전 세계 법률 집행 기관이 랜섬웨어 공격을 단속하려 합동 노력을 펼친 가운데, 2022년 들어 랜섬웨어 피해자가 해커 세력에게 건넨 금액과 공격 건수 모두 감소했다. 그러나 감소 추세는 2023년까지 이어지지 않은 것으로 보인다. 2023년 들어 랜섬웨어 공격이 다시 급속도로 증가했기 때문이다.
암호화폐 추적 기업 체이널리시스(Chainalysis)는 2023년 상반기 랜섬웨어 조직이 피해자에게서 갈취한 금액이 4억 4,910만 달러에 이르렀다는 데이터를 공개했다. 2022년 내내 랜섬웨어 피해 기관이 해커 조직에 건넨 금액은 총합 5억 달러를 넘기지 않았다. 만약, 2023년 상반기와 같은 수준으로 랜섬웨어 피해 기관이 해커 조직에 건네는 금액이 계속 증가한다면, 2023년 전체 피해 금액은 8억 9,860만 달러에 육박할 것으로 추산된다. 체이널리시스는 랜섬웨어 해커 세력이 피해 기관이 총 9억 3,990만 달러를 갈취했던 2021년에 이어 2023년도 랜섬웨어 조직의 갈취 금액이 두 번째로 가장 많을 수도 있다고 전했다.
체이널리시스는 2023년 들어 급격히 증가한 공격 건수를 연구하는 여러 연구 기관의 전반적인 관측 상황을 추적하면서 랜섬웨어 조직이 갈취하는 금액이 증가한다는 사실을 확인했다. 게다가 랜섬웨어 세력이 민감 정보 공개와 탈취 정보 피해 우려를 두고 이전보다 더 무자비한 공격을 개시하는 추세이다. 최근, 맨체스터대학교 랜섬웨어 공격 발생 당시 해커 세력은 재학생에게 7TB 상당의 데이터가 탈취되었다고 밝히며, 맨체스터대학교 측이 데이터 비용을 건네지 않을 때는 탈취한 개인 정보와 연구 자료 모두 유포할 계획이라고 위협했다.
체이널리시스 사이버 위협 정보 책임자 재키 번스 코벤(Jackie Burns Koven)은 “2022년, 랜섬웨어 조직의 범죄 수익이 줄어든 탓에 피해 기관을 대상으로 더 심각한 고통을 주려 이전보다 더 강력한 공격 수법을 개시한 것으로 보인다. 2022년, 랜섬웨어 공격과 랜섬웨어 조직의 갈취 금액이 줄어든 사실을 확인한 뒤 놀랐다. 그리고 사건 대응 기업, 보험사 등 여러 외부 협력사와 대화한 뒤 실제로 랜섬웨어 피해 기관에 지급하는 금액과 공격 건수 모두 감소 추세를 체감한 사실을 알게 되었다”라고 설명했다.
[사진=Freepik]
체이널리시스를 포함한 다수 기업이 2022년 경제 하락세를 랜섬웨어 범죄 수익 감소 요인 중 하나로 지목한다. 보안 보호 조처와 대비 수준을 확장한 것이 효과가 있었다. 민간 기업과 미국 연방수사국(FBI)이 랜섬웨어 피해자를 돕고자 랜섬웨어 조직이 요구하는 돈을 건네지 않고도 데이터 암호화를 해제하도록 제공한 암호화 해제 툴을 사용할 수 있게 된 것도 도움이 되었다. 체이널리시스는 러시아의 우크라이나 침략이 주로 러시아에 본거지를 두고 매일 같이 사이버 공격을 개시하던 유력 랜섬웨어 조직 수 감소에도 도움이 된 것으로 분석했다.
잠재적인 피해자가 정부의 피해 억제 계획과 함께 자체적으로 보호할 수 있는 수준이 개선된 상황에서도 2023년 랜섬웨어 공격 건수는 줄어들지 않았다. 그러나 체이널리시스 연구팀은 러시아의 우크리아나 침략 상황이 서서히 바뀐 것이 2023년 들어 랜섬웨어 활동 증가를 설명할 수 있는 요인이거나 적어도 랜섬웨어 공격 증가 추세에 영향을 미친 것으로 추측한다.
