- 2023년, 처음으로 랜섬웨어 총 지불액이 10억 USD를 넘어서며 랜섬웨어 위협은 줄어들 기미를 보이지 않고 있습니다.
- 이러한 공격은 서비스형 랜섬웨어(RaaS) 플랫폼을 활용하여 더욱 광범위하고 빈번한 공격이 가능해지면서 더욱 정교해지고 있습니다.
- 서비스형 랜섬웨어(RaaS)는 중앙 신디케이트가 랜섬웨어 도구를 개발하여 공격을 수행하는 제휴사에 임대하는 프랜차이즈 시스템으로 운영됩니다. 이 모델은 사이버 범죄자의 진입 장벽을 낮추고 공격 규모를 확대했습니다.
- REvil, DarkSide, LockBit 같은 그룹은 복호화 키 그리고 데이터에 대한 몸값을 요구하는 이중 강탈과 같은 전술을 사용하여 가장 치명적인 랜섬웨어 캠페인을 주도했습니다.
- 정기적인 소프트웨어 업데이트, VPN 다운로드 사용, 강력한 인증 방법 사용은 다양한 유형의 공격을 방어할 수 있습니다.
- 랜섬웨어 공격이 발생한 경우 법 집행 기관에 알리는 것과 동시에 위협을 격리해야 하며 몸값을 지불하지 않는 것이 좋습니다.
컴퓨터 화면이 멈추고 결제 요구만 표시되는 악몽으로 하루를 시작한다고 상상해 보세요. 랜섬웨어 공격이 급증하여 개인과 기업 모두를 위협하는 무자비한 세력으로 발전하면서 작년에 수백만 명이 이러한 악몽을 경험했습니다. 랜섬웨어는 디지털 파일을 암호화하여 몸값이 지불될 때까지 인질로 삼는 악성 코드입니다. 2023년, 랜섬웨어는 전 세계으로 72.7%의 조직에 영향을 미쳤으며 평균 공격 비용은 약 454만 USD(복구 비용 185만 USD 제외)로 나타났습니다.
사이버 범죄자들은 점점 더 정교한 암호화 방법을 사용하기 때문에 피해자가 비용을 지불하지 않고 액세스 권한을 되찾는 것은 거의 불가능합니다. 또한 암호화폐를 사용하면 공격자가 익명으로 대금을 받을 수 있어 추적 및 기소가 더욱 복잡해집니다. 공격 범위는 개인 시스템에서 중요 인프라 및 주요 기업을 포함한 전체 네트워크를 손상시키는 것으로 확대되어 심각한 재정 및 운영 중단을 초래했습니다.
이러한 공격은 즉각적인 재정적 손실을 초래할 뿐만 아니라 영향을 받은 조직의 평판에 오랜 상처를 남기고 고객과 파트너 간의 신뢰를 약화시킵니다. 랜섬웨어 신디케이트는 대기업만을 표적으로 삼는 것이 아니라, 사람들의 기술 의존으로부터 이익을 얻기 위해 컴퓨터와 은행 계좌에 접근할 수 있는 모든 사람들의 두려움을 이용하고 있습니다. 2024년 알리안츠 리스크 바로미터(Allianz Risk Barometer)의 설문 조사에 따르면 이제 사이버 위험은 글로벌 비즈니스의 주의 목록 1위로, 그 재정적 위험은 엄청납니다.
사이버 범죄로 인한 경제적 피해는 올해 말까지 9조 5천억 USD에 이르고, AI 기술의 발전으로 인해 2025년에는 10조 5천억 USD로 증가할 것이라 예상됩니다. 이러한 공격의 중심에는 점점 더 접근이 쉬워지는 서비스형 랜섬웨어(RaaS) 플랫폼(최저 40 USD에 이용 가능)이 있습니다.
그런데 이러한 공격의 배후에 있는 사람들은 누구일까요? 그리고 무엇이 이들을 위험 높은 디지털 강탈에 가담하게 하는 걸까요? 스릴을 추구하는 사람들부터 정치적 동기를 지닌 그룹까지 이러한 공격의 동기는 공격자만큼이나 다양합니다.
저희는 ExpressVPN의 윤리적 해커 및 사이버 보안 전문가와 이야기를 나누며 랜섬웨어의 어두운 세계에 대해 깊이 알아봤습니다. 세계에서 가장 강력한 랜섬웨어 신디케이트의 동기, 전술 및 중요 영향에 대해 확인하세요.
점점 커지는 랜섬웨어 공격 위협
2023년은 랜섬웨어 활동 기록상 최악의 해였습니다. 체이널리시스(Chainalytic)에서 추적한 바에 따르면 총 몸값 지불액이 10억 USD로 급증하면서 디지털 강탈은 상당한 변화를 보였습니다. 이러한 증가는 비단 금전적인 측면에서만 발생한 것이 아닙니다. 사이버린트(CyberInt)는 랜섬웨어 사건이 56% 급증하여 4,368건이 넘는 공격을 기록했다고 보고했습니다. 여기에는 훔친 데이터를 배포하겠다고 위협하여 피해자를 압박하기 위해 다크 웹 사이트에 피해자를 공개하곤 하는 랜섬웨어 갱단 및 뉴스 보고가 포함됩니다.
2022년에는 몸값이 전년도보다 적게 지급되면서 잠시 하락세를 보이는 듯 싶더니 2023년에는 강력한 회복세를 보였습니다. 노련한 해킹 집단과 막강한 신인이 함께 힘을 합치자 블록체인 네트워크에서 추적된 랜섬웨어 지불 총액은 전년도의 거의 두 배에 달하는 기록적인 최고치를 찍었습니다. 부분적으로 ‘빅 게임 헌팅(공격으로 인해 큰 피해를 입을 여유가 없고 큰 몸값을 지불할 가능성이 더 높은 개체를 표적으로 하는 랜섬웨어 운영자)’에 의해 주도된 이러한 부활은 우려스러운 추세를 강조합니다. 또한 Statista 연구는 2023년에 세계적으로 조직에서 감지한 랜섬웨어 시도가 무려 3억 1,800만 건에 달한다는 점을 지적하면서 랜섬웨어 문제의 규모를 설명합니다.
