랜섬웨어 공격자들은 높은 수익을 올리며 자신들의 기술과 도구들을 벼리고 있다. 산업 전체가 성장가도에 있기 때문에 이런 노력은 큰 보답으로 되돌아오고, 방어자들이 해야 할 일은 늘어만 간다.

[보안뉴스 문가용 기자] 지난 한 해 랜섬웨어 공격자들은 자신들의 무기와 전략을 꾸준히, 점진적으로 발전시켜 왔다. 그 결과 페이로드로 인한 감염의 주기가 짧아졌고, 그에 따라 방어자의 대응 역시 보다 빨라져야 할 필요가 생겼다. 보안 업체 딥인스팅트(Deep Instinct)가 ‘2022년 사이버 위협 지형도 보고서’를 통해 이러한 상황에 대해 발표했다.


딥인스팅트에 의하면 랜섬웨어 공격자들이 피해자의 시스템에 침투해 가장 많이 하는 일 세 가지가 실행, 공격 지속, 권한 상승이라고 한다. 즉 최초 침투 후 페이로드 실행을 하는 것이 공격자들에게 급선무라는 것이다. ‘횡적으로 움직이기 위해 애쓴다’는 업계 내 관념은 이번 조사를 통해 확실한 근거를 확보하지는 못했다. 참고로 다크웹에서 ‘서비스형 랜섬웨어(돈만 내면 랜섬웨어 페이로드를 가져다 쓸 수 있게 해 주는 유형의 사업 아이템_역주)’라는 사업이 유행하기 시작하면서 탐지되는 랜섬웨어의 수도 15% 증가했다고 한다.

딥인스팅트의 부회장인 쉬몬 오렌(Shimon Oren)은 “당분간 사이버 공간의 상태는 매우 험악할 것”이라고 말한다. 러시아의 우크라이나 침공으로 인해 벌어진 전쟁 때문이다. “양국과 동맹국들의 사이버전, 핵티비스트의 활동, 혼란한 틈을 타 공격의 수위를 높이려는 범죄자들 등 때문입니다. 이런 때는 방어 체계가 보다 더 유연해져야 하고 대응의 속도가 훨씬 빨라져야 합니다.”

자꾸 갱신되는 랜섬웨어의 전성시대
사업 운영자들에게 있어 사이버 위협과 사고는 가장 크게 고려해야 할 리스크 요인 중 하나다. 그런 사이버 위협들 중 현재 가장 거대한 것은 랜섬웨어다. 알리안츠 생명에서 최근 조사한 바에 의하면 57%의 사업 전문가들이 “가장 염려되는 건 랜섬웨어가 대책없이 증가하고 있다는 것”이라고 밝혔다고 한다. 금융 산업 내 조직들의 경우 70%가 랜섬웨어 공격에 당했고, 범인들이 요구한 돈은 평균 9만 1천 달러인 것으로 조사되었다.

랜섬웨어는 대부분의 기업들에 있어 이미 ‘엔데믹’과 같은 존재다. 늘 거대한 지병이나 유행병처럼 우리 주위에 항상 있는 위협이라는 것이다. 이 위험을 줄이려면 네트워크, 업무 프로세스, 사람을 보다 안전하게 강화해야 한다고 보안 전문가 토니 페퍼(Tony Pepper)는 설명한다. “공격자가 아예 쳐들어오지 못하게 하는 것이 가장 좋습니다. 그러려면 무엇보다 이메일을 통한 침투가 되지 않도록 해야 합니다. 멀웨어의 절대 다수가 피싱 이메일을 통해 침투하거든요. 악성 이메일을 탐지하는 기술을 도입하고, 사람들을 교육시키는 게 중요한 이유입니다.”

대부분의 기업들은 사이버 보안 강화를 할 때 ‘사업적 리스크’를 전반적으로 다루려는 경향을 보인다. 특정 유형의 공격만을 염두에 두고 대비하지 않는 것이 보통이다. 83%의 기업들이 피싱 방지 기술을 도입하기 위해 투자를 감행하고, 72%가 사이버 보안 보험에 가입되어 있으며, 64%가 외부 법률 고문을 두고 있고, 55%가 포렌식 수사에 투자했다고 답했을 정도다.

