• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2023년 2분기, 대규모 공격에 랜섬웨어 112% 급증... 하루 14.4건꼴 2023.07.27

SK쉴더스, ‘KARA 랜섬웨어 동향 보고서’ 발간
2분기 랜섬웨어 공격 건수 1,311건...전년 동기 대비 112%, 지난 분기 대비 40.5%↑
러시아 배후 의심 ‘Clop’ 랜섬웨어 대규모 공격 주도...자선단체에 기부 강요하는 Malas 랜섬웨어 그룹 화제

[보안뉴스 박은주 기자] 2023년 2분기 동안 랜섬웨어 공격 건수가 1,311건 발견됐다. 평균적으로 하루에 약 14.4건의 공격이 발생한 셈이다. 전년 동기 대비 112%, 지난 분기와 비교했을 땐, 40.5% 증가했다.

▲2023년도 2분기와 전년 동기 ‘랜섬웨어 발생 건수’를 나타낸 그래프[자료=SK쉴더스]


이는 5월, 6월에 신규 랜섬웨어 그룹의 공격이 다수 발생한 데 따른 것으로 보인다. 게다가 유명 랜섬웨어 그룹인 Clop(클롭)과 Malas(말라스) 그룹의 대규모 공격도 이어졌다. 이들은 기업에서 사용도가 높은 소트트웨어 및 솔루션의 취약점을 악용해 광범위한 공격을 펼쳤고, 큰 피해를 끼쳤다.

이와 같은 2023년 2분기 랜섬웨어 동향은 SK쉴더스가 발간한 ‘2023년 2분기 KARA 랜섬웨어 동향 보고서’를 통해 확인할 수 있다. ‘KARA’(카라, Korea Anti-Ransomware Alliance)는 SK쉴더스 주도로 구성된 랜섬웨어 대응 민간 협의체다.

이번 보고서에서는 대규모 공격을 주도한 Clop 랜섬웨어 그룹에 대해 상세히 분석했다. 러시아 정부의 지원을 받는 것으로 알려진 Clop 랜섬웨어는 2016년 처음 등장했다. 이후 2019년 다양한 기능을 추가하며 발전해 왔다. Clop은 국내뿐 아니라 전 세계를 타깃으로 한 피싱 공격을 감행하며 이름을 알렸다.

특히, 공격 대상을 명확하게 지정하고 수신자의 언어에 맞춰 본문 내용을 작성하는 등 정교함을 보였다. 지난 5월에는 파일 전송 소프트웨어 MOVEit(무브잇)의 취약점을 악용해 대규모 공격을 수행했다. 데이터 암호화보다 데이터 탈취 후 금전 요구를 선호하는 것으로 나타났다.

보고서는 단기간에 171개 기업에 피해를 준 Malas 그룹의 공격 방식도 다뤘다. 여느 랜섬웨어 그룹이 금전을 갈취하는 방식과는 다르게 비영리 자선단체에 기부를 요구해 눈길을 끌었다. 초기 침투를 전문으로 하는 IAB(Initial Access Broker)의 활동도 지속됐다. 지난 1분기 IAB를 공개적으로 구인한 Bl00dy 그룹을 비롯해, BlackCat(블랙캣), Lockbit 그룹들도 IAB와의 협업을 통해 공격을 수행하며 영향력을 높이고 있다.

국내에서의 랜섬웨어 피해 사례도 다수 발견됐다. Phobos(포보스) 랜섬웨어는 중소기업을 타깃으로 피해 기업에게 금전을 탈취한 후에도 동일한 금액을 재요구하는 악질적인 행태를 보여 특히 주의해야 한다. 또한, 현재까지 발견된 랜섬웨어 중 가장 빠른 암호화 알고리즘을 사용하는 ‘Rorschach’(로르샤흐) 랜섬웨어의 등장과 피해 사례에 관해서도 소개했다.

KARA와 SK쉴더스는 급변하는 랜섬웨어 공격에 대비하기 위해 단계별 보안 요소 및 프로세스를 마련할 것을 강조했다. 우선, 기업이 보유하고 있는 네트워크 및 인프라, 자산 등에 대한 관리가 구조화돼야 하며, 침해 사고 발생 시 대응 프로세스가 제대로 작동하는지 점검해야 한다. 또한, 랜섬웨어 공격이 고도화되고 있는 만큼 랜섬웨어 특화 보안 솔루션 구축과 컨설팅 도입 등을 주문했다.

주요·신규 랜섬웨어 공격 그룹에 대한 동향과 대응 방안이 담긴 2023년 2분기 KARA 랜섬웨어 동향 보고서는 SK쉴더스 홈페이지를 통해 무료로 다운로드 받을 수 있다. SK쉴더스는 KARA 활동을 강화하며 트렌드 변화가 빠르고 위협 규모가 증가하고 있는 랜섬웨어 대응에 적극 대응한다는 방침이다.

SK쉴더스 이재우 EQST 사업그룹장은 “최근 랜섬웨어 공격자들은 단기간에 대규모 공격을 성공시키기 위해 기업에서 주로 사용하는 소프트웨어의 취약점만을 찾거나 초기 침투를 원활하게 하기 위해 IAB와의 협력을 강화하고 있다”며 “고도화되고 있는 랜섬웨어 공격에 대비하기 위해 사고 접수, 대응, 복구, 대책 마련까지 분야별 전문가를 지원하는 원스톱 서비스를 적극 활용하길 바란다”고 말했다.

한편, SK쉴더스는 24시간 365일 대응할 수 있는 랜섬웨어 대응센터를 운영하며 랜섬웨어 탐지에서부터 사고대응, 복구까지 원스톱으로 대응 서비스를 제공하고 있다. SK쉴더스 주도로 운영되는 KARA는 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유 활동을 이어 나가고 있다. 더불어 공공기관과 민간 분야의 랜섬웨어 대응 협력 등의 다양한 활동을 펼치며 효율적인 랜섬웨어 공격 예방 및 대비책 마련에 앞장서고 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>