서비스형 랜섬웨어(RaaS)란?
이러한 급증의 이면에 있는 중요한 요인 중 하나는 서비스형 랜섬웨어(RaaS)의 출현과 접근성입니다. 프랜차이즈처럼 운영되는 이 모델은 중앙 신디케이트가 랜섬웨어 도구를 개발하여 공격을 수행하는 제휴사에 임대할 수 있도록 합니다. 이 시스템은 고위험 디지털 강탈을 민주화하여 원하는 누구나 최소한의 투자로 치명적인 사이버 공격을 시작할 수 있도록 만들었습니다.
[발췌문: “과거에는 누군가 당신을 공격하고 싶으면 스스로 그 공격을 수행할 수 있어야 했으나, 이젠 그러한 서비스를 얻기 위한 욕구와 재정적 수단만 있으면 됩니다.”]
ExpressVPN의 수석 보안 아키텍트인 Nathan Hartzell은 이러한 변화가 미치는 엄청난 영향을 설명합니다. “과거에는 누군가 당신을 공격하고 싶으면 스스로 그 공격을 수행할 수 있어야 했으나, 이젠 그러한 서비스를 얻기 위한 욕구와 재정적 수단만 있으면 돼요.”
이러한 협력적 접근 방식은 랜섬웨어 공격의 빈도를 증가시킬 뿐만 아니라 개인부터 중요한 인프라 기관에 이르기까지 다양한 피해자를 표적으로 삼는 랜섬웨어 공격의 범위와 효율성 또한 확장시킵니다. 제휴사는 랜섬웨어를 배포하여 피해자의 파일을 암호화하고 암호 해독을 위한 몸값을 요구하며, RaaS 제공 업체와 그 이익을 나누어 랜섬웨어 전술의 혁신과 공격성을 장려합니다.
RaaS을 통해 강화된 그룹
RaaS의 급증으로 이러한 플랫폼을 활용하여 공격을 실행하는 전문 랜섬웨어 그룹의 등장이 촉진되어 사이버 범죄에 대한 접근성이 그 어느 때보다 높아졌습니다. ExpressVPN의 위협 헌터이자 분석가인 Catalin Oancea는 RaaS를 통해 강화된 다양한 유형의 조직의 동기와 방법을 설명합니다.
- 침투 탐색자 또는 초기 침투 브로커: 이 그룹은 표적의 네트워크 내 취약점을 식별하고 악용하는 데 특화되어 있습니다. 고급 공격자부터 아마추어 해커에 이르는 이 그룹은 시스템의 초기 기반을 확보하여 랜섬웨어 배포의 길을 닦으며, 전략에는 로그인 및 서버에 대한 피싱 및 무차별 대입 공격 등이 포함됩니다.
- 데이터 브로커: 이름, 주소, 주민등록번호 등의 개인 정보를 훔치거나 얻는 데 중점을 두는 데이터 브로커는 이러한 정보를 지하 시장에 판매합니다. 이렇게 도난된 데이터는 신원 도용, 피싱 사기 등 다양한 불법 활동에 사용될 수 있으며 이 그룹은 잠재적인 피해자를 찾아내기 위해 초기 침투 브로커와 협력하는 경우도 많습니다.
- 스파이 기관: 금전적 동기를 가진 전통적인 랜섬웨어 그룹과 다른 이 그룹은 랜섬웨어 공격을 사용하여 표적 국가의 운영을 방해하는 등 보다 광범위한 지정학적 목표를 달성하고 사이버 전쟁에서 랜섬웨어의 전략적 사용을 강조합니다.
RaaS를 활용하는 다양한 유형의 해커
RaaS 모델은 랜섬웨어 공격 실행 프로세스를 단순화했을 뿐만 아니라 이러한 활동에 참여하는 개인과 그룹의 범위를 확대했습니다. RaaS는 기술 장벽을 낮춤으로써 각각 고유한 동기와 방법을 가진 다양한 해커를 끌어들였습니다.
블랙 햇 해커
블랙 햇 해커는 금융 데이터 절도, 랜섬웨어 배포, 중요한 시스템 중단 등의 불법 활동에 참여합니다. 블랙 햇 해커는 RaaS를 활용하여 피해자로부터 돈을 갈취하기 위해 카운트다운 타이머, 데이터 손실 위협 같은 전술을 사용하여 최소한의 노력으로 더 많은 공격을 수행할 수 있습니다.
화이트 햇 해커
윤리적 해커라고도 알려진 화이트 햇 해커는 자신의 기술을 사용하여 시스템 취약점을 찾고 치료합니다. 화이트 햇 해커는 시스템 보안을 강화하기 위해 RaaS에서 사용하는 도구와 유사한 도구를 사용하여 승인된 침투 테스트를 수행하거나 보안 회사 일하는 경우가 많습니다.
그레이 햇 해커
그레이 햇 해커는 명확한 악의적 의도 없이 보안 취약점을 활용합니다. 그레이 햇 해커는 RaaS 도구를 사용하여 결함을 식별하고 (때로는 영향을 받은 조직에 알리지 않고) 공개하여 빠른 복원을 추진하고 보안 인식을 높입니다.
핵티비스트
정치적 또는 사회적 활동을 위해 해킹을 사용하는 핵티비스트는 투쟁의 한 형태로 조직에 피해를 줍니다. 핵티비스트는 RaaS를 사용하여 자신의 공격의 원인에 대한 대중의 관심을 끄는 파괴적인 사이버 공격을 수행할 수 있습니다.