코벤은 “우크라이나 전쟁 상황이 주목할 만한 수준으로 바뀐 것이 랜섬웨어 공격 증가 추세에 영향을 미쳤다고 본다. 랜섬웨어 조직의 안전한 지역 정착이나 군사 작전 종료, 무차별적인 공격 의무화 등 무엇이 되었든 우크라이나 전쟁이 어느 정도 영향을 미쳤을 수도 있다”라고 말했다.
암호화폐 감시 및 추적 전문 연구 기업인 체이널리시스의 연구팀은 랜섬웨어 피해 기관이 건넨 금액 범위와 규모도 자세히 파악했다. 체이널리시스는 이전과 변화 없는 접근 방식을 택해, 연간 랜섬웨어 전체 피해 금액을 포함한 다양한 수치 분석 결과를 회고적으로 꾸준히 재공개하는 동시에 기존 거래 기록을 널리 알린다. 하지만 연구팀은 전체적으로 실제 랜섬웨어 공격 건수나 피해 기관을 대상으로 한 갈취 금액 모두 사실상 현재 접할 수 있는 정보로는 계산할 수 없는 수준이라는 점을 강조한다. 게다가 체이널리시스나 정부 추적 결과로 추산한 수치 모두 포괄적인 추세 특성이 있을 때만 사용할 수 있다.
영국 군사 및 보안 국책 연구소인 왕립합동국방안보연구소(Royal United Services Institute) 소속 애널리스트 피아 후쉬(Pia Huesch)는 “체이널리시스는 지금도 실제 랜섬웨어 공격 건수를 제대로 확인할 심층 분석 정보가 적다”라고 지적했다. 이어, 기업이 지금도 명성 실추를 우려하여 랜섬웨어 피해 사실을 이야기하는 것을 꺼린다고 덧붙였다.
2023년 5월, 영국 국가 사이버 보안 센터(National Cybersecurity Center)와 데이터 규제 기관인 정보 위원회(Information Commissioner's Office)는 랜섬웨어 공격 피해 발생 사실을 신고하지 않고, 피해자는 랜섬웨어 조직이 요구하는 금액을 건넬 것이라는 우려를 제기했다. 또, 랜섬웨어 공격 발생 사실을 숨긴다면, 공격 건수가 증가할 뿐이라고 덧붙였다.
후쉬는 “사이버 범죄에 가담한 개인은 여전히 기소 위험성보다 범죄 수익을 더 중요하게 생각한다”라고 언급했다.
체이널리시스 연구팀은 직접 조사한 정보 이외에도 랜섬웨어 공격 수익 독자적 검토 능력을 떠나 2023년 랜섬웨어 공격 건수와 랜섬웨어 조직의 갈취 금액 모두 증가한 사실이 치명적인 위협을 나타낸다는 점에 동의했다. 또, 주로 러시아에 본거지를 두고 가장 널리 세력을 확산한 랜섬웨어 조직은 방어 시도와 현재의 예방 수준에 맞설 정도로 랜섬웨어 세력의 위협도 더 심각한 수준이 되었다는 점에도 동의했다.
보안 기업 레코디드 퓨처(Recorded Future) 소속 랜섬웨어 전문 애널리스트 알란 리스카(Allan Liska)는 “지금도 랜섬웨어 공격을 개시하는 세력은 공격과 피해자 위협을 통한 금전 갈취에 능숙하며, 기관은 랜섬웨어 조직이 진입할 만한 모든 지점을 방어하기 어려울 것이다. 게다가 현재 공격을 개시하는 조직은 새로운 수법에 능숙하다는 더 심각한 문제점도 있다”라고 설명했다.
사이버 보안 연구원과 각국 정부 기관 모두 주목하는 공격 전략 중 하나는 랜섬웨어 조직이 널리 사용되는 제품의 취약점을 발견하여 한 번에 다수 기관을 대상으로 금전 갈취 작전을 개시하는 이른바 ‘대규모 악용 작전’이다. 러시아 랜섬웨어 조직 클롭(Clop)은 대규모 악용 작전 전략을 바꾸었다.
최근 들어 랜섬웨어 공격 세력에 유리한 쪽으로 상황이 반전되어 2022년 이후 랜섬웨어 공격 감소를 바라던 이들이 맞이할 미래는 밝지 않다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202307/4883_6385_955.jpg)
뉴스레터 신청