“기업 보안팀 부재 ‘심야시간’, 랜섬웨어 공격 집중”

[애플경제 이윤순 기자] 대부분의 랜섬웨어 공격은 보안팀이 퇴근하거나 근무하지 않는 야간에 발생하는 것으로 밝혀졌다. 지난해의 경우 특히 전세계 기업들 대부분이 업무를 종료한 후인 새벽 1시에서 5시 사이의 취약 시간에 발생했다. 또 공격 대상 기업의 환경이나 시스템을 역으로 이용하는 이른바 ‘자급자족 공격 수법’이 더욱 발달한 것으로 나타났다.

사이버보안 전문업체인 ‘멀웨어바이츠’는 20일 “대부분의 공격이 보안 직원이 근무하지 않는 밤에 발생한 것으로 조사되었다”며 이같은 연구결과를 담은 ‘ThreatDown 2024 랜섬웨어 현황 보고서’를 공개했다.

이에 따르면 작년에 전 세계 랜섬웨어 공격은 무려 33%나 증가했다. 특히 영국과 미국 등 가장 많이 타깃이 된 국가일수록 그 증가폭도 컸다. 영국은 알려진 공격만해도 67%나 증가했고, 미국은 63% 증가했다. 또 프랑스, 이탈리아, 독일, 호주, 브라질, 인도 등도 사이버공격을 많이 당한 대표적인 국가들이다.

“일요일 새벽 2시, 해킹 막아낼 기업 없어”

시장분석기관인 IDC는 이에 대해 “과연 일요일 새벽 2시에 기존의 기술 스택과 보안 시스템으로 사이버공격을 막을 준비가 된 기업이 몇이나 되겠는가”라고 반문했다. 설사 월요일 아침에라도 이를 포착할 수는 있지만, 그때쯤이면 이미 너무 늦은 것이다. 해커들이 네트워크를 손상시키고, 데이터를 다운로드하고, 랜섬웨어를 배포하기 위해 빠르게 움직이고 있을 때다.

이런 연구결과를 공개한 멀웨어바이츠의 CEO인 마르신 클레진스키는 블로그를 통해 “랜섬웨어 갱단은 시간과 동기를 가지고 있다. 끊임없이 진화하면서, 첨단 보안 기술의 허점을 찾아 공격에 나선다”고 했다. 특히 지난해부터 AI기술을 접목해 엔드포인트의 보안상황을 면밀히 탐지하는 EDR과 같은 기술이 널리 채택되면서 해커들도 이를 피하기 위한 수법을 개발하고 있다. 이들은 공격 템포를 더 빠르게 하고, 은신과 우회 기술을 날로 발전시키고 있다. 보안팀이 부재한 심야나 취약시간을 노린 것도 그런 전술의 일환이다.

특히 최근의 특징은 소규모 랜섬웨어 그룹이 더욱 기승을 떨고 있다는 점이다. 종전엔 대체로 상위 15개 가량의 활동적이면서도 규모가 큰 해커 그룹이 주요국들에 대한 사이버공격에 앞장섰다. 그러나 최근엔 소규모 갱단이 수행하는 랜섬웨어 공격의 비율이 급격히 늘어나고 있다. ‘쓰렛다운’ 보고서에 의하면 그 비율이 작년에 25%에서 31%로 증가했다. 이는 설사 경험이 부족한 해커일지라도 그 만큼 손쉽게 랜섬웨어 공격을 할 수 있다는 뜻이기도 하다.

해킹에도 AI기술 적극 구사, ‘방어’ 쉽지 않아

문제는 해킹에도 AI기술이 동원되고 있다는 사실이다. 지난 1월, 영국의 국가 사이버 보안 센터는 “AI 기술이 새롭게 등장하면서 진입 장벽이 낮아져 랜섬웨어 위협이 더욱 증가할 것”으로 우려했다. 심지어는 “랜섬웨어 협상을 진행하는 콜센터에서조차 생성 AI가 사용될 수 있다”는 것이다.

