Home > 전체기사

전문화의 길 걷고 있는 랜섬웨어, 피해자들의 눈물 독하게 빼낸다

  |  입력 : 2020-11-24 17:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
처음에는 운에 기댄 ‘희망’만이 랜섬웨어 공격자들의 전략…지금은 고도의 전문화
피해자들에게 요구하는 금액은 점점 더 높아져…기본 방어책이 지금도 최선


[보안뉴스 문가용 기자] 랜섬웨어 공격자들이 계속해서 혁신을 꾀함에 따라 방어자들의 입장은 더 곤란해지고 있다. 보안 업체 맨디아(Mandia)의 수석 컨설턴트인 미첼 클라크(Mitchell Clarke)와 톰 홀(Tom Hall)은 랜섬웨어 공격자들의 진화를 수년 동안 추적한 결과를 오늘 발표했다. 결론부터 얘기하자면 랜섬웨어 탐지는 점점 더 어려워지고 범인들이 요구하는 협박 금액은 더 높아지고 있다고 한다.

[이미지 = utoimage]


“점점 더 많은 기업 임원진들이 이전보다 더 진지하게 랜섬웨어에 대해 묻기 시작했습니다. 이젠 정말 실질적인 질문들이 나오고 있어요. 아직은 산업이나 국가 차원에서의 대응이 안 되고 있고, 그래서 조직들이 개별적으로 각자도생을 하고 있는 상황입니다.” 홀의 설명이다.

처음 랜섬웨어 공격자들은 별다른 전략이라는 걸 활용하지 않았었다. 그들의 유일한 전략은 ‘운’이었다. 랜섬웨어를 여기 저기 던져놓고 누군가 걸리길 기다리는 것, 그리고 그 피해자가 연락하기를 희망하는 것이 전부였다. 클라크는 “그런 가운데 나타난 워너크라이(WannaCry)가 변화를 야기시켰습니다. 시스템 한두 대가 아니라 조직 전체를 마비시키면 피해자가 꼼짝할 수 없다는 걸 공격자들이 깨달은 겁니다.”

피해자가 꼼짝할 수 없다? 그건 곧 더 많은 이득을 의미한다고 랜섬웨어 공격자들은 해석했다. “그러면서 랜섬웨어는 보급형 익스플로잇 키트에 끼어있는 옵션으로서 사방팔방 퍼지는 공격이 아니라 완전한 생애주기를 갖는 공격의 하나로 발전했습니다. 하위 옵션이 그 자체로 하나의 장르가 된 겁니다.” 여기서 말하는 완전한 생애주기란, 1) 최초 침투, 2) 권한 상승, 3) 해킹 도구 다운로드, 4) 백도어 다운로드, 5) 최종 페이로드 실행으로 이어지는 공격을 말한다.

거기서부터 랜섬웨어 공격자들은 각종 고급 기술을 발휘하기 시작했다. 먼저 최초 침투를 위해 VPN의 취약점을 익스플로잇 하거나 원격 데스크톱 애플리케이션을 악용하기도 했다. “최근 나타난 레빌(REvil) 랜섬웨어 운영자들이 이 점에 있어서 특히 우수한 모습을 보입니다. 이들은 피싱 메일을 보내 피해자들이 클릭하기를 기다리는 게 아니라 먼저 웹을 스캔해 취약한 VPN을 찾아 적극적으로 침투합니다. 그렇게 문을 열어만 놓고 있다가 돌아와 랜섬웨어를 실행합니다.”

홀은 “현재 랜섬웨어 공격자들은 자신들이 기회로 삼을 수 있는 모든 선택지를 다 두들겨 보고 있다”고 설명한다. “다만 그들에게 있어 피싱이나 스팸은 이제 너무 노력과 비용이 많이 드는 방법이 된 듯합니다. 오히려 취약점 익스플로잇이 더 간단하고 효율이 좋은 편이죠.” 2019년과 2020년, 많은 보안 전문가들이 에지 장비들에서 취약점을 조사했을 때 치명적인 구멍들이 많이 발견되기도 했다는 홀은 “공격자들도 비슷한 결과를 얻어낸 것으로 보인다”고 말했다.