스크립트 키디
스크립트 키디는 이미 만들어져 있는 스크립트 또는 해킹 도구를 사용하여 공격을 시작하는 경험이 없는 해커입니다. RaaS는 고급 기술 지식 없이도 강력한 능력을 제공한다는 점에서 스크립트 키디에게 매력적입니다. 또한 스크립트 키디는 널리 사용되는 시스템의 알려진 취약점을 표적으로 삼습니다.
에스피오나지 해커
국가의 지정학적 이익을 증진하기 위해 사이버 공격을 실행하는 에스피오나지 해커는 민감한 정보를 훔치거나 운영을 방해하기 위해 외국 정부, 방위 산업체, 주요 기업을 표적으로 삼아 복잡한 스파이 활동에 RaaS를 사용하는 경우가 많습니다.
Hartzell은 이러한 그룹이 단순한 이익 이상의 것에 의해 움진인다는 점을 지적합니다. “이러한 행위자들은 국가 목표에 부합하는 산업, 개인 및 정부를 표적으로 삼아요. 핵티비스트는 가장 경멸 받는 산업을 노리는 반면, 스크립트 키드는 악명을 얻기 위해 활용할 수 있다고 믿는 모든 것을 표적으로 삼죠.”
세계 최대의 랜섬웨어 공격
중소기업이나 개인도 랜섬웨어의 공격을 받을 수 있습니다. 그러나 헤드라인을 장식하는 공격은 수많은 고객의 필수 서비스를 방해하고 때로는 데이터 유출 위협을 초래하는 대규모 조직에 대한 공격으로, 몸값으로 가장 큰 금액을 요구 받을 가능성이 높습니다.
그런데 사업 비용이 더 큰 사기에서 몸값 요구는 얼마 안 되는 듯한 경향이 있습니다. 대기업에게 몇 백만 달러는 얼마 안 될 테니까요. 여기에는 교전하기보다는 돈을 받고 싶은 공격자의 욕구가 반영됩니다. 지불을 거부하는 회사가 입을 손실이 몸값보다 클 것이라는 건 거의 의심할 여지가 없으니까요.
세계 최대의 랜섬웨어 공격은 다음과 같습니다.
피해자 | 공격자 | 사건 |
Colonial Pipeline | Darkside | 2021년 5월의 공격으로 시스템이 손상되어 고객에게 연료를 공급하지 못하게 됩니다. Colonial Pipeline은 공격을 받은 후 몇 시간 내에 500만 USD의 몸값을 지불합니다. 후에 법무부는 몸값을 지불하는 데 사용한 230만 USD 상당의 암호화폐를 압수합니다. |
코스타리카 정부 | Conti | 2022년 4월, Conti는 코스타리카를 상대로 랜섬웨어 공격을 실행하여 공공 행정 및 금융 운영을 크게 지연시킵니다. 코스타리카 정부는 국가 비상 사태를 선포하고 1천만 USD에서 2천만 USD로 인상된 몸값의 지불을 거부합니다. 코스타리카는 하루 3천만 USD의 손실을 입습니다. |
Impresa | Lapsus$ | 2022년 1월, Lapsus$는 포르투갈 미디어 대기업인 Impresa를 공격하여 여러 웹사이트와 TV 채널을 중단합니다. Lapsus$는 직원과 고객의 이메일, 계약서, 개인 정보 등 방대한 양의 민감 데이터를 온라인에 유출합니다. |
Windows 시스템, 특히 영국 국립 보건 서비스(NHS) | Lazarus Group | 2017년의 WannaCry 랜섬웨어 공격은 Microsoft Windows의 취약점을 악용하여 전 세계 시스템에 영향을 미칩니다. 이 공격은 영국의 NHS, 통신 회사 및 전 세계의 다양한 비즈니스에 영향을 미쳐 광범위한 혼란과 경제적 손실을 초래합니다. |
세계 최대의 랜섬웨어 그룹
랜섬웨어 그룹은 기업처럼 운영될 정도로 정교해졌으며, 보고에 따르면 가장 큰 기업 중 하나인 Conti는 심지어 자체 HR 부서를 보유하고 있다고 합니다. 그러나 랜섬웨어 그룹은 빠르게 나타났다가 빠르게 사라질 수 있으며, 세간의 이목을 끄는 공격 후에 문을 닫고 다른 조직으로 변신하는 경우가 많습니다. 때로는 국제 기관이 협력하여 그룹을 끌어내리는 경우도 있습니다. 그렇다고 새로운 그룹이 생겨나는 것을 막지는 못하지만요.
그러면 요즘 주요 기업은 누구이며 어떤 일을 할까요? 현재 세계 최대의 랜섬웨어 그룹은 다음과 같습니다.
1. BlackBasta
2022년 초에 처음 등장한 BlackBasta는 수많은 유명 기업을 공격했으며 코스타리카 정부를 공격하면서 누구나 아는 이름이 된 Conti에서 파생되었을 것이라 생각됩니다. 이 말은 BlackBasta 멤버들이 등장 즉시 풍부한 경험을 갖고 있었다는 것입니다.
BlackBasta의 데뷔는 정말 영리했고 주로 이중 강탈 전술을 채택함으로써 엄청난 명성을 빠르게 얻었습니다. 이 전략에는 두 가지 형태의 몸값(피해자의 데이터를 잠금 해제하는 암호 해독 키를 위한 몸값 그리고 도난당한 데이터의 공개를 방지하기 위한 몸값)이 포함됩니다.
지난해 이 그룹은 최소 1억 700만 USD에 달하는 비트코인을 갈취하고 암호화폐 거래소인 Garantex를 통해 자금을 세탁한 혐의를 받고 있습니다.
