반도체 전문 온라인 매거진 - 올포칩

수많은 사이버 범죄자들이 다크웹(Dark Web) 기반의 유출 사이트로 몰리며 2021년 랜섬웨어에 지불된 금액이 역대 최고 기록을 경신했다. 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만, https://www.paloaltonetworks.co.kr)의 최신 보고서에 따르면 2021년 평균 몸값 요구 금액은 전년대비 144% 늘어난 220만 달러를 기록하는 한편, 평균 지불 금액은 78% 늘어난 54만 1,010 달러를 기록한 것으로 조사됐다. 

특히 콘티(Conti) 랜섬웨어 그룹은 2021년 팔로알토 전체 분석 건수 중 1/5 이상을 차지하며 가장 많은 지분을 차지했다. ‘소디노키비(Sodinokibi)’라고도 알려진 ‘레빌(REvil)’이 7.1%, 헬로키티(Hello Kitty)와 포보스(Phobos)가 동일하게 4.8%를 차지하며 그 뒤를 이었다. 콘티 그룹은 특히 다크웹 유출 사이트에 511개 조직의 이름을 올리며 가장 많은 비중을 차지했다. 

이번 랜섬웨어 보고서에는 사이버 탈취 수법이 어떻게 진화했는지에 대한 내용과 지난해 새롭게 등장한 35개의 랜섬웨어 그룹에 대한 정보가 실렸다. 또한 범죄 집단들이 제로 데이 취약점을 활용한 공격에 보다 간편한 툴을 사용함으로써 어떻게 많은 이윤을 달성하고 있는지 등의 내용을 확인할 수 있다. 2021년에 가장 많이 사용된 수법의 특징은 다음과 같다.  

• 다중 갈취 기법: 조직 내 파일을 암호화할 뿐만 아니라 피해자의 이름을 특정하여 수치심을 유발하고 빠른 시일 내 몸값을 지불하지 않으면 DDoS 등의 추가 공격을 실행하겠다고 협박하는 방식이다. 2021년 랜섬웨어 유출 사이트에 게시된 피해자들의 이름 및 공격 시도 증명자료는 2020년 대비 85% 늘어난 2,566건으로 집계됐다. 
• 서비스형 랜섬웨어(RaaS): 일명 ‘스타트업 키트’와 ‘지원 서비스’까지 제공되는 서비스형 랜섬웨어 비즈니스 모델이 사이버 공격의 기술 진입장벽을 크게 낮춰 랜섬웨어가 대량 생산되고, 확산 속도도 빨라졌다. 
• 무기로 악용되는 보안 취약점: 대표적인 사례로 Log4Shell이라고 불리는 CVE-2021-44228 취약점이 있다. 신속하게 패치를 적용하지 않는 경우 공격자들은 대규모 스캔 활동을 통해 취약점을 악성 코드 실행의 통로로 악용한다. 

조사에 따르면 2021년 유출 사이트에 데이터가 게재된 피해 기업 및 조직의 수는 85% 증가하여 2,566곳으로 집계됐다. 지역 별로는 미주가 60%로 가장 많았고, 유럽/중동/아프리카가 31%, 아태지역이 9%를 차지했다. 산업별로 가장 많은 공격을 받은 분야는 전문 법률 서비스를 제공하는 법무 법인, 건설, 도소매, 의료, 제조업 순으로 조사됐다. 

이희만 팔로알토 네트웍스 코리아 대표는 “2021년 랜섬웨어 조사에서 발견된 특징적인 것은 일상적인 활동, 예를 들어 식료품 구입을 구입하고, 차량에 연료를 채우거나, 응급 의료 시스템에 접속하는 등의 경로에 스며들어 있다는 사실”이라고 지적하며, “기업 평판이 생존과도 연결될 수 있는 만큼 리스크에 대비하기 위한 준비도(readiness) 평가를 주기적으로 실시하고, 대응 전략을 구축하는 것이 중요”하다고 강조했다.