1분기 랜섬웨어 공격 933건…"비주류 언어 기반 랜섬웨어 주의"

지난 1분기 랜섬웨어 공격이 총 933건 발생했다. 비주류 언어를 쓰는 랜섬웨어 공격 흐름이 나타나 주의가 요구된다.

SK쉴더스는 민간 랜섬웨어 대응 협의체 'KARA'와 함께 이 같은 내용을 담은 '2023년 1분기 랜섬웨어 동향 보고서'를 발간했다고 21일 밝혔다. 클롭(Clop)랜섬웨어 그룹이 파일 전송 SW(소프트웨어) 취약점을 악용해 100여곳이 넘는 기업에 피해를 입히면서 3월에만 464건의 공격이 집중됐다.

이번 보고서에선 '고(Go)', '러스트(Rust)'와 같이 비주류 언어로 개발된 랜섬웨어가 나타나는 점에 주목했다. 이들은 하나의 코드로 다양한 OS(운영체제) 타깃 공격이 가능해 공격범위가 넓다. 기존 주류 언어인 C·C++로 제작된 랜섬웨어보다 분석 데이터가 부족해 탐지 확률이 낮으며, 빠르게 암호화가 가능해 공격자들이 선호하는 것으로 드러났다. 앞으로 비주류 언어를 사용해 탐지를 회피하고 분석을 방해하는 랜섬웨어들이 꾸준히 발견될 전망이다.

보고서에 따르면 피해자를 협박하고 데이터를 유출하는 방법도 점점 다양해지고 있다. 유출된 데이터에 접근하는 동영상을 다크웹에 게시하는 메두사(Medusa)그룹 사례나, 피해기업 사이트와 비슷한 도메인을 생성해 탈취 데이터를 공개하는 행태를 보인 블랙캣(BlackCat)그룹 사례가 대표적이다. 초기 침투를 전문으로 수행하는 IAB(초기접근브로커) 등장도 눈여겨볼 점이다. 이는 공격자들이 서로 역할을 분담해 그룹 규모를 키우기 위한 목적으로도 보인다.

국내기업을 겨냥한 랜섬웨어도 발견됐다. 글로브임포스터(GlobeImposter) 랜섬웨어는 RDP(원격데스크톱프로토콜)를 통해 국내에 유포된 것으로 확인됐으며, 국내 기업 타깃 공격 캠페인이 발견됐다. RDP는 코로나19 이후 원격근무로 사용이 늘어난 만큼 해커의 주요 공격 대상이 되고 있어 사용에 주의가 요구된다. 윈도 OS에 탑재된 비트로커(BitLocker)를 악용해 드라이브를 암호화하고 협박하는 랜섬웨어도 등장했다. 국내 의료기관 및 기업 주요 인프라를 표적으로 삼은 공격 사례가 지속적으로 발견되고 있어 최신 버전 보안 패치 등 조치가 필요하다.

KARA는 다변화·고도화되는 랜섬웨어에 대비하려면 공격 발생 전부터 네트워크와 인프라 및 자산에 대한 관리가 우선적으로 이뤄져야 하고, 사고 대응 프로세스도 철저히 수립돼야 한다고 강조했다. 단계별 보안 요소와 프로세스를 마련해 사전에 예방책을 마련할 것을 제시했다.

김병무 SK쉴더스 클라우드사업본부장은 "세계적으로 랜섬웨어 공격과 협박이 복합적으로 진행되며 그 피해규모는 폭발적으로 증가하고 있어 실질적인 대책 수립이 시급하다"며 "SK쉴더스는 국내에서 유일하게 랜섬웨어 대응서비스를 원스톱으로 제공하고 있는 만큼 선도적으로 대응방안 구축과 서비스 제공에 앞장설 것"이라고 말했다.팽동현기자 dhp@dt.co.kr