2. Blackcat(ALPHV)
ALPHV 또는 Noberus라고도 알려진 BlackCat은 2021년 11월에 처음 등장했으며 Colonial Pipeline을 공격한 것으로 악명이 높지만 이제는 없어진 Darkside의 전 멤버들이 결성했다고 합니다. 이 그룹의 악성 코드는 Windows 및 Linux 시스템을 표적으로 합니다. BlackCat은 파일의 암호화를 해독하기 위한 몸값, 도난당한 데이터의 유출을 방지하기 위한 몸값, 분산 서비스 거부(DDoS) 공격을 방지하기 위한 몸값을 요구하는 삼중 강탈 전략으로 악명이 높습니다.
FBI에 따르면 전 세계적으로 1,000명이 넘는 피해자가 BlackCat의 공격을 받았습니다. BlackCat은 RaaS 모델로 운영되며 사이버 범죄 포럼을 통해 제휴사를 모집합니다. 주목할 만한 표적으로는 올해 1월에 공격을 받은 OilTanking GmbH와 2월에 공격을 받은 Swissport를 들 수 있습니다. 내부 통신 및 개인 정보를 포함한 1.6TB의 민감 데이터를 탈취 당한 Swissport가 이틀 내에 유출을 진정시켰음에도 불구하고 BlackCat은 훔친 데이터를 마케팅하며 이중 강탈 전술을 선보였습니다.
3. Clop
Cl0p라고도 불리는 Clop은 정교하고 다층적인 강탈 사기와 광범위한 영향력으로 알려진 유명한 랜섬웨어 그룹입니다. 이 조직은 피해자의 데이터를 암호화하는 랜섬웨어 공격을 유포하는 것으로 악명이 높으며 일반적으로 암호화된 파일에 ‘.clop’ 확장자를 추가하여 뚜렷한 발자국을 남깁니다. 표적은 금융 기관, 중요 인프라 제공 업체, 의료 기관, 대기업, 교육 기관 등 다양한 부문에 걸쳐 있습니다.
최근에 이 그룹은 기업 파일 전송에 사용되는 도구인 Progress Software의 MOVEit Transfer의 제로데이 취약점을 악용했다고 주장했습니다. Clop은 정부, 공공 기관, 기업체 등 전 세계 다양한 조직의 데이터를 훔치는 광범위한 공격을 시작했으며, 주목할 만한 피해자로는 뉴욕시의 공립학교 시스템 그리고 British Airways, BBC 같은 고객을 보유한 영국 기반의 HR 솔루션 및 급여 회사가 있습니다.
4. LockBit
다양한 버전의 RaaS 소프트웨어를 제공하는 LockBit.
2019년에 설립된 LockBit은 몸값으로 1억 2천만 USD가 넘는 금액을 수령하며 세계에서 가장 유명한 랜섬웨어 그룹 중 하나로 빠르게 성장했습니다.
RaaS 모델로 운영되는 LockBit은 공격을 실행하고 수익을 공유하는 제휴사에게 정교한 악성 코드 및 공격 인프라를 제공합니다. 이 그룹은 에너지, 제조, 정부, 의료, 교육 등 광범위한 부문을 표적으로 삼아 광범위하고 심각한 위협을 강조합니다.
LockBit은 올해 미국 및 영국 법 집행 기관에게 운영을 위해 사용했던 서버와 조정에 사용했던 웹사이트를 압수당하고 2명이 기소되면서 큰 타격을 입었습니다. 따라서 이 그룹은 더 이상 지속되지 못할 가능성이 높습니다.
5. REvil
Sodinokibi 랜섬웨어 그룹으로도 알려진 REvil은 피해자의 파일을 암호화하는 악성 소프트웨어를 생성하고 임대하는 RaaS 모델로 운영됩니다. 제휴사는 이 랜섬웨어를 사용하여 개인과 기업 모두를 표적으로 삼고 데이터의 암호화를 해독하기 위한 비용을 요구하며 REvil은 이익을 일부를 취합니다.
이 그룹은 Apple 같은 세간의 이목을 끄는 피해자를 표적으로 삼는 것으로 악명을 얻었습니다. 또한 다크 웹 시장인 Happy Blog를 운영하며 몸값을 지불하지 않으면 훔친 데이터를 이 곳에 게시하겠다고 위협합니다. 2022년 초, REvil의 활동을 억제하려는 러시아의 협력을 포함한 국제 법 집행 노력에도 불구하고 REvil의 레거시와 방법은 RaaS의 위험성과 지속적인 랜섬웨어 공격 위협을 계속해서 상기시켜 줍니다.
랜섬웨어 표적이 선택되는 방식 및 이유
Hartzell에 따르면 누구나 랜섬웨어 공격의 피해자가 될 수 있지만 신디케이트는 합병, 제품 출시 같은 중요한 비즈니스 이벤트를 앞둔 사람들을 표적으로 삼습니다. 평판이나 주가에 영향을 미칠 수 있는 가능성이 있으므로 이러한 이벤트 기간은 매력적인 기간이며 운영상의 중요성으로 인해 금융, 의료, 중요 인프라 등의 부문이 선호됩니다. FBI 보고서는 공격자들이 주말이나 공휴일과 같은 업무 중단 시간 동안 방어 활동이 줄어드는 점을 악용하기 위해 전략적으로 이러한 시간에 공격한다는 점을 강조합니다.
[발췌문: “[부유한 개인]의 이메일, Facebook, Instagram 계정과 같은 개인 정보는 해커가 자동 공격에 사용하기 위해 구입한 목록에 포함되어 있기 때문에 공격의 표적이 됩니다.”]
그러나 위협은 기업을 넘어 개인(특히 공개 프로필이나 상당한 부를 가진 개인)에게까지 확대됩니다. Hartzell은 “[부유한 개인]의 이메일, Facebook, Instagram 계정과 같은 개인 정보는 해커가 자동 공격에 사용하기 위해 구매한 목록에 포함되어 있기 때문에 공격의 표적이 되는 경우가 많아요.”라고 설명합니다.
