한국, 랜섬웨어 해커 공격 1분기 2배 이상 증가

올해 1분기 기준 주요 랜섬웨어 그룹의 전 세계 기업을 대상으로 한 공격 활동 건수는 2330건으로 전년 동기(2386건) 대비 56건 줄어든 것으로 집계됐다. 한국 기업을 대상으로 한 공격이 2배 늘면서 가장 피해가 많은 국가 20위 안에 한국 이름이 처음으로 올랐다. 

10일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 주요 랜섬웨어 조직의 올해 1분기 글로벌 기업 대상 공격 활동은 역대 최대치를 기록한 전년보다 56건 줄었다.

이 수치는 킬린(Qilin), 아키라(akira) 등 주요 랜섬웨어 조직들이 자신들의 다크웹 유출 전용 사이트(DLS)에 등록한 피해 기업 리스트를 기준으로 집계한 것으로, 랜섬웨어 조직이 공개하지 않은 경우 등을 감안하면 실제 공격은 이보다 더 많을 것으로 관측된다.

랜섬웨어는 기업 내부망에 침투한 후 데이터를 암호화하고, 이를 풀어주는 대가로 금전을 요구하는 '사이버 협박' 범죄의 일종이다. 주요 랜섬웨어 공격 세력들이 역대 최대 공격 건수를 기록한 지난해(8158건)와 유사한 수준으로 공격을 이어오면서 전 세계는 물론 한국을 대상으로 한 공격도 급증하는 추세다.

 올해 1분기 한국 기업을 대상으로 한 랜섬웨어 공격 건수는 12건으로, 지난해 1분기 5건에 그쳤던 것과 비교하면 두 배 이상 피해 기업이 늘었다. 월별로 보면 1월에 1건, 2월에 4건, 3월에 7건 등 매달 공격 건수가 증가했다.

2023년 집계를 시작한 이후부터 현재까지 누적된 수치를 기준으로 보면 한국 피해 기업은 총 82곳이다. 10일 현재시점을 기준으로 올해 총 누적된 한국 피해 기업은 총 17건으로 피해가 많은 국가 중 19위를 기록했다. 이는 스위스(20건, 18위)에 이어 아랍에미리트(17건, 19위)와 같은 수치다. 한국이 피해 최다 국가 20위 내에 이름을 올린 것은 이번이 처음이다.

공격 조직별로 보면 올해 전 세계 가장 많은 기업을 공격한 랜섬웨어 조직은 지난해에 이어 '킬린'으로, 총 369곳의 기업을 공격한 것으로 집계됐다. 이어 '더젠틀맨(thegentlemen)' 205건, '아키라' 204건 등으로 공격이 많았다.

한국을 기준으로 보면 올해 가장 많은 국내 기업을 공격한 랜섬웨어 조직 역시 킬린이다. 올해에만 킬린은 3곳의 한국 기업을 공격했다. 이 외에 ▲건라 ▲크립토24 ▲인크랜섬 ▲아누비스 ▲비스트 ▲더젠틀맨 등 랜섬웨어 조직들이 1건씩 국내 기업을 공격했다.

이용준 극동대 해킹보안학과 교수는 "랜섬웨어 해킹 조직의 특징은 피해 기업 내 데이터베이스(DB)를 암호화해 서비스 중단 후 전 요구가 주된 목적"이라며 "한국 경우 산업에 AX(AI 전환) 가속화가 제조, 물류, 배송 등 전 산업계에서 증가하고 있다. 따라서 한국에 집중된 랜섬웨어 배포로 금전적 획득이 증가하는 것으로 추정된다"고 설명했다.

관련기사

이 교수는 이어 "피해 기업 경우 서비스 중단으로 발생될 피해비용, 법적책임 등으로 랜섬웨어 비트코인 지불 등 공식적으로 조사되지 않은 피해가 증가하고 있다"며 "이에 정보보안 구비된 환경 에서 AX 전환으로 예방이 필요하며 중소벤처기업에는 처벌보다는 랜섬웨어 복구, 사이버보안 보험 지원, 법률지원 등 실질적인 복구 지원이 병행돼야 한다"고 강조했다.

김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "최근 랜섬웨어는 백업 서버를 우선 암호화 공격하고 데이터를 외부로 유출시키는 등 지능형 공격으로 진화하고 있기 때문에 다중 속성 인증(MFA), 생체인증 등 인증 체계를 점검해 기업 내부 시스템으로의 초기 침투 경로를 차단하고 백업 체계의 운영 상황을 점검해 해커의 직접적인 백업체계 공격 피해를 예방해야 한다"고 밝혔다. 이어 "랜섬웨어 사고가 발생한 경우에는 해커와 협상을 하기보단 KISA에 신고해 감염원인을 파악하고 재발되지 않도록 보안조치 후 암호화된 감영 데이터에 대한 복구 등 기술지원을 받는 것이 중요하다"고 강조했다.