Home > 전체기사

랜섬웨어 공격자들에게 돈 내는 피해자들이 점점 줄어들고 있다

  |  입력 : 2023-01-24 15:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
랜섬웨어 공격에 당했을 때 범인들에게 돈을 내는 게 벌금 내고 회사 인프라 복구시키는 것보다 싸게 먹혔다는 것도 옛말이다. 이제는 여러 가지 상황들이 맞물려 오히려 손해인 경우가 많다. 그래서 기업들은 돈을 안 내기 시작했고, 이는 랜섬웨어 산업에 적잖은 타격을 주고 있다.

[보안뉴스 문가용 기자] 2022년 랜섬웨어 공격자들에게 돈을 지불하는 피해자들이 크게 줄었다는 연구 결과가 발표됐다. 이 때문에 랜섬웨어 단체의 수익이 적잖게 줄었다고 한다. 피해자들 사이에서 돈을 지불하지 않는다는 분위기가 굳어진다면 다크웹의 랜섬웨어 산업에는 큰 타격이 될 것이고, 공격자들은 더 큰 단체를 노려 더 큰 돈을 요구하기 시작할 것으로 예상된다. 또한 더 치명적인 협박의 전략이 도출될 가능성도 높다.

[이미지 = utoimage]


다양한 요인이 작용하다
블록체인 분석 전문 업체인 체인어낼리시스(Chainanalysis)의 사이버 위협 분석 책임자인 재키 코벤(Jackie Koven)은 “보안 업계가 그동안 해 왔던 여러 가지 방어 장치들이 효과를 발휘하는 것으로 보인다”고 피해자들이 돈을 내지 않게 된 이유를 설명한다. “보안 인식 제고 훈련, 국가 제재, 보험사들의 엄격해진 정책, 각종 보안 도구 활용과 백업 습관 등이 좋은 결과를 만들어내는 것 같습니다.”

체인어낼리시스가 분석 및 조사한 바에 따르면 2022년 공격자들이 피해자들에게 빼앗은 금액은 4억 5680만 달러에 이른다고 한다. 어마어마한 금액이지만 2021년 이들이 얻어간 이득은 7억 6560만 달러였다. 40% 정도 하락한 것이다. 다만 랜섬웨어 피해자들이 꼬박꼬박 피해 사실을 보고하지 않는다는 것을 어느 정도는 감안해야 한다. “하지만 피해자들이 돈을 덜 낸다는 흐름 자체는 분명합니다. 기업들이 랜섬웨어에 대한 대비책을 보다 단단히 마련하고 있습니다. 그러니 랜섬웨어 상황에서 돈을 낼 필요가 없어지게 된 것이죠.”

이러한 흐름에 대해서는 보안 업체 인텔471(Intel471)의 수석 사이버 위협 분석가인 스콧 셰어(Scott Scher)도 동의한다. “랜섬웨어 공격에 대비를 잘 한 기업일수록 돈을 안 내려고 합니다. 대비를 잘 한 기업이란, 데이터를 잘 백업해 왔고 복구 능력도 잘 갖춰둔 곳을 말하죠. 랜섬웨어 공격자들의 요구에 그리 휘둘릴 이유가 없고, 복구도 빠릅니다.”

체인어낼리시스는 피해자들의 금액 지불이 감소하게 된 또 다른 이유는 국가 정책이라고 지적하기도 한다. “최근 미국 정부가 일부 랜섬웨어 단체들을 제재 대상으로 규정하기도 했습니다. 즉 이들과 돈 거래를 하는 것(즉, 피해자로서 돈을 내는 것) 자체가 선택지로 남아있지 않게 된 것입니다. 돈을 내고 싶어도 낼 수 없도록 막아둔 것이죠. 실제로 미국 정부의 이런 움직임 이후 기업들이 돈 내는 걸 무서워하게 됐습니다.”

협박금을 내는 기업들이 줄어드는 현상
또 다른 보안 업체 코브웨어(Coveware)도 이번 주 보고서를 발표하며 “랜섬웨어 공격자들에게 돈을 내는 사례가 줄어들고 있다”고 밝혔다. 이 보고서에 의하면 2022년 공격자들에게 돈을 내기로 결정한 피해자들은 41%에 그쳤다고 한다. 코브웨어가 같은 조사를 통해 밝혀낸 바에 따르면 2019년에는 76%, 2020년에는 70%, 2021년에는 50%였다고 한다. 조사가 맞다면 랜섬웨어 공격자들의 협박에 응하는 사람은 확실하게 줄어들고 있는 것이다.

코드웨어는 이런 현상이 나타나는 이유로 “피해자 조직들의 랜섬웨어 대비 수준이 향상된 것”을 꼽았다. 콜로니얼 파이프라인(Colonial Pipeline) 사태처럼 사회적으로 커다란 이슈가 된 것이 여러 기업을 자극한 것이라고 코드웨어는 설명했다. “공격자들이 너무나 큰 기업 및 조직들을 공략하는 데 성공했고, 이것이 주요 매체들을 통해 전파되면서 경각심이라는 게 더욱 높아졌죠. 특히 미국에서는 요 몇 년 동안 공립 교육 시설들이 난타 수준으로 랜섬웨어에 당했고요. 이런 게 자연스럽게 일반 대중들의 집단 인식 제고에 영향을 주었습니다.”