이러한 유형의 직접적인 강탈은 핀란드의 Vastaamo 심리 치료 클리닉 유출 사건과 같은 사건에서 극명하게 입증되었습니다. 2018년에 처음 그리고 2019년에 다시 발생한 이 클리닉의 유출로 인해 매우 민감한 정보가 포함된 수만 명의 환자 기록이 도난됐습니다. 그리고 2020년 말에는 공격자가 클리닉과 개별 환자 모두를 직접 강탈하기 시작하면서 상황이 더욱 확대되었습니다. 공격자는 개인 치료 세션이 공개되는 것을 막기 위한 몸값으로 클리닉에 약 50만 USD 상당의 비트코인, 각각의 환자에게 약 240 USD를 요구했습니다.
랜섬웨어 그룹이 사용하는 심리적 전술
랜섬웨어 공격이 시스템을 혼란에 빠뜨리고 피해자의 심리 상태에 깊은 영향을 미치는 것은 분명합니다. 오늘날 랜섬웨어 그룹은 시스템을 마비시키는 것뿐만 아니라 피해자를 절망에 빠뜨리는 것을 목표로 합니다. 궁지에 몰리고 압도되는 느낌을 받은 많은 사람들은 몸값을 지불하는 것이 유일한 탈출구라고 생각합니다.
조리돌림 사이트에 데이터를 유출하겠다는 협박
올해 초, 십대 남학생을 표적으로 한 강탈 사기와 관련하여 매우 우려스러운 추세가 나타났습니다. 이러한 성착취 사기에서 가해자는 개인적인 이미지를 공개하겠다고 위협했으며 이로 인해 다수의 자살이 발생하기도 했습니다. 이러한 사례는 위협 행위자가 어떻게 공개적으로 수치심을 주는 전술을 활용하여 피해자에게 몸값을 지불하도록 강요하는지를 극명하게 보여줍니다. 몸값을 지불하지 않으면 온라인 또는 다크 웹을 통해 쉽게 액세스할 수 있는 웹사이트에 재무 기록, 은밀한 이미지, 개인적인 메시지 등의 개인 정보를 유출시키겠다고 위협하는 등의 이 전략은 기밀 정보 유출로 인해 발생할 수 있는 명예 훼손과 잠재적인 법적 결과에 대한 두려움을 이용합니다.
공격자는 조리돌림 사이트를 활용하여 개인과 조직 모두에게 엄청난 압력을 가합니다. 개인 세부 정보를 공개적으로 유출하겠다는 위협은 심각한 정서적 고통을 초래할 수 있으며 추가 피해를 방지하기 위한 몸값 요구에 신속하게 응하도록 만들 수 있습니다.
가상 및 물리적 협박
랜섬웨어 그룹은 피해자를 혼란스럽게 하고 강요하기 위해 다른 유형의 위협 전략을 더욱 많이 채택하고 있습니다. 일부 공격자는 최초 침해 중에 훔친 데이터를 활용하여 전화, 이메일을 통해 또는 회사 프린터를 점령하여 몸값을 요구하는 방식으로 직접 직원을 괴롭힙니다. 이러한 직접적인 접근 방식은 패닉과 긴급성을 야기합니다. 또한 카운트다운 타이머를 사용하면 엄격한 기한을 설정하여 이러한 압력을 가중시킬 수 있습니다. 그리고 이 기한 내에 몸값을 지불하지 않을 경우 요구 금액이 증가하거나 필수 데이터에 대한 액세스가 영구적으로 손실될 수 있습니다.
사회 공학
사회 공학은 개인이 기밀 정보를 포기하거나 보안 시스템에 액세스하도록 조작하기 위해 사이버 범죄자가 사용하는 기만적인 기술입니다. 긴급한 요청에 대한 반응, 무료 제공의 유혹, 두려움 등 인간의 기본적인 행동을 활용하는 이 방법은 피해자를 속여 보안 실수를 저지르게 합니다. 사회 공학의 일반적인 전술은 다음과 같습니다.
- 피싱: 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 가짜 이메일을 보내서 수신자를 속이고 개인 정보를 공개하도록 하거나 악성 링크를 클릭하도록 합니다.
- 베이팅: 피해자가 멀웨어가 포함된 파일 또는 링크와 상호 작용하도록 유인하기 위해 무료 기프트 카드와 같은 유혹적인 것을 제공합니다.
신뢰가 구축되면 공격자는 피해자에게 멀웨어로 시스템을 감염시키는 링크를 클릭하거나 첨부 파일을 다운로드하도록 요청할 수 있습니다. Hartzell은 “사회 공학은 인간의 기본적인 경향, 그러니까 긴급한 요청에 대한 반응성이나 탐욕 또는 두려움 등을 활용하죠. 따라서 가장 효과적인 대응책은 회의주의 문화를 조성하는 거예요.”라고 설명합니다.
표적 공격
사이버 공격자는 더욱 개인화되고 직접적인 캠페인을 생성하기 위해 갈수록 더 전술을 개선하고 있습니다. 여기에는 피싱 이메일이나 몸값 요구에 피해자의 이름을 사용하는 것이 포함되며 이는 위협을 더욱 직접적으로 보이게 만듭니다. 이러한 개인화된 접근 방식은 표적의 빠른 조치를 유도하도록 설계됩니다.
그리고 이메일 필터링 개선, 고급 안티 바이러스 프로그램, 기계 학습 도구 등 사이버 보안 기술의 발전으로 인해 이러한 공격은 더욱 정교해지고 있습니다.
