전문가 “‘콘티’, ‘마즈’ 등 없어진 범죄집단 출신 들 새로 ‘개업’”
예전 써먹던 수법과 관행 그대로 반복, “사이버 방어 기술에 유리한 힌트”
[애플경제 전윤미 기자] 2023년 들어 부쩍 랜섬웨어 그룹의 공격이 기승을 떨면서 전세계적으로 무려 29개나 되는 새로운 랜섬웨어 그룹이 새로 등장한 것으로 나타났다.
사이버보안기업인 ‘With Secure’의 최근 조사에 따르면 특히 2023년 첫 3분기 동안 공격이 급증했다. 이는 새로운 랜섬웨어 그룹들이 급증하면서 사이버공격 역시 크게 증가한 것으로 나타났다.
이에 따르면 2023년 첫 9개월 동안 60개의 랜섬웨어 그룹의 활동을 추적한 결과, 그 중 29개는 새로 등장한 그룹으로 확인되었다. 그 때문에 2023년 1~3분기 동안 데이터 유출 건수가 크게 증가했다. 이에 위드시큐어는 “새로 등장한 랜섬웨어 그룹의 영향이 상당 부분 작용한 것으로 밝혀졌다”고 전했다.
보안기업 ‘위드 시큐어’ 조사
이들은 대체로 악명높은 ‘Conti Group’처럼 현재는 없어진 사이버 공격 집단의 계열사이거나 이전 구성원일 것으로 추정된다.
‘Conti Group’은 다중 지점 갈취 공격을 실행하는 것으로 알려졌던 악명높은 집단이다. 즉 사이버공격자가 다양한 갈취 전략을 사용하여 피해자에게 더 높은 몸값을 지불하도록 강요하는 랜섬웨어 수법이다.
이같은 공격 유형의 대표적 사례 중엔 ‘Maze’도 있다. 이는 한때 극성을 떨었던 다중 강탈 랜섬웨어 수법을 전문으로 하는 집단이었다. 이들은 피해자의 데이터를 유출하거나, 암호화한 후 해당 데이터를 게시하겠다고 위협한다. 아니면 이를 피해 기업의 동종 업계 경쟁업체에 제공할 것이라며, 피해자에게 ‘몸값’을 강요하는 수법을 구사하기도 한다.
‘위드시큐어’ 보고서에 따르면 2023년 첫 3개월 동안 이같은 랜섬웨어 공격이 부쩍 심해졌다. 조사 결과에 따르면 2022년 같은 기간에 비해 랜섬웨어 그룹의 데이터 유출이 50% 증가한 것으로 나타났다.
물론 또 다른 조사에 따르면 2022년은 랜섬웨어 공격이 상대적으로 적은 해였으며 2021년에 비해선 23%나 감소한 시점이다. 이에 대해 사이버보안 매체 ‘테크타깃’은 “그런 점에선 2023년에 늘어난 수치가 유독 두드러진다고 생각할 수 없을지도 모른다”면서도 “그러나 새로 랜섬웨어 공격을 업으로 삼는 자들이 이 ‘시장’에 진입하는 숫자가 늘어나고 있다는 것은 매우 우려스러운 점”이라고 했다.
이는 랜섬웨어가 해킹 그룹에게 여전히 돈벌이가 좋은 범죄로 인식되고 있다는 것을 보여주는 대목이다. ‘테크타깃’은 “그런 면에서 이번 ‘위드시큐어’의 조사 결과는 앞으로도 랜섬웨어 공격이 계속해서 증가할 가능성이 높다는 사실을 보여주고 있다”고 분석했다.
새로 등장한 그룹, 전직 사이버 공격 집단 출신들 많아
이처럼 새로운 랜섬웨어 그룹의 등장에도 불구하고, 올 들어 감행된 랜섬웨어 공격의 상당 부분은 여전히 기존 집단에 의해 저질러진 것들이다.
‘위드시큐어’에 따르면 실제로 2023년 전세계 데이터 침탈의 21%를 차지했던, 보잉사와 로열 메일, 네덜란드 축구협회 등에 대한 공격은 기존 ‘LockBit’ 집단에 의해 저질러졌다. 그럼에도 새로 등장한 범죄 그룹들 역시 막대한 피해를 안겼다. ‘위드시큐어’ 분석에 의하면, 2023년에 일어난 데이터 침탈의 약 25%는 금년 처음 등장한 랜섬웨어 집단의 소행인 것으로 알려졌다.
이들 집단의 수법은 이전부터 랜섬웨어 공격을 자행해온던 집단의 수법과 유사한 것으로 분석되었다. 이 사이버 위협 인텔리전스 분석가인 지기 데이비스는 “관찰된 수법들이 이전에 횡행하던 것들고 많은 특징에서 닮은 것들”이라고 ‘위드시큐어’에 밝혔다.
그는 “특정 사이버 범죄의 코드나 각종 수법은 결국 다른 곳에서도 사용된다”면서 “그들 집단이나 구성원들은 함께 일하거나, 아니면 다른 곳에서도 늘 동일한 수법을 재활용하는 경우가 많기 때문”이라고 했다.
특히 “올해 등장한 새로운 집단 중 상당수는 오래된 랜섬웨어 활동의 이력을 갖고 있음이 분명하다. 예를 들어 아키라(Akira)와 같은 집단을은 현재는 없어진 콘티(Conti) 집단과 수법이 유사한 점으로 미뤄, 그 구성원들이 이전 ‘콘티’ 출신일 가능성이 높다”는 것이다.
이처럼 자신들의 관행과 수법을 재활용하는 경우가 많을수록 이는 앞으로 데이터 침해를 방지하려는 보안 전문가들에게는 ‘희망적’으로 작용할 것으로 보인다.
즉, 그들의 수법을 미리 예측할 수 있고, ‘먹잇감’의 네트워크에 액세스하고 데이터를 훔치는 데 사용되는 공격 벡터를 알아내고, 이를 방지하기 위한 기술과 방안을 마련할 수 있기 때문이다.