이번 멀웨어바이츠 보고서는 또한 “가장 유명한 랜섬웨어 그룹인 록빗(LockBit)이 그전보다 많은 해킹을 감행했다”면서 “그럼에도 불구하고 록빗의 소행으로 밝혀진 것은 전체 랜섬웨어 공격 가운데 20%에 불과하다”고 밝혔다. 한 해 전 26%에서 6%나 줄어든 것이다.

두 번째로 많은 사이버공격을 퍼부었던 랜섬웨어 그룹 ‘ALPHV’도 지난 2월에 Change Healthcare에 대한 부주의하게 실행된 사이버 공격 이후 사라지다시피 했다. 이 그룹은 제휴사에 2,200만 달러의 몸값 중 일부를 지불하지 않았기 때문에 제휴사가 이를 폭로했고, ALPHV는 큰 타격을 입고 운영을 중단한 것이다. 이처럼 ALPHV가 사라지고 록빗의 미래도 불확실해진 상황이다. 이에 또 다른 (소규모) 갱단들이 제휴사를 유치하고, 랜섬웨어의 지배적인 세력으로 대체하려 한다는 얘기다.

세계 각국 피해 기업, 몸값 금액 해마다 증가

랜섬웨어는 전 세계적으로 날로 증가하고 있다. 2023년에 공격을 받는 기업 수가 27% 증가하고 몸값으로 지불한 돈이 처음으로 10억 달러(7억 9천만 파운드)를 넘어섰다. 전 세계적으로 랜섬웨어 피해 금액은 2031년까지 2,650억 달러를 초과할 것으로 예상된다.

멀웨어바이츠는 “보안팀이 없는 심야 시간을 노린 랜섬웨어 공격자들의 해킹은 더욱 극성을 부린다”면서 “특히 각종 인프라와 서비스 산업이 집중 타깃이 되고 있다”고 우려했다.

보고서는 또한 미국이 전 세계 랜섬웨어 공격의 거의 절반을 차지한다고 전했다. 특히 교육 부문에선 전체 글로벌 사이버 공격의 60%가 미국에 대한 공격이며, 의료 부문은 그 보다 더 많은 71%에 달하기도 한다. 글로벌 제조 부문은 랜섬웨어 공격이 전년 대비 71% 증가한 것으로 나타났다. 이는 산업 각 부문의 소프트웨어 지출 증가 규모와 정비례하고 있다.

‘기업체의 보안 도구를 거꾸로 무기화하기도’

‘스펫다운’ 보고서에 의하면 록빗, 아키라(Akira), 메두사(Medusa) 등 대표적인 랜섬웨어 갱단들은 스스로 사이버공격 기술을 개발, 보급하고 있다. 이른바 ‘해킹 기술의 자급자족’ 현상이다. 이는 공격 대상이 되는 기업이나 조직의 보안 시스템의 보안 도구와 소프트웨어를 역이용하며, 탐지를 피하는 것이다.

이를 통해 공격자들은 이미 보안 테스트를 거친 기업체의 보안 도구를 거꾸로 무기화하기도 한다. 그 때문에 탐지와 예방도 더 어려워진다는 보고다. 지난 5월 구글 자회사인 맨디안트(Mandiant)이 내놓은 ‘M-Trends 2024 보고서’ 역시 “자급자족형 사이버 공격이 증가했다”고 밝힌 바 있다.

다만 글로벌 사이버 공격 조직의 중간 체류 시간, 즉 공격 대상인 기업이나 조직의 시스템 내에서 탐지되지 않은 시간은 한 해전의 16일에서 10일로 줄어든 것으로 나타났다. 이는 보안 역량이 늘어난 것이라기보다, 해커들이 초기 액세스에서 데이터 암호화에 이르기까지 걸리는 전체 랜섬웨어 공격 사이클이 몇 주에서 몇 시간으로 단축되었음을 보여주는 것이다. 그 만큼 “공격 타임라인이 빨라진 것”이란 지적이다.