Oancea는 “역사적으로 사이버 범죄자들은 수백만 개의 일반적인 스팸 메시지를 보냈어요. 그러나 이젠 탐지 기술이 발전해서 이런 광범위한 공격이 사용자에게 도달하기 전에 중지되는 경우가 많아요. 그래서 오늘날의 신디케이트는 보다 탐지하기 어렵고 수신자에게 더 큰 압박을 가하는 표적화된 방법을 사용할 가능성이 높아요.”라고 전술의 변화를 설명합니다.
랜섬웨어 공격에서 AI의 역할
공격을 개인화하는 사이버 범죄자의 또 다른 중요한 부분은 인공 지능(AI)을 전술에 통합하는 것입니다.
피싱 공격 강화
AI 기술은 공격자가 더욱 설득력 있고 정교한 피싱 캠페인을 생성할 수 있도록 합니다. 범죄자는 딥페이크 기술을 사용하여 사실적인 시청각 콘텐츠를 생성하고 유포할 수 있습니다. 예를 들어, 2023년에는 미국 국방부 청사(펜타곤)의 검은 연기 딥페이크 이미지가 일시적인 혼란을 가져오고 주식 시장 하락을 초래한 사건이 있었습니다.
피싱 사기 정교화
AI는 피싱 사기를 수행하는 데 필수적인 역할을 합니다. AI가 생성한 피싱 사기 전화는 인간의 목소리를 매우 정확하게 모방하여 가짜 상호 작용이 진짜이고 신뢰할 수 있는 것처럼 들리게 만듭니다. 기존의 피싱 및 스피어 피싱을 뛰어넘는 이 고급 기술은 표적을 속여 보안을 침해하도록 설계된 디테일한 상호 작용을 포함합니다.
표적 식별 간소화
방대한 데이터 세트를 신속하게 분석하는 AI의 능력은 사이버 범죄 작업의 효율성을 향상시킵니다. AI는 잠재적인 표적의 식별을 자동화함으로써 사이버 범죄자가 리소스에 보다 효율적으로 집중할 수 있도록 하여 공격을 계획하고 실행하는 데 필요한 시간을 단축시킵니다.
AI가 지원하는 사이버 공격의 이러한 발전은 사회가 사전 예방적이고 적응력이 뛰어난 사이버 보안 접근 방식을 채택해야 할 필요성을 더욱 강조합니다.
랜섬웨어의 피해자가 되지 않도록 보호하기
랜섬웨어 공격의 규모와 정교함이 계속해서 확대됨에 따라 이러한 사이버 위협으로부터 보호하는 것이 무엇보다 중요해졌습니다. 탈레스 위협 보고서(Thales Threat Report) 등의 연구에서는 사람의 실수가 데이터 유출의 주요 원인이라는 사실이 지속적으로 밝혀졌으며, 이에 따라 종합적인 사이버 보안 교육과 강력한 기술 방어의 중요성이 강조됩니다. 디지털 방어를 강화하고 랜섬웨어 위협으로부터 데이터를 보호하기 위해 무엇을 할 수 있는지 아래에서 확인하세요.
소프트웨어 최신 상태로 유지하기
소프트웨어를 정기적으로 업데이트하면 보안 격차를 줄이고 랜섬웨어 감염 위험을 최소화할 수 있습니다. 사이버 범죄자는 오래된 시스템의 알려진 취약점을 악용하는 경우가 많으므로 소프트웨어를 최신 상태를 유지하는 것이 첫 번째 방어선입니다.
VPN 사용하기
VPN 다운로드 시 특히 공공 와이파이 네트워크에서 디지털 보안을 강화할 수 있습니다. VPN은 피싱이나 멀웨어 공격의 피해자가 되는 것을 막아주지는 않지만 인터넷 연결을 암호화하여 사이버 스누퍼와 잠재적인 차단자로부터 데이터를 보호해 줍니다.
강력한 인증 프로세스 사용하기
다단계 인증(MFA) 또는 이중 인증(2FA) 같은 강력한 인증 방법을 사용하세요. 이러한 방법은 중요한 보안 계층을 추가하여 공격자가 자격 증명 중 일부를 얻게 되더라도 무단으로 액세스하는 것을 훨씬 더 어렵게 만듭니다.
경계심과 건전한 의구심 갖기
최신 사이버 위협과 피싱 전술에 경계심을 갖으세요. 예상치 못한 요청이나 메시지(특히 링크나 첨부 파일이 있는 메시지)를 의심하고 답변하거나 클릭하기 전에 진위 여부를 확인하세요.
Hartzell은 “아무도 이메일로 공돈을 보내지 않을 것이며 은행 또한 자금에 관해 우려가 돼도 이메일을 보내진 않을 거예요… 대신 은행에선 전화를 하겠죠. 진짜 변호사가 예상치 못한 곳에서 돈이 왔다고 말할 거고요. ISP는 가정 공유기에서 ‘불량 트래픽’을 감지했다고 전화를 걸지 않습니다. 말도 안 되는 것 같거나 사실이라고 하기엔 너무 좋게 들리면 그렇게 가정하고 믿지 마세요.”라고 설명합니다.
신뢰할 수 있는 보안 소프트웨어 설치하기
실시간 보호를 제공하는 종합 보안 솔루션을 배포하세요. 위협 데이터베이스를 지속적으로 업데이트하고 새로운 위협을 탐지 및 차단하는 강력한 모니터링 도구를 제공하는 안티 멀웨어 및 안티 바이러스 프로그램을 찾아보세요. 고급 보안 소프트웨어를 사용하세요.
ATP(지능형 위협 보안), EDR(엔드포인트 탐지 및 대응), SIEM(보안 정보 및 이벤트 관리) 시스템과 같은 종합 보안 솔루션을 배포하세요. 이러한 도구는 지능형 위협을 탐지하고 이에 대응함에 따라 기존 안티 바이러스 소프트웨어보다 광범위한 방어 메커니즘을 제공합니다.
