보안당국, “최근 암호화 대신 바로 데이터 유출, 몸값 흥정”
기업 등의 완벽한 백업과 보안장치 탓, “간단하고 효율적 수법으로 선택”
[애플경제 이윤순 기자] ‘암호화’를 하지않은 랜섬웨어가 더욱 위협적인 것으로 밝혀졌다. 해커들은 재빠르게 침투하면서도 피해자 네트워크에서 감지될 가능성이 적은 非암호화 랜섬웨어를 즐겨 사용하는 경향이 늘어나고 있따.
최근 각국 보안 당국과 보안 전문가들에 의하면 대표적으로 악명 높은 랜섬웨어 갱단인 ‘비안리언’(BianLian)의 경우 이같은 비 암호화 수법으로 또 다른 틈새를 뚫고 있다. 미국의 FBI, 영국 CISA, 호주 사이버 보안 센터 등이 최근 공개한 사이버 보안 지침에 따르면 이같은 최근의 변화된 수법에 주목, 그 실태를 파헤쳐 눈길을 끈다. 이는 자칫 암호화 수법에 대응해온 기존 보안 시스템 전체를 새로 업그레이드해야 하는 사태가 예상되기도 하는 것이다.
非암호화로 공격 대상 기업의 감지 시스템도 우회
이 해킹 집단은 원래 데이터 탈취 후 몸값을 뜯어내고, 다시 데이터를 헐값으로 팔아넘기는 등 ‘이중 강탈’을 일삼았다. 그러나 최근 언젠가부턴 주로 이같은 비 암호화된 랜섬웨어로 침투하는 수법으로 전환한 것으로 알려졌다. 이는 데이터를 훔쳐낸 후에도 굳이 피해자의 시스템을 암호화하려고 애쓰지 않는다. 대신에 피해자의 네트워크 환경을 그대로 두고 단지훔친 정보를 사용, 몸값을 뜯어내는 것이다. 다소 원시적이긴 하지만, 복잡한 해킹 프로세스를 생략, 신속하게 범죄를 마무리할 수 있다는 의미다.
영국의 CISA 등 국제 사이버범죄 대응 기관들은 현재 이 집단은 암호화 없는 랜섬웨어만을 활용하는 대표적 사례라고 경고했다.
이들 기관에 의하면 이러한 추세는 2024년 들어 새롭게 등장한 현상이다. 데이터를 굳이 암호화하기보단, 일단 훔쳐서 바로 몸값을 흥정하는게 이들의 수법이다. 실제로 해커들은 데이터 탈취 후 암호화 맬웨어를 개발하고 배포하느라 더 이상 시간을 보내거나 수고를 할 필요가 없다고 판단한 것이다.
랜섬웨어 퇴치 단체인 블랙포그(BlackFog)는 이에 대해 “날로 데이터 탈취에만 중점을 두는 사례가 늘어나고 있다. 이는 데이터에 대한 지적 재산권, 개인이나 기업 고객 데이터의 가치를 감안할 때 어쩌면 당연한 현살일 수도 있다”고 했다.
즉, 데이터 유출을 통해 범죄자들은 피해자 또는 데이터 강탈을 통해 바로 몸값 지불을 협상하기도 한다. 설혹 피해자가 몸값을 지불한 후에도 훔친 데이터는 결코 삭제되지 않는다.오히려 수년 동안 다크 웹에서 거래되는게 보통이다. 이런 목적인 만큼 굳이 암화화를 시도하느라 해커들이 시간을 낭비하고, 자칫 탐지의 위험을 감수할 필요가 없다는 분석이다.
해커들은 이런 수법을 통해 특히 암호화를 위한 맬웨어에 대한 의존도가 크게 낮아진다는 점에서 그들에게 이익이다. 기존 랜섬웨어 공격 피해자 네트워크에 침투하고, 암호화 도구를 배포하며 지속적인 제어를 유지하기 위해 상당한 노력과 수고가 필요하다. 반면에 단순한 데이터 유출 기반 수법은 공격 프로세스를 크게 간소화하는 것이다.
“해커들, 복잡한 해킹 프로세스 기피”
즉 “공격자가 민감한 데이터에만 액세스하면 전체 네트워크를 제어할 필요 없이 데이터를 오프로드할 수 있다”는 것이다. 이를 통해 범죄자들로선 해킹을 위한 복잡한 프로세스가 필요없다. 또한 그런 수법을 쓰면 여러 기업이나 조직은 해커들의 데이터 유출을 감지할 수 있는 모니터링 도구가 부족해진다. 당연히 감지 가능성도 낮아진다. “이러한 단순하면서도 눈에 얼른 띄지 않는 수법으로 사이버 범죄자는 랜섬웨어 탐지 시스템에도 불구하고, 마음껏 활동할 수 있게 된다”는 것이다.
물론 이같이 암호화없이 데이터 유출에 하는 수법이 아직 ‘추세’라고 하기엔 시기상조란 지적도 있다. 그러나 그런 이들 역시 앞서 ‘비안리언’과 같은 해킹 집단이 유독 이 기술을 더 자주 사용하게 된 배경에 주목하고 있다.
그에 따르면 우선 암호화 역시 데이터 손실을 방지하는데 역부족이다. 그럼에도 불궇고, 기업이나 조직들은 이제 더 빠르게 복구할 수 있는 강력한 백업을 갖추고 있긴 하다. 그래서 대부분의 해킹이이젠 단순 데이터 유출에 초점을 맞추고 있다. 무엇보다 “완벽하한 백업 및 복구 솔루션이 널리 퍼져 있기 때문에 암호화 공격이 훨씬 덜 효과적인 탓도 크다”고 했다.
또 랜섬웨어 범죄자들은 대부분의 기업들이 완벽하게 작동하는 백업 및 복구 솔루션이 있음에도 불구하고 몸값을 지불할 것이라는 것을 알고 있다. 대부분의 피해자가 유출된 정보에 대한 비용을 지불한다면, 그럴 바엔 해커들로선 공격 과정을 지나치게 복잡하게 만드는 것을 피하고 싶어한다. 결국 “가능한 한 가장 효율적인 방식으로 수익을 창출하기 위한 수법”이란 지적이다.