1분기 랜섬웨어 23% 증가…FBI 검거된 '록빗' 공격 이어져

올해 1분기 국내에서 발견된 민간 랜섬웨어 공격이 지난 분기보다 23% 늘어난 1122건으로 집계됐다.

SK쉴더스는 이 같은 내용을 담은 2024년 1분기 'KARA 랜섬웨어 동향 보고서'를 3일 발표했다.

1분기에는 시스템 관리도구를 악용하는 공격자들이 늘었다. 공격대상을 위한 맞춤형 툴을 제작하던 과거와 달리 최근 해커들은 탐지를 우회하기 위해 시스템 내부 운영도구나 네트워크 장비 모니터링 소프트웨어를 사용하는 것으로 조사됐다.

BYOVD(Bring Your Own Vulnerable Driver) 기법의 랜섬웨어 공격도 늘었다. 합법적인 전자서명이 돼 있어 시스템은 정상 드라이버로 인식하지만 실제로는 취약점을 가진 드라이버를 공격대상에 투입하는 수법이다. SK쉴더스는 "지난해부터 등장한 이 기법은 관리자 권한보다 높은 시스템 권한을 실행할 수 있어 보안솔루션을 쉽게 우회할 수 있다"며 "각별한 주의가 요구된다"고 밝혔다.

해외에선 최대 규모의 랜섬웨어 그룹 '록빗(LockBit)'이 미국 연방수사국(FBI)에 검거되고도 공격을 이어나가는 추세다. 록빗은 이력서나 입사지원서 등으로 위장한 피싱메일을 유포하는 공격방식을 주로 사용하는 것으로 알려졌다.

김병우 SK쉴더스 정보보안사업부장(부사장)은 "랜섬웨어 그룹들이 공격기법을 최신화하며 보안솔루션과 시스템을 회피하는 방식을 선호하고 있어 선제적인 대응방안 마련이 시급하다"고 말했다.

KARA는 국내 민간 랜섬웨어 대응협의체다. 랜섬웨어 예방부터 복구까지 전 과정에 대응하고 매 분기 랜섬웨어 동향보고서를 발간하고 있다.

성시호 기자 shsung@mt.co.kr