데이터 백업하기
3개의 데이터 복사본 생성하여 2가지 유형의 미디어에 저장하고 1개의 백업은 오프사이트에 보관하는 3-2-1 백업 규칙을 따르세요. 또한 백업을 정기적으로 테스트하여 공격이 발생할 경우 신속하게 복원할 수 있는지 확인하세요.
정기 교육 및 시뮬레이션 피싱 테스트 받기
최신 사이버 위협 및 방어 전략에 대해 자신과 직원을 교육하세요. 정기적인 교육 세션과 시뮬레이션 공격을 통해 실시간으로 보안 위협을 더 잘 식별하고 대응할 수 있도록 준비할 수 있습니다.
법률 및 규정 준수하기
데이터 보호를 위한 관련 법률 및 규제 제도를 준수하는지 확인하는 것은 보호에 도움이 될 뿐만 아니라 전반적인 사이버 보안 태세를 강화하는 데에도 도움이 됩니다.
랜섬웨어의 피해를 입은 경우 해야 할 일
데이터 및 시스템을 보호하기 위해 최선의 방어를 했음에도 불구하고 랜섬웨어가 여전히 그 방어를 무너뜨릴 수 있다는 것이 불행한 현실입니다. 아주 작은 취약점도 악용하는 사이버 범죄자가 사용하는 전술이 매우 정교하며 끊임없이 진화하기 때문입니다. 이렇게 스트레스가 극심한 상황에서 해야 할 일은 다음과 같습니다.
1. 신속하게 위협 격리하기
랜섬웨어가 더 확산되는 것을 방지하는 것이 첫 번째 단계입니다. 모든 인터넷 및 로컬 네트워크 연결에서 컴퓨터, 스마트폰 등 피해를 입은 기기를 분리하세요. 감염된 기기가 업무 네트워크의 일부인 경우 즉시 IT 부서에 알려 격리 프로토콜을 시작하세요.
2. 몸값 지불 피하기
몸값을 지불하는 것은 빠른 해결책처럼 보일 수도 있지만 파일을 되찾을 것이라는 보장이 없기 때문에 위험합니다. 공격자의 요구에 굴복하는 것은 향후 랜섬웨어 공격의 주기를 더욱 가속화할 뿐입니다.
3. 백업 옵션 평가하기
정기적으로 깨끗한 데이터 백업을 유지한다면 공격자와 교전하지 않고도 파일을 복원할 수 있을 것입니다. 이 단계는 사이버 보안 모범 사례의 일부로서 일관성 있는 백업 전략의 중요성을 강조합니다.
4. 사건 신고하기
지역 법 집행 기관에 사이버 공격을 신고하세요. 지역 법 집행 기관은 그러한 사건에 대한 기록을 관리하고 지원이나 지침을 제공할 수 있습니다. 뿐만 아니라, 특히 공격자가 결제 정보를 입수했을 위험이 있는 경우 유출 사항을 관련 사이버 보안 서비스에 보고하거나 Apple, Microsoft 등의 관련 플랫폼에 직접 보고하세요.
5. 멀웨어 검사하기
평판이 좋은 안티 바이러스 또는 안티 멀웨어 도구를 사용하여 기기에 랜섬웨어 및 기타 악성 소프트웨어의 잔해가 남아있지는 않은지 철저하게 검사하세요. 광범위하게 감염되었을 경우 사이버 보안 전문가와 상담하여 기기를 철저하게 치료하는 것을 고려하세요.
6. 보안 자격 증명 업데이트하기
이메일, 은행 계정 등의 중요한 계정을 포함하여 피해를 입은 기기를 통해 액세스한 모든 계정의 비밀번호를 변경하세요. 또한 가능한 경우 다단계 인증을 활성화하는 것이 현명합니다.
자주 묻는 질문: 랜섬웨어 그룹 관련
가장 큰 랜섬웨어 그룹은 누구인가요?
2024년 5월 현재 가장 두드러지는 랜섬웨어 그룹은 다음과 같습니다.
– REvil/Sodinokibi: 대기업을 표적으로 삼고 상당한 몸값을 요구하는 것으로 알려져 있으며, 2021년 JBS Foods에 대한 악명 높은 공격을 포함하여 세간의 이목을 끄는 수많은 공격의 배후에 있었습니다.
– DarkSide: 2021년 5월, 미국 동부에서 심각한 연료 공급 중단이 발생시킨 Colonial Pipeline에 대한 공격으로 악명이 높아졌으며, 피해자의 데이터를 암호화하고 몸값을 지불하지 않으면 데이터를 유출하겠다고 위협하는 “이중 강탈” 전술을 사용합니다.
– Conti: Ryuk 랜섬웨어의 진화형인 Conti는 2020년부터 활발하게 활동하고 있으며 정부 기관, 의료 서비스, 응급 서비스를 표적으로 하는 대규모 작업과 빠른 암호화 프로세스로 유명합니다.
– LockBit: 2019년에 등장한 LockBit은 서비스형 랜섬웨어(RaaS) 모델로 운영되어 제휴사가 랜섬웨어를 배포하고 핵심 개발자가 수익의 일부를 취합니다. 업데이트된 버전인 LockBit 2.0에는 몸값을 지불하지 않으면 훔친 데이터를 공개하겠다고 위협하는 자동화된 암호화 기능이 도입되었습니다.
랜섬웨어 배후에 있는 사람들은 누구인가요?
랜섬웨어 운영의 배후에 있는 사람들은 조직화된 사이버 범죄 그룹의 일부인 경우가 많으며, 소규모 팀부터 수십 명의 구성원으로 구성된 대규모의 복잡한 네트워크까지 그 크기와 구조는 매우 다양할 수 있습니다. 일반적으로 랜섬웨어 활동에 관여하는 개인 및 그룹의 몇 가지 주요 특징은 다음과 같습니다.
