中企 사이버공격, ‘가장 악랄한 4개 렌섬웨어’

[애플경제 김예지 기자] 2024년 1분기부터 3분기까지 중소기업 사이버 침해사고 중 가장 많은 유형은 해킹경유지로 확인되었다. 그 뒤를 이어 랜섬웨어, 포털사이트 피싱, 웹페이지변조 순으로 사고가 많이 일어났다. 그중 랜섬웨어 사고의 비율이 1분기 12.3%, 2분기 14.3%, 3분기 19.6%로 2분기에 비해 5.2% 증가율을 보였다. 특히 랜섬웨어는 전체 사고 유형 중에서 3분기에는 가장 많은 비중을 차지했다.

2024년 주요 랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화된 공격 방식을 동원하고 있다. 과거에는 특정 기업이나 조직을 목표로 한 제한적인 공격이 주를 이루었으나, 현재는 공격 대상이 광범위해지고 공격 기법 또한 다양해진 상황이다. 특히, Ransomware-as-a-Service (RaaS) 모델의 등장으로 누구나 랜섬웨어를 쉽게 배포할 수 있게 되었으며, 이를 통해 공격이 더욱 조직적이고 빠르게 확산되고 있다.

최근 랜섬웨어 공격은 파일 암호화 뿐 아니라, 기업의 핵심 시스템 마비, 백업 데이터 삭제 등 다양한 방법으로 지속적인 피해를 유발한다. 인터넷진흥원은 “금년에 가장 기승을 떤 랜섬웨어 유형은 Phobos, LockBit, BitLocker, Mallox 순으로 확인된다.”고 밝혔다.

그 중 ▲‘Phobos’ 랜섬웨어는 지난 2019년 5월에 처음 등장했다. Dharma나 CrySis 랜섬웨어와 기술적, 운영상 유사한 변종이다. 오픈소스 보고서에 따르면, Phobos 관련 변종도 Elking, Eight, Devos, Backmydat, Faust 등으로 다양하다. 이들은 주로 외부에 노출된 보안이 취약한 원격 데스크톱 프로토콜(RDP) 서비스를 공격 벡터로 사용, 살포되는게 특징이다. 이를 통해 공격자는 쉽게 시스템에 접근, 랜섬웨어를 배포하고 피해를 확산시킨다.

Phobos 계열 랜섬웨어는 txt 파일과 hta 파일을 생성한다. txt 파일에는 공격자의 메일 주소를 제시하면서 연락을 유도하는 내용이 들어있다. hta 파일은 피해 업체 시스템의 화면에 띄워, “중간 업자를 이용할 경우 발생될 수 있는 단점 3가지”를 알려준다며 직접 연락을 취하도록 유도한다. 그리고 “파일을 복구할 수 있는 데모를 보여준다”며 피해 업체가 직접 협상하도록 유도한다.

▲LockBit 랜섬웨어는 2019년 9월에 처음 등장한 랜섬웨어다. 이후 여러 차례 업데이트를 거쳐 LockBit 1.0, 2.0, 3.0버전으로 진화했다. 이 랜섬웨어는 암호화 방식을 지속적으로 개선하고, 보안 제품 탐지 우회 기능을 추가하면서 점점 고도화되었다. LockBit는 주로 Ransomware-as-a-Service (RaaS) 형태로 운영되며, 누구나 이 랜섬웨어를 사용할 수 있도록 서비스 형태로 제공, 공격이 빠르게 확산되고 있다.

이 랜섬웨어는 악성코드 실행 전 네트워크 스캔을 통해 네트워크 상의 여러 장비를 대상으로 빠르게 확산된다. 특히 외부에 노출된 취약한 원격 데스크톱 서비스(RDP) 또는 가상 사설망(VPN)을 공격 벡터로 사용, 기업 시스템에 침투하는 것이 특징이다. 공격자가 시스템에 쉽게 접근해 랜섬웨어를 배포하고, 데이터 암호화와 데이터 유출을 동시에 시도, 피해를 극대화한다. 특히 LockBit 3.0은 ‘이중 협박’ 전술을 도입, 데이터를 암호화하는 것 외에도 데이터 유출을 통해 추가적인 협박을 가하는 것이 특징이다. 특히 “LockBit 랜섬노트에는 복구를 원하지 않아도 비용을 지불할 경우 전체 보안 평가 서비스를 제공해 준다”면서 “취약점 제거를 도와준다”는 내용이 들어가 있다며 주의를 당부했다.

▲BitLocker는 마이크로소프트의 BitLocker 드라이브 암호화 기술을 악용, 피해자의 데이터를 암호화한다. BitLocker는 다른 랜섬웨어와 달리, 시스템의 내장 암호화 기능을 사용해 데이터를 잠가버리는 독특한 방식을 구사한다. 주로 외부에 노출된 취약한 원격 데스크톱 서비스나, 가상 사설망을 통해 네트워크에 침투한다. 시스템에 접근한 후 BitLocker 기능을 활성화, 드라이브를 암호화하고, 피해자가 접근할 수 없도록 한다. 이런 공격 방식은 데이터를 암호화하는 동시에 기업의 시스템 복구를 어렵게 만들어 공격의 효과를 극대화한다.

BitLocker는 LockBit 랜섬웨어와 유사하게 RaaS 모델을 통해 배포되며, 누구나 이를 구매해 사용할 수 있다. 이 역시 최근에는 ‘이중 협박’ 전술을 사용, 데이터 암호화뿐만 아니라 데이터 유출을 통한 협박도 함께 진행하고 있다. 기업에게 단순한 금전적 요구를 넘어 장기적인 피해를 초래할 수 있는 위협으로 작용하고 있다.

이는 특히 ‘단대단’ 암호화를 제공하는 P2P 인스턴스 메신저인 Tox를 이용, 연락을 취하도록 유도한다. 그러면서 “72시간 내 연락하지 않으면 복구할 수 없다”는 협박과 함께 “몸값 지불을 거절할 경우 다크웹에 데이터를 공개하겠다”는 내용을 랜섬노트에 작성, 협박하기도 한다.

▲Mallox 랜섬웨어는 TargetCompany, Fargo 등의 이름으로도 알려져 있으며, 2021년 6월에 처음 등장했다. 이는 스팸 메일이나 취약한 MS-SQL 서버를 통해 유포되는 것으로 알려져 있다. 2022년부터는 다른 랜섬웨어와 마찬가지로 단순한 데이터 암호화를 넘어 정보 유출을 통한 ‘이중 협박’ 전략을 사용하기 시작했다.

Mallox 계열 랜섬노트에는 피해자가 Tor 브라우저를 통해 공격자와 연락할 수 있는 방식에 대한 안내가 포함되어 있다. 랜섬노트에 작성된 개인키를 통해 공격자와 실시간 채팅할 수 있다. 또한, 유출된 업체의 데이터가 저장된 사이트 링크 및 공격자의 가상 화폐 지갑 주소와 데이터 복구에 필요한 금액도 명시되어 있다.