5월 한 달간 전 세계 484건 피해…12% 감소했지만 위협은 여전
세계 최대 조직 록빗(LockBit)도 역해킹…몸값 요구 수법도 고도화
[서울=뉴시스]
[서울=뉴시스]송혜리 기자 = #온라인 서점 및 티켓예매 플랫폼 예스24는 지난 9일 랜섬웨어 해킹 공격으로 닷새 동안 홈페이지와 애플리케이션 접속 장애를 겪었다. 2000만명에 달하는 이용자들은 사고 발생 이후 도서, 공연 티켓, 이북(eBook) 등 예스24의 전 서비스가 마비되면서 큰 불편을 겪었다.
예스24는 사고 발생 일주일 만에 대표 명의의 사과문을 발표했고, 랜섬웨어 공격으로 공연을 정상 관람하지 못한 이용자에게는 티켓 금액의 120%를 예치금 형식으로 보상하고 배송 지연을 겪은 도서·음반 구매 사람에게도 포인트 보상을 진행한다고 밝혔다.
이처럼 랜섬웨어에 의한 피해가 실제 소비자 일상에까지 직접적인 영향을 미치는 가운데, 사이버 보안 기업 SK쉴더스는 사이버 위협 분석 보고서 'EQST 인사이트' 6월호를 통해 지난달 전 세계에서 총 484건의 랜섬웨어 피해가 발생했다고 밝혔다.
이는 전월 550건 대비 12% 감소한 수치지만, 소스코드 유출로 인한 변종과 신규 해킹 조직의 잇단 등장이 이어지면서 오히려 공격 위험은 더 커지고 있다고 회사는 분석했다.
SK쉴더스는 이번 보고서를 통해 진화하는 랜섬웨어 그룹들의 공격 양상을 다각도로 분석했다.
특히 지난달 초에는 세계 최대 규모의 랜섬웨어 조직 중 하나인 록빗(LockBit)의 다크웹 유출 사이트가 역해킹을 당하는 이례적인 사건이 발생했다.
해커는 관리 패널까지 침입해 내부 데이터베이스 일부를 훔쳤는데, 이 안에는 가상화폐 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함된 것으로 확인됐다. 해당 해킹으로 인해 록빗 평판이 훼손됐음은 물론, 이달 초까지 다크웹 유출 사이트가 오픈 되지 않고 있는 상태로 보아 운영에 큰 차질이 생긴 것으로 보인다.
국내에서도 침해 사례가 잇따라 확인됐다. 라로드(RaLord)라는 이름으로 활동을 시작한 후, 지난달에 노바(Nova)로 이름을 바꾼 랜섬웨어 그룹이 국내 한 대학교를 공격해 내부 문서, 보고서, 포털 사이트 소스코드, 데이터베이스, 학생 정보 등을 탈취했다고 주장했다.
이후 이달 초 다크웹에 일부 데이터가 공개됐지만 개인 정보는 포함되지 않았고 포털 사이트 소스코드와 데이터베이스 관련 정보만 확인된 것으로 파악됐다.
TCR팀은 국내 금융과 제조 분야의 기업 두 곳을 공격했다. 다크웹 유출 사이트에선 협상에 실패한 기업으로 분류돼 일부 데이터가 공개됐다.
해당 데이터에는 내부 문서와 직원 개인정보가 포함돼있는 것으로 확인됐다. 약 2 주 뒤 공개된 데이터가 삭제됐고 지난달 말에는 다크웹 유출 사이트가 비활성화 돼 접속이 불가능한 상태다.
눈에 띄는 신규 랜섬웨어 그룹으로는 데브맨(Devman)이 꼽혔다. 지난 4월 처음 등장한 데브맨은 케냐의 공공 연금 기관인 NSSF 케냐를 공격해 2.5테라바이트(TB) 규모의 데이터를 훔쳤다고 주장했고 필리핀의 언론사 GMA 네트워크의 서버를 암호화하는 등의 피해도 입혔다.
특히 이들은 SNS(X, 구 트위터)를 통해 공격 증거 스크린샷과 협박 메시지를 공개하고 450만달러(한화 약 61억원)에 달하는 몸값을 요구하는 등 협상 방식도 점차 고도화하고 있다.
아울러 지난달 가장 활발하게 활동한 랜섬웨어 그룹은 세이프페이(SafePay)로, 총 72건의 공격을 감행했다. 이들은 체코의 공립 고등학교와 호주의 법률회사를 공격해 각각 30GB, 200GB 규모의 민감 정보를 유출했으며 학생 정보, 법률 문서, 고객 자료 등을 다크웹에 공개한 것으로 알려졌다.
SK쉴더스는 이처럼 고도화된 랜섬웨어 공격에 대응하기 위해 24시간 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응(MDR, Managed Detection and Response) 서비스 도입을 권고했다.
구독형 형태로 제공되는 MDR 서비스는 초기 비용 부담이 적다. 이 때문에 내부 보안 인력이 부족한 중소기업이나 기관에서도 비교적 쉽게 도입할 수 있어 효과적인 보안 대안으로 주목받고 있다.
SK쉴더스 관계자는 "최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다"며 "국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서, 실시간 탐지와 대응이 가능한 MDR 서비스가 효과적인 대응 수단으로 권장된다"고 말했다.
☞공감언론 뉴시스 chewoo@newsis.com
Copyright © 뉴시스. 무단전재 및 재배포 금지.
매주 일요일 밤 0시에 랭킹을 초기화합니다.