– 사이버 범죄 신디케이트: 가장 유명한 랜섬웨어 그룹 중 다수는 전문 조직(리더, 개발자, 협상가, 제휴사로 구성)처럼 운영됩니다. 이러한 신디케이트는 사이버 범죄 집행이 제한적인 국가에 기반을 두고 있는 경우가 많아 상대적으로 처벌을 받지 않고 운영될 수 있습니다.
– 해커 및 개발자: 랜섬웨어 코드를 생성하고 기능을 업데이트하는 개인으로, 소프트웨어 개발에 능숙하며 소프트웨어 및 네트워크의 취약점을 악용하여 랜섬웨어를 배포하는 경우가 많습니다.
– 제휴사: 서비스형 랜섬웨어(RaaS) 모델에서 랜섬웨어의 핵심 개발자는 멀웨어 유포를 담당할 제휴사를 모집합니다. 이러한 제휴사는 일반적으로 시스템을 감염시키는 노력에 대한 대가로 몸값의 일부를 받게 됩니다.
– 자금 세탁업자 및 금융 처리자: 이러한 운영자는 랜섬웨어 운영에서 금융 거래 및 자금 세탁을 관리합니다. 랜섬웨어 그룹은 암호화폐로 지불할 것을 요구하는 경우가 많은데, 이를 위해서는 추적을 피하기 위한 디지털 통화 관리 및 세탁에 대한 전문 지식이 필요합니다.
– 내부자: 조직 내 내부자(직원, 계약자, 기타 액세스 권한이 있는 개인)가 고의로 또는 무의식적으로 랜섬웨어 공격을 촉진할 수 있는 경우가 있는데, 랜섬웨어 배포를 활성화하는 시스템이나 민감한 정보에 대한 액세스를 제공할 수 있습니다.
– 기술 지원 및 협상가: 일부 그룹에는 피해자와 몸값을 협상하고 몸값 지불 방법을 안내하며 몸값이 지불되면 피해자의 데이터의 암호화를 해독하는 기술을 지원하는 전담 구성원이 있습니다.
랜섬웨어의 세 가지 유형에는 무엇이 있나요?
랜섬웨어의 세 가지 주요 유형은 다음과 같습니다.
1. 암호화 랜섬웨어: 이 유형의 랜섬웨어는 피해자의 시스템에 있는 파일을 암호화하고 몸값이 지불될 때까지 해당 파일에 액세스할 수 없게 만드는 유형의 랜섬웨어입니다. 암호 해독 키는 일반적으로 공격자가 보유하며 파일을 잠금 해제할 수 있는 키를 제공하는 대가로 지불을 요구합니다.
2. 락커 랜섬웨어: 피해자를 시스템 전체에 접근하지 못하게 하는 락커 랜섬웨어는 파일, 애플리케이션, 때로는 운영 체제 자체에 대한 액세스를 차단합니다. 피해자에게는 일반적으로 시스템에 다시 액세스하려면 몸값을 지불하라는 메시지가 표시됩니다.
3. 스케어웨어: 스케어웨어는 사회 공학 전술을 사용하여 피해자가 자신의 컴퓨터가 멀웨어에 감염되었거나 자신이 법적 위반을 저질렀다고 믿도록 속이고 위협 요소를 제거하거나 법적 결과를 피하기 위해 비용을 지불하도록 유도하는 유형의 랜섬웨어입니다.
랜섬웨어로 감옥에 갈 수 있나요?
네, 랜섬웨어 활동에 가담하면 감옥에 갈 수 있습니다. 랜섬웨어 공격은 미국, 유럽 연합 등을 비롯하여 전 세계 수많은 관할권에서 심각한 범죄로 간주되며, 일반적으로 컴퓨터 범죄, 사이버테러, 사기, 강탈과 관련된 법률의 적용을 받습니다.
해커가 되는 것은 불법인가요?
해킹의 합법성은 해커의 동기와 활동에 따라 크게 좌우됩니다. 사이버 보안 세계에서 해커는 그 의도에 따라 화이트 해커와 블랙 해커로 분류됩니다.
합법적인 해킹
화이트 햇 해커 또는 윤리적 해커는 시스템 소유자의 허가를 받아 시스템의 취약점을 식별하고 수정하기 위해 자신의 기술을 사용하는 사이버 보안 전문가로, 법적 및 윤리적 프레임워크 내에서 작업하면서 보안을 강화하고 악의적인 공격으로부터 데이터와 인프라를 보호하는 것을 목표로 합니다.
윤리적 해킹과 비슷한 침투 테스트는 보안 전문가가 시스템에 사이버 공격을 시뮬레이션하여 방어 기능을 테스트하는 승인된 활동입니다. 기업들은 자체 인프라에 대한 침투 테스트를 수행하기 위해 보안 회사를 고용하곤 합니다.
연구원들은 때때로 멀웨어를 연구하거나 취약점을 발견하거나 보안 솔루션을 개발하기 위해 시스템을 해킹하는데, 이러한 유형의 해킹은 대개 시스템 소유자의 허가를 받아 엄격한 윤리적 지침에 따라 수행됩니다.
불법적인 해킹
반대로 블랙 햇 해커는 개인적 또는 악의적인 이익을 위해 데이터 도용, 개인 정보 침해, 시스템 손상 등의 불법적인 활동을 합니다. 금전적 이득이나 스파이 활동 등의 동기에 따른 블랙 햇 해커의 활동은 피해자에게 재정적 손실, 명예훼손 등의 결과를 초래하곤 합니다.
그레이 햇 해커는 화이트 햇 해커와 블랙 햇 해커의 중간 개념으로, 허가 없이 그러나 악의적인 의도 없이 취약점을 식별하고 개발할 수 있으며 때로는 소유자에게 문제를 보고하기도 합니다. 그러나 승인 받지 않은 활동으로 인해 여전히 법적 영향을 받을 수 있습니다.