"재조직‧세분화‧업데이트"…끊임없이 진화하는 랜섬웨어 [데이터링]

[아이뉴스24 김혜경 기자] 랜섬웨어는 수사망을 회피하고 피해 규모를 확대하기 위해 지속적으로 고도화된다. 최근 3.0 버전으로 진화한 '락빗(LockBit)' 랜섬웨어는 활개를 치고 있는 반면 '콘티(Conti)'는 지난 6월부터 자취를 감췄다. 조직이 체포되거나 코드 유출, 수사 회피 등을 이유로 특정 랜섬웨어가 사라지기도 하지만 신규 랜섬웨어의 등장과 중‧소규모 그룹이 빈자리를 차지하면서 피해 규모는 늘어나는 추세다.

25일 SK쉴더스가 발표한 'KARA 랜섬웨어 동향 보고서'에 따르면 올해 1~7월 발생한 랜섬웨어 피해 사고 중 락빗이 총 470건으로 집계돼 가장 큰 비중을 차지했다.

이어 ▲콘티 216건 ▲블랙캣(BlackCat) 140건 ▲하이브(Hive) 102건 ▲블랙바스타(BlackBasta) 92건 순으로 사고 건수가 많았다. KARA는 SK쉴더스의 주도로 구성된 랜섬웨어 대응 민간 협의체다.

KARA는 주목해야 할 랜섬웨어로 '비너스락커(VenusLocker)'와 '귀신(Gwisin)', '포보스(Phobos)'를 꼽았다. 국내를 대상으로 활동하고 있는 비너스락커 그룹은 2016년 처음으로 등장했으며, 이메일 기반의 스피어 피싱(Spear Phishing) 공격 기법을 사용한다.

초기에는 비너스락커 랜섬웨어를 유포했지만 2020년부터는 마콥(Makop) 랜섬웨어를 유포하기 시작했다. 공정거래위원회 등 기관을 사칭하거나 이미지 저작권 위반, 입사지원서 관련 이력서 등으로 위장한다는 점이 특징이다.

올해 7월까지 마콥을 유포하던 해당 조직은 락빗 2.0을 함께 유포하다가 지난달부터는 이력서를 위장한 첨부파일로 락빗 3.0 버전을 사용하기 시작했다. KARA는 보고서를 통해 "락빗은 서비스형 랜섬웨어(RaaS) 형태의 조직화된 그룹으로 다크웹 2차 유출, 감염자 수를 기준으로 봤을 때 현재 가장 파급력이 있는 그룹으로 볼 수 있다"고 분석했다.

지난해 8~9월 최초로 발견된 귀신 랜섬웨어는 한국 기업만 겨냥해 공격을 감행하고 있다. 전문가들은 공격자가 ▲국내 기업을 타깃으로 한다는 점 ▲한글 키보드 사용에 능숙하다는 점 ▲국내 사이버보안 유관기관을 랜섬노트(협박 메시지)에 언급했다는 점 등으로 미뤄봤을 때 한국어를 사용하는 조직이거나 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다.

이벤트 로그 삭제, 키값 사용 등 탐지를 회피하기 위한 전략을 채택하고 있다는 점도 특징이다. KARA는 "일부 공격 기법의 유사성, 한글 사용 등으로 미뤄봤을 때 일각에서는 북한과의 관련성을 의심하고 있지만 코드 유사성, 북한 IP 등 정확한 근거가 확인되지는 않았다"고 전했다.

RaaS 형태의 포보스 랜섬웨어는 2017년 10월 등장한 이후 2018년 12월 활성화된 것으로 확인된다. 2019년 4월 업데이트를 진행한 후 같은달 포럼을 통해 새로운 파트너를 모집하는 공고를 게재하는 등 활발한 움직임을 보이고 있는 랜섬웨어다.

최초 발견된 랜섬노트(협박문)에는 포보스 문구가 표기됐지만 최근 발견된 변종 랜섬웨어에서는 해당 문구가 사라진 것으로 나타났다. 해당 랜섬웨어는 '다르마(Dharma)' 랜섬웨어와 코드 베이스, 랜섬노트 등이 유사해 같은 계열의 랜섬웨어로 알려졌다.

다르마는 2016년 발견된 '크라이시스(Crysis)' 랜섬웨어의 후속 버전으로 같은해 제작자가 소스코드를 공개하면서 재탄생했고, 이어 2018년 후속주자로 등장한 것이 포보스라고 KARA는 설명했다.

KARA는 "공격자는 공격대상을 선정하기 위해 다양한 방법으로 정찰을 수행하며 이후 내부 인프라에 침입, 파일을 암호화하고 협박을 시도한다"며 "타겟형 지능형지속위협(APT) 공격에 대한 적절한 보안 요소와 프로세스를 마련해 공격자가 목표를 달성하기 전 탐지·차단해야 한다"고 전했다.

김혜경 기자의 다른 기사 보기

• 'RaaS'로 누구나 랜섬웨어 공격자가 된다

• RaaS 패권 노리는 '락빗' 랜섬웨어…"올해 1Q 46%"