자연스럽게, 마구잡이로 랜섬웨어를 뿌려대는 공격은 시들기 시작했다. 이제는 시간을 좀 더 들이더라도, 초반에는 비효율적인 투자로 보이더라도, 특정 대상을 구체적으로 선정해 표적 공격을 실시하는 것으로 노선을 변경했다. 결국에는 이렇게 하는 편이 더 큰 돈을 거머쥐게 할 확률이 높기 때문이다. “표적에 대해 좀 더 조사하고, 횡적으로 움직이는 데 좀 더 시간을 들이고, 더 많은 요소들을 감염시킨 후에 갑작스럽게 랜섬웨어를 발동시키는 게 피해자들의 지갑을 여는 데 효과적이라는 것을 학습한 것입니다.” 클라크의 설명이다.

이렇게 랜섬웨어 시장에 활기가 돌기 시작하자 사이버 범죄자들 사이에서는 ‘서비스형 랜섬웨어(RaaS)’라는 사업 아이템이 유행했다. 랜섬웨어를 판매하는 것이 과거의 서비스형 랜섬웨어였다면, 지금은 랜섬웨어 공격에서 반복적이고 기계적인 부분들을 자동으로 해결해주는 것을 말한다. 그러면서 협상 플랫폼도 마련되기 시작했다. 예전에는 이메일로 피해자들과 대화를 주고받았다면, 이제는 별도의 플랫폼을 갖추고 있다.

“이런 흐름을 한 마디로 요약하면 ‘전문화’라고 할 수 있습니다. 운에 많이 기댔던 공격이 이제 기업형 혹은 사업운영형으로 바뀌기 시작한 것입니다. 그렇다고 거대 기업 조직을 이뤄냈다고 하는 건 틀린 설명이라고 봅니다. 왜냐하면 공격자들은 효율성 극대화를 끊임없이 추구하거든요. 최대한 수익을 나눌 사람은 적게 유지하면서 피해자들은 늘리는 게 그들의 이상적인 사업 모델입니다. 큰 회사를 만들려는 게 아닙니다.” 클라크의 설명이다.

전문화의 단계는 한층 더 심오해졌다. 조직 하나를 골라 공을 들이고 들여 꼼짝 못하게 만들려면 자신이 가진 기술보다 더한 능력이 필요하다는 걸 알게 된 것이다. 그러면서 조직들은 인재를 영입하거나 다른 조직과 동맹을 맺었다. 사업의 규모를 키워가기 시작한 것이다. 효율을 추구하는 공격자들의 성향이 그대로 드러나는 부분이기도 하다.

이렇게 전문화 되고 같이 일하는 사람들이 늘어나자 당연히 피해자들로부터 요구하는 금액도 커지기 시작했다. 현재 시세로는 피해 기업에 요구하는 금액이 200만~500만 달러 사이라고 한다. “천문학적인 돈이라고 할 수 있죠. 만약 저 같은 사람에게 이 돈을 요구한다면, 아예 낼 가능성이 없는 돈이기 때문에 협상이 이뤄질 수가 없습니다. 공격자들이 높은 금액을 요구한다는 건 피해조직이 그만한 돈을 낼 수 있다는 조사를 했다는 뜻입니다.”

랜섬웨어 공격자들이 더 많은 수익을 내기 위해 빠르게 변하고 있지만, 한 가지 다행이라면 방어자의 입장에서 취할 수 있는 일들은 예나 지금이나 그리 다르지 않다는 것이다. 홀은 “기업들에서 늘 강조하고 교육하는 보안 기본 수칙들이 아직까지는 좋은 효과를 가지고 있다”고 하며 “다중 인증, 철저한 논리적 망분리, 시스템 및 애플리케이션 최신화, 꼼꼼한 백업이 바로 그것”이라고 강조했다.

다만 랜섬웨어가 IT 혹은 보안 부서만의 문제라고 보는 시각은 변해야 한다고 지적했다. “이건 전사적 문제입니다. 기업 전체가 휘청거리는 문제이고, 기업 전체가 함께 대응해야 할 문제라는 것입니다. 누구 한 사람 혹은 한 부서에 책임을 묻는 건, 그 상황만 모면하겠다는 것이고 미래의 랜섬웨어에 방비해야 할 것을 전혀 기대하지 못하게 합니다.”

3줄 요약
1. 익스플로잇 키트의 한 구성품이었던 랜섬웨어. 이제는 자체가 하나의 장르.
2. 점점 더 전문화의 길로 가고 있는 랜서웨어. 그에 따라 요구 금액도 높아짐.
3. 다만 방어 대책 자체는 예나 지금이나 그대로임. 보안 담당자 문제라고 치부하는 것만 빼놓고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협