사법 기관의 단속이 강화되고 국제 협력이 개선되고 금전 지불을 거부하는 기업이 증가하면서 랜섬웨어 사건에서 지출되는 몸값이 3분의 1가량 감소했다.

블록체인 데이터 분석 기업 체인 체이널리시스(Chainalysis)의 최근 연구에 따르면 몸값 지불액은 2023년 12억 5,000만 달러에서 작년에는 8억 1,100만 달러로 줄었다.

공격자도 어려워진 운영 환경에 대응해 민첩성을 높이는 방향으로 전술을 바꿨다.

예를 들어 리브랜딩되거나 유출된 코드 또는 구매한 코드를 사용한 새로운 랜섬웨어 변종이 등장했다. 이와 함께 랜섬웨어 작전의 속도가 빨라져서, 데이터가 유출되고 기존의 며칠이 아닌 불과 몇 시간 후부터 협상이 시작되는 경우가 많아졌다.

랜섬웨어 공격 해부

랜섬웨어 공격자는 일반적으로 취약점을 이용해 피해 조직 네트워크에 대한 초기 액세스 권한을 획득하지만 훔친 네트워크 자격 증명을 사용해서 액세스하는 경우도 있다. 네트워크에 침입한 공격자는 이후 권한을 높이고 네트워크에서 민감한 데이터가 저장된 부분에 액세스를 시도한다.

이 민감한 데이터는 랜섬웨어 페이로드가 트리거되기에 앞서 주기적으로 유출된다. 전체 프로세스는 2주에서 6개월까지 소요될 수 있다.

랜섬웨어 위협 행위자는 유출 사이트를 통해 데이터를 공개하겠다고 협박하는 방식으로 훔친 데이터의 영향력을 높여 돈을 받아내려 한다. 이른바 이중 갈취로 알려진 널리 사용되는 수법이다.

악명 높은 랜섬웨어 조직인 블랙 바스타(Black Basta)의 통신 로그를 보면 특정 취약점과 이 그룹이 공격 표적으로 삼은 일반적인 구성 오류를 포함해 랜섬웨어 그룹이 공격 대상 조직에 접근하는 방법을 알 수 있다.

데이터 유출 방지 전문 업체 블랙프로그(BlackFrog)의 연구에 따르면 랜섬웨어 공격이 수행되는 방식에서 일어난 큰 변화는 랜섬웨어 공격의 대부분(94%)이 데이터 유출을 수반한다는 것이다. 즉, 암호화만 사용하는 공격은 이제 거의 사용되지 않는다.

또한 블랙프로그에 따르면 작년에 무려 48개의 새로운 랜섬웨어 그룹이 등장했는데, 이는 전년 대비 65% 증가한 수치이며 전례 없이 빠른 기록이다. 가장 지배적인 랜섬웨어 변종은 록비트(LockBit)와 랜섬허브(RansomHub)다.

사이버 위험 관리 업체 비트사이트(Bitsight)의 보안 연구원 도브 러너는 “2024년 상위 13개 랜섬웨어 그룹 중 작년에 처음 등장한 그룹은 랜섬허브가 유일하다. 기존 그룹은 관리자, 코더, 운영자, 계열 조직이 잘 맞물려 돌아가고 있는 반면, 새로운 그룹은 역량을 구축하고 확장해야 하기 때문”이라고 말했다.

러너는 “새로운 랜섬웨어 그룹은 대체로 비슷해 보인다. 피해 조직의 위치나 섹터 측면에서 새로운 그룹과 기존 그룹 간에 큰 차이는 없다”라고 덧붙였다.

위협 정보 업체 그룹-IB(Group-IB)의 연례 하이테크 범죄 보고서에 따르면 서비스형 랜섬웨어(RaaS) 프로그램에 가입하려는 새로운 파트너 제안이 44% 급증하는 등 RaaS가 빠르게 부상하고 있다.

공격이 가장 집중된 곳은 의료, 정부, 교육 분야다. 블랙프로그에 따르면 공개된 공격 중에서 이러한 업종에 대한 공격이 47%를 차지했다.

사이버 보안 테스트 및 리뷰 사이트 컴패리테크(Comparitech)는 1,317건의 랜섬웨어 사고에서 2억 8,880만 건의 레코드가 침해된 것으로 파악했다. 2023년 1,497건의 공격에서 파악된 2억 6,560만 건에 비해 상당히 증가한 수치다. 그룹-IB는 2024년 들어 훨씬 더 많은 총 5,066건의 랜섬웨어 사고에서 데이터 유출이 발생했다고 보고했다.

새로운 공격자의 부상

관리형 탐지 및 대응 업체 헌트리스(Huntress)의 연구에 따르면 링스(Lynx: INC 리브랜딩), 랜섬허브(록비트 하위 그룹), 아키라(Akira)와 같은 더 작고 민첩한 랜섬웨어 그룹이 대대적인 소탕 작전 이후 생긴 공백을 채우고 올라오며 관찰된 공격의 54%를 차지했다.

랜섬허브 RaaS는 록비트와 블랙캣(BlackCat)에서 방출된 운영자를 흡수하면서 빠르게 주도적인 입지로 올라섰다.

랜섬웨어 사고에서 데이터 유출이 보편적인 요소가 되는 등 이중 갈취 전술이 부상하면서 백업을 확보한 피해 조직이라 해도 금전적 지불에 대한 압박을 더 크게 받고 있다.

