글로벌 차세대 보안 기업 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만)의 사이버 보안 위협 연구기관 유닛42(Unit 42)이 조사한 2021년 상반기 랜섬웨어 위협 조사 최신 결과를 발표했다.

조사에 따르면, 2021년 상반기 중 랜섬웨어에 지불된 평균 금액이 57만 달러(약 6억 6천만원)를 기록한 것으로 나타났다. 이는 지난해 평균 금액이 31만2천 달러였던 것에 비해 171% 상승하며 최대 기록을 경신한 수치이다.

몸값 요구 금액도 증가했다. 2021년 상반기의 평균 몸값 요구 금액은 530만 달러로, 지난해 평균 금액인 84만7천 달러에서 518% 높아진 수치이다. 단일 건 중 최고 몸값 요구액은 지난해 3천만 달러에서 올해 상반기 5천만 달러로 높아졌다. 특히 Revil의 경우 카세야 VSA(Kaseya VSA) 공격을 입은 모든 조직들에게 범용 복호화 키를 제공하는 대가로 7천만 달러를 요구했다가 5천만 달러로 인하하기도 했다. 올해 중 현재까지 가장 큰 지불 금액은 세계 최대 육가공 업체 JBS SA건으로 1100만 달러였다.

2021년 상반기에 확인된 주요 랜섬웨어 공격 기법은 ▲ 키 파일을 암호화하여 스크램블링 된 데이터와 작동이 중단된 컴퓨터 시스템에 다시 접근하기 위해 몸값을 지불해야 하는 암호화 방식 ▲ 몸값을 지불하지 않으면 민감한 정보들을 공개하는 데이터 탈취 방식 ▲ 피해 조직의 공식 웹사이트에 서비스 거부 공격을 실시하여 폐쇄에 이르게 하는 서비스 거부(DoS) 방식 ▲ 공격자들이 직접 타깃 조직의 고객, 비즈니스 파트너, 임직원, 미디어에 연락하여 해킹 사실을 알리는 업무방해 방식 등이다.

조사에 따르면 타깃 한 곳에 4가지 기법을 모두 사용하여 공격을 실행하는 경우는 드물지만, 올해에는 점점 더 많은 공격사례에서 암호화 및 데이터 탈취 후 몸값을 지불하지 않는 경우 추가적인 공격 조치가 이루어진 것으로 드러났다. 2020년 한 해의 랜섬웨어 트렌드를 다룬 최근 보고서에서는 두가지 기법을 함께 사용하는 것을 새로운 관행으로 분석했는데, 올해에는 공격 기법을 2배로 추가하는 움직임이 관찰됐다.

유닛42는 사이버 범죄 조직들이 하반기에도 지속적으로 지불을 강제하고 더 파괴적인 공격을 실시할 것으로 관측했다. 실제로 하이퍼바이저로 알려진 소프트웨어 유형을 암호화해 한 대의 서버에서 운영되는 여러 대의 가상 인스턴스를 손상시키는 공격도 포착됐다. 하이퍼바이저 및 관리형 인프라 소프트웨어를 노리는 공격이 증가할 것으로 전망된다.

유닛42는 MSP(Managed Service Provider)들의 고객에게 랜섬웨어를 전파시키도록 사용됐던 카세야 원격 관리 소프트웨어를 활용한 공격의 후속 여파로 MSP 및 이를 사용하는 고객들을 타깃으로 하는 공격도 늘어날 것이라고 밝혔다.

일부 해킹 조직은 사이버 보안에 집중 투자할 자원이 부족한 중소 기업을 정기적으로 집중 공략할 것으로 전망된다. 올해 지금까지 NetWalker, SunCrypt, Lockbit을 포함한 여러 랜섬웨어 그룹들이 1만 달러에서 5만 달러에 이르는 몸값을 요구하고, 실제로 지불된 것으로 분석됐다. 상대적으로 적은 규모이지만, 소규모 기업의 경우 충분히 타격을 입을 수 있는 금액이다.

팔로알토 네트웍스는 최근 이슈가 됐던 Mespinoza, REvil, Prometheus, Conti, DarkSide, Clop 등을 포함해 유닛42 블로그를 통해 다양한 랜섬웨어 최신 동향을 다루고 있으며, 랜섬웨어 대비 진단 검사를 통해 사전 대응 전략에 대한 컨설팅을 제공하고 있다.

랜섬웨어에 노출될 위험을 최소화하기 위해 팔로알토 네트웍스는 3가지 권고 사항을 내놨다. 우선 초기 액세스 대비이다. 변종을 포함한 거의 모든 랜섬웨어의 초기 액세스는 비슷한 양상을 가진다. 조직에서는 이메일 보안에 대한 사용자 인식 및 관련 교육을 지속해야 하며, 회사 계정에 악성 메일이 수신되는 즉시 식별하고 조치할 수 있는 방법을 제공해야 한다. 인터넷 노출 서비스에 대한 패치 관리 및 검토가 이루어져야 하며, 원격 데스크톱 서비스의 경우 최소한의 권한으로 적절하게 보안 구성이 이루어져 있는지, 비밀번호 자동 조합으로 로그인을 시도하는 브루트포스(brute-force) 기법을 탐지하는 대비가 되어 있는지 검토해야 한다.

백업 및 복구 프로세스를 갖춰야 한다. 지속적으로 데이터를 백업하고 적절한 복구 프로세스를 유지해야 한다. 랜섬웨어를 사용하는 공격자들은 대부분 온사이트 백업을 암호화하고자 시도하므로, 조직에서는 모든 백업이 안전하게 오프라인 상태로 유지되도록 해야 한다. 랜섬웨어 공격이 발생할 경우 조직에 다운타임과 비용을 최소화하기 위해 복구 프로세스를 구현하고, 주요 이해 관계자가 모두 참여하여 리허설을 실시하는 것도 필요하다.

보안 제어 솔루션을 구축한다. 랜섬웨어로부터 보호하는 가장 효과적인 전략은 엔드포인트 보안, URL 필터링 또는 웹 보호, 지능형 위협 차단, 사용자 디바이스를 포함하여 전사적으로 구축 가능한 피싱 방지 솔루션이다. 이러한 대비책이 완벽한 예방을 보장할 수는 없으나, 보편적인 랜섬웨어 변종으로부터의 감염 위험은 절대적으로 줄여줄 수 있으며, 한가지 기술이 유효하지 않을 때 대체제로 작용하여 조치에 필요한 시간을 벌어줄 수 있다.

이희만 팔로알토 네트웍스 코리아 대표는 “랜섬웨어 위협은 점점 더 과감하고 파괴적으로 진화하고 있다. 개인의 컴퓨터를 멈추는데 그치지 않고, 핵심 비즈니스를 중단시키거나 브랜드 평판에 막대한 영향을 미치는 등 피해 규모가 이전과는 다른 수준으로 확장되고 있다”라며 “선제적인 대응을 위해 정기적으로 보안 상태를 진단하고 위협 트렌드에 관심을 기울이는 것이 중요하다”고 말했다.

이향선기자 hslee@nextdaily.co.kr

[알림] 전자신문인터넷과 넥스트데일리는 오는 9월 9일 목요일 오전 9시 30분부터 오후5시까지 “2021 AI & Big Data Smart Convergence” 무료 온라인 콘퍼런스를 개최한다. 이 행사에서는 AI와 빅데이터 분야 글로벌 기업들의 기술과 실무 적용 노하우와 성공 사례를 공유해 기업의 업무 효율을 높이고 비즈니스 확대와 새로운 비즈니스를 창출할 수 있는 전략을 제시한다.