RoI
공격자들에게 있어 특정 기업이나 기관을 공격하는 이유와 공격을 감행할 때의 기본 원리는 바로 RoI다. 투자 대비 수익, 즉 효율성이라는 것이다. 공격에 얼마나 시간과 노력을 들여야 하는지, 그랬을 때 어느 정도의 수익을 올려야 하는지를 비교하여 공격 대상을 정하고 공격을 실행한다. 그렇기 때문에 협박을 받은 기업이 범인들에게 돈을 내도록 만드는 게 중요한데, 공격자들이 최근 ‘협박’의 종류와 수위를 높이는 이유가 바로 이것이다. 데이터를 암호화하고, 유출시키고, 디도스 공격까지 감행하는 식으로 말이다.

보안 업체 사이버아크(CyberArk)는 “얻는 것이 투자보다 많다면 랜섬웨어 공격자들은 자신들의 행위를 멈추지 않을 것”이라고 설명한다. “현재 랜섬웨어의 ROI는 대단히 높은 편입니다. 그러니 산업 전체가 계속해서 성장하는 것이죠. 이런 상황이라면 앞으로 몇 년 동안은 랜섬웨어가 계속해서 우리를 괴롭힐 것입니다. 전혀 줄어들지 않은 상태로요.”

난독화 역시 심상치 않은 속도로 ‘고급화’ 되어가고 있다. 그러므로 미리 탐지한다는 게 점점 어려워지고 있다. 하지만 모든 랜섬웨어가 난독화 되는 건 아니라고 한다. “난독화 기술을 사용하느냐 마느냐, 걸리더라도 얼른 들어가서 빠르게 치고 빠지느냐 마느냐는 전략과 상황에 따라 공격자가 결정하는 겁니다. 그러므로 양쪽 다 대비해야 하고, 유연하게 대처할 수 있어야 합니다.”

오렌은 “탐지 시스템의 현대화도 중요하고, 빠른 사건 대응 능력을 갖추는 것도 중요하다”고 말한다. 그리고 랜섬웨어에 있어서 이 둘은 같은 것이라고 강조한다. “사실 요즘 랜섬웨어 공격들은 초기에 좀처럼 발견되지 않습니다. 랜섬웨어의 특성상 초기 발견에 실패하면 사실상 게임이 끝나죠. 그래서 빠르게 탐지하고, 탐지하자마자 대응할 수 있어야 랜섬웨어에 대한 면역력이 생긴 거라고 말할 수 있습니다.”

러시아-우크라이나의 전쟁으로 콘티 랜섬웨어의 소스코드가 유출된 것 또한 랜섬웨어 산업에 큰 영향을 줄 것이라고 전문가들은 보고 있다. “유명 멀웨어의 소스코드가 유출되면, 그 후로 수년 동안 그 멀웨어의 변종들이 사이버 공간에 넘쳐나게 됩니다. 미라이(Mirai)가 대표적인 사례죠. 지금 이미 여러 공격 단체가 콘티 소스코드를 가지고 이리 저리 연구 중에 있을 겁니다. 이제 콘티의 변종들을 목격할 날이 얼마 남지 않았다고 봅니다.” 사이버아크 측의 설명이다.

참고로 콘티는 이미 네 번째로 가장 많이 발견되는 랜섬웨어 패밀리라고 딥인스팅트는 설명한다.“ 이렇게 인기가 좋은 멀웨어일수록 변종 연구가 활발해질 가능성이 높다”고 덧붙이기도 했다.

3줄 요약
1. 랜섬웨어, 수익성이 워낙 높아서 당분간 계속해서 증가할 것.
2. 빠르게 치고 빠지기도 잘하고, 난독화 기술 활용한 은밀한 공격도 잘하고.
3. 방어자는 조금 더 유연하게, 모든 상황에 대비할 수 있어야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>