사이버 보안 서비스 업체 NCC 그룹이 처리한 랜섬웨어 사례는 작년에 두 배 이상 증가했다.

악명 높은 위협 그룹인 록비트는 작년 초 소탕 작전 이후 활동이 둔화됐음에도 불구하고 전체 공격의 10%(526건)를 차지하며 2024년 가장 큰 위협으로 분류됐다. NCC의 최신 연례 보고서에 따르면 2024년 하반기에는 랜섬허브가 지배적인 위협 행위자로 부상했으며 작년 한해 동안 501건의 공격을 감행했다.

이러한 추세는 2025년에도 지속돼 NCC의 1월 랜섬웨어 사례는 작년 12월 대비 3% 증가한 590건을 기록했다. 아키라는 지난 1월 가장 활발하게 움직인 랜섬웨어 그룹으로 74건의 공격을 실행했다. NCC가 처리한 총 랜섬웨어 사례 중 약 4분의 3이 북미와 유럽을 표적으로 했다.

NCC 그룹의 위협 인텔리전스 부문 책임자 맷 헐은 “이처럼 많은 공격이 일어나는 배경에는 혼란스러운 글로벌 지정학적 환경, 새로운 위협 그룹의 등장, 공격 방법의 변화 등 다양한 요인이 혼재한다. 또한 펑크섹(Funksec)과 같은 새로운 랜섬웨어 그룹, 인포스틸러 맬웨어와 같은 사이버 범죄 툴이 등장하면서 사이버 공격자가 대대적인 혼란을 일으키는 공격을 훨씬 쉽게 수행할 수 있게 됐다”라고 말했다.

랜섬웨어라는 두더지 잡기

사이버 보안 소프트웨어 업체 트렌드 마이크로(Trend Micro)의 선임 바이러스 백신 연구원 데이비드 산초는 랜섬웨어 환경이 역동적이지만 소수의 위협 행위자들이 주도적인 영향을 미치는 경향이 있다고 말했다.

산초는 “일반적으로 항상 4~5개의 주요 그룹이 있고, 그보다 훨씬 작은 덜 알려진 다수의 그룹이 따르는 형태가 유지된다. 주요 그룹은 몸집이 너무 커지면 사법 기관의 표적이 되면서 곧 쇠퇴하거나 리브랜딩하거나 완전히 해체되거나 다른 단체로 재편된다”라고 설명했다.

현재 가장 활발한 랜섬웨어 그룹으로는 2024년 2월 사법 기관의 소탕 작전에도 불구하고 여전히 강세인 록비트와 함께 클롭(Clop), 블랙캣/ALPHV가 있다.

ESET의 글로벌 사이버 보안 고문인 제이크 무어는 “사법 기관의 단속으로 록비트와 같은 주요 그룹이 와해됐지만 새로 형성된 그룹이 빠르게 부상하고 있다. 마치 두더지 잡기와 같은 상황”이라며 “데이터 유출, DDoS 위협을 포함한 이중, 삼중 갈취가 매우 흔히 발생하고 있고, 서비스형 랜섬웨어 모델이 나오면서 경험이 없는 범죄자도 더욱 쉽게 공격을 감행할 수 있게 됐다”라고 말했다.

무어는 “주요 범죄 네트워크 소탕은 시도하는 것 자체가 많은 비용과 리소스가 들어가는 일이다. 사법 기관은 몇 년째 상황을 통제하기 위해 고군분투하고 있다”라고 덧붙였다.

악의적 행위자가 검거되고 서버가 압수되면 새로운 범죄 조직이 다시 나타난다.

AI 기반 분석 업체인 인덱스 엔진(Index Engines)의 전략적 파트너십 부문 부사장 짐 맥건은 “랜섬허브는 사법 기관의 노력으로 타격을 입은 록비트와 ALPHV의 전 운영자들을 채용해 이 분야에서 지배적인 조직으로 부상했다”라고 말했다.

대책

한편 기업도 랜섬웨어 공격에 맞서 방어하기 위해 선제적 조치를 취하고 있다. 제로 트러스트 아키텍처를 구현하고 엔드포인트 탐지 및 대응(EDR) 솔루션을 강화하고 사고 대응 준비를 개선하기 위한 정기적인 훈련을 수행한다.

팔로알토 네트웍스 유닛 42(Unit 42)의 수석 연구원 안나 정은 정기적인 시스템 패치와 함께 차세대 방화벽, 변경 불가능한 백업, 클라우드 중복성과 같은 고급 툴이 사이버 공격으로부터 방어하는 데 도움이 될 수 있다면서, 공격자들이 생성형 AI 기술 사용을 늘림에 따라 더 많은 과제가 발생할 가능성이 높다고 경고했다.

정은 “2025년에 공격자들은 위협 행위자가 학습시킨 LLM과 같은 생성형 AI 기능을 활용해서 RaaS를 더 강화해 더욱 진보된 공격을 감행할 것이다. 위협 행위자가 더 빠르고 쉬운 몸값 협상을 위해 챗봇을 이용할 가능성도 있다”라고 말했다.

정은 “기업이 공격보다 앞서 나가려면 위협 탐지와 자동화된 사전 공격 대응을 위해 AI를 통합해야 한다”라고 말했다.
dl-itworldkorea@foundryco.com