마다.
탈로스는 "기존에는 금전적 이득을 위한 공격의 수단으로 개발됐지만 시간이 지나며 강력한 보안 제어에도 적응해 훨씬 더 정교한 위협 요소로 발전했다"며 "현재는 모듈형으로 구성돼 사이버 범죄자들이 다양한 오픈소스 도구와 신규 멀웨어를 유연하게 사용할 수 있도록 한다"고 설명했다.
탈로스의 네트워크 및 엔드포인트 텔레메트리에 따르면 지난해 가장 활동이 활발했던 상용 로더는 칵봇(Qakbot), 이모텟(Emotet), 아이스드아이디(IcedID), 트릭봇(Trickbot) 4가지로 나타났다.
탈로스는 "텔레메트리에서 트릭봇 관련 활동이 감지됐지만, 지난해 초부터 해당 멀웨어의 운영자가 활동하지 않은 점을 고려했을 때 이는 오래전 감염된 엔드포인트에서 감지됐을 가능성이 높다"며 "이모텟은 활동을 이어가고 있지만 2021년 1월 초 사법기관의 봇넷 해체를 기점으로 활동이 현저히 감소했으며, 이러한 공백을 활용해 칵봇, 아이스드아이디와 같은 다른 멀웨어가 확산됐다"고 설명했다.
지난해 마이크로소프트가 매크로가 활성화된 문서를 막자 공격자들은 ISO, ZIP, LNK 파일 형식을 사용해 칵봇, 이모텟, 아이스드아이디를 보다 많이 유포했다.
또한 피해자의 시스템에 있는 자급자족형 바이너리(LoLBins)를 사용해 악성 페이로드를 다운로드 및 실행시켰다. 일부 칵봇 및 이모텟 배포자들은 발각될 가능성을 낮추기 위해 다양한 자급자족형 바이너리로 실험하며 공격 시퀀스를 정밀화하기도 했다.
■ "여러 툴 사용보다 포괄적 가시성 확보가 중요"
기업의 자금 탈취 목적으로 지난 몇 년간 확산된 랜섬웨어의 문제는 지속되고 있다.
탈로스는 랜섬웨어 공격을 막기 위해서는 특정 기능에 특화된 포인트 툴 여러 개를 혼재해서 쓰기보다는 주요 제어 지점 전반에 걸쳐 포괄적인 가시성을 제공하는 시스코 시큐어엑스와 같은 플랫폼 기반의 솔루션으로 광범위한 위협을 신속하게 감지하고 차단해야 한다고 조언했다.
관련기사
- 해커 "돈·시간 아까워"…모의 해킹 도구 악용한다2023.04.07
- "시스코 미래는 보안…제로트러스트 선도한다"2023.03.28
- SK쉴더스, 시스코와 중소기업 사이버 위협 대응 강화 MOU2023.03.31
- "사이버보안 '성숙' 국내 기업 7%에 불과…글로벌 평균보다 낮아"2023.03.22
시큐어엑스는 이메일, 웹, 엔드포인트, 액세스, 네트워크 등 IT 인프라 전반에 걸쳐 랜섬웨어를 방어하며, 랜섬웨어 조사 및 대응까지 실행한다.
탈로스는 "공격받은 기업은 랜섬웨어 집단이 요구하는 자금을 지불하는 것이 데이터를 복구할 수 있는 가장 효율적인 방법이라고 생각하는 경우가 많다"며 "실제로도 그것이 가장 현실적인 대안일 수 있다. 그러나 기업들은 비용을 지불하는 상황이 발생하지 않도록 인텔리전스를 기반으로 다방면에 걸쳐 위협을 방지해야 한다"고 말했다.