랜섬웨어 공격을 실행하는 것 자체의 비용이 점점 높아지고 있다는 것도 중요한 현상이라고 코브웨어는 짚었다. “사법 기관들이 민간 보안 기업들과 손을 잡고 랜섬웨어 공격을 점점 더 어렵게 만들고 있습니다. 점점 더 어려워진다는 건 공격에 들어가는 비용이 점점 높아진다는 뜻이 되죠. 이것이 돈을 안 내기 시작한 피해자들이라는 현상과 맞물려 공격자들의 입장이 점점 난처해지고 있습니다. 이런 흐름이 이어진다면 랜섬웨어로 먹고 사는 게 힘들어질 것이고, 랜섬웨어 산업은 몰락할 겁니다.”

코브웨어의 CEO인 빌 시겔(Bill Siegel)은 보험 업자들도 이런 흐름을 형성하는 데 적잖은 역할을 했다고 말한다. 사이버 보험 상품에 가입하고 나면 보험사와 고객사가 조건을 맞추기 위해 기업 보안성을 점검하고 어느 정도 수준에 올려두는 게 보통이다. 백신 하나 설치되지 않은 기업을 고객으로 맞는다면 보나마나 막대한 보험금을 지불하게 될 텐데, 보험사로서는 그것이 피하고 싶은 상황일 것이기 때문이다. 그러려면 보험금을 높여야 하는데, 이건 반대로 고객사가 원하는 상황이 아니다. 그러므로 둘은 이런 저런 보안 장치들을 미리 가동시킴으로써 사고 발생 확률과 보험금을 동시에 낮추는 데 협의하게 된다. 코로나 기간 동안 랜섬웨어 사건이 마구 터지면서 보험사들은 이런 조건을 보다 빡빡하게 내걸었고, 고객사들은 보험에 가입하려면 보안성을 강화해야만 했다. 이것이 좋게 작용하는 것이라는 게 시겔의 설명이다.

보안 업체 레코디드퓨처(Recorded Future)의 수석 분석가인 알란 리스카(Allan Liska)는 “랜섬웨어 조직들이 자초한 면이 있다”고 보는 입장이다. “지난 2~3년 동안 랜섬웨어 공격자들은 해도 너무한 금액을 피해자들로부터 요구했어요. 천문학적인 금액을 요구하니, 사실 이래도 손해 저래도 손해인 기업 입장에서 굳이 공격자들과 협상을 하지 않아도 되는 것이죠. 얼마 전까지만 하더라도 ‘아무리 비싸도 범인들에게 돈을 내는 게 복구 비용보다 낫다’는 게 중론이었는데 이제는 그렇지 않습니다. 돈을 내면 손해라는 게 중론입니다.”

이제 공격자들은...
피해자들이 돈을 내지 않기로 했을 때의 결과는 다양한 형태로 나타날 수 있다. 셰어는 “가장 먼저 공격자들이 다른 곳에서 수익 창출을 하기 위해 움직일 것이 예상된다”며 “랜섬웨어 공격 시 확보한 피해자의 데이터를 다른 곳에 판매하는 경우가 늘어날 것”이라고 말한다. “랜섬웨어 공격자들로부터 데이터를 전달 받을 경로가 차단되는 것이므로 피해자들의 복구 시간은 평균적으로 늘어날 수 있고, 그렇다는 건 누적되는 피해 규모가 더 커진다는 뜻이 됩니다.”

랜섬웨어에 돈을 내는 사람들이 줄어든다고 랜섬웨어 공격이 줄어드는 건, 적어도 아직까지는, 아니다. 체인어낼리시스가 조사한 바에 의하면 랜섬웨어 공격자들의 수익은 줄어들었지만 랜섬웨어의 종류는 오히려 늘어났다고 한다. “2022년 전반기에만 1만 개가 넘는 랜섬웨어 패밀리가 새로이 등장했습니다. 돈을 내는 피해자가 줄어드니, 오히려 더 넓게 그물을 던지는 것으로 분석됩니다. 한 명이라도 돈을 더 내기를 바라는 마음에서죠.”

랜섬웨어 운영자들이 자금 압박에 시달리고 있다는 신호들은 다른 형태로 발견되고 있기도 하다. 그 중 하나가 협박 금액을 높이는 것이다. 코브웨어가 조사한 바에 따르면 2022년 4사분기 랜섬웨어 공격자들이 요구한 금액은 3사분기에 비해 58% 높아졌다고 한다. 중위값을 따지면 342%나 증가했다. “전체적인 수입 감소 때문에 공격자들이 건당 기대 수익을 높인 것이라고 분석됩니다. 상황에 대처하기 위해 전략을 수정한 것이죠.”

또 다른 신호는 공격자들이 약속을 이전보다 자주 어기기 시작했다는 것이다. “피해자들을 협박해서 돈을 뜯어낸 뒤, 약속대로 데이터나 복호화 키를 주는 게 아니라 다시 협박을 합니다. 재협박이라고도 합니다. 전에 없던 전략은 아니지만 꽤나 드물었던 협박 방식입니다. 한 번 공격으로 두 번, 세 번 돈을 가져가려 하는 건데, 이 역시 공격자들이 느끼는 자금 압박을 단적으로 보여주는 사례입니다.”

3줄 요약
1. 공격자들에게 돈을 지불하는 피해자들의 수가 점점 줄어들고 있음.
2. 보안 인식이 향상되고, 법적으로 지불이라는 선택지가 막히고, 보험사의 압박이 거세기 때문.
3. 공격자들은 자금 압박을 심하게 받고 있고, 그에 맞는 새 전략들을 들고 나옴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)