[디지털투데이 황치규 기자] 2021년에도 기업과 사용자들이 가장 신경써야할 보안 위협은 랜섬웨어가 될 것 같다.

보안업체들과 정부기관들이 내놓는 전망 자료를 보면 랜섬웨어는 이미 전 세계적으로 가장 주목해야 할 사이버 위협 중 하나로 떠올랐다. 특히 특정 대상을 상대로 높은 몸값을 노린 표적 공격형 랜섬웨어, 램섬웨어 개념이 가미된 이른바 랜 디도스(RDDoS) 등을 경계해야 한다는 목소리가 커지고 있다.

한국인터넷진흥원(KISA)은 최근 내놓은 자료에서 "국내 한 기업(이랜드)은 랜섬웨어 공격으로 영업을 조기에 종료하는 상황이 벌어졌으며, 일본 한 자동차 기업은 전 세계 11곳 공장 시스템이 마비돼 출하가 일시 중단됐다. 또 해외에서는 랜섬웨어로 병원 시스템이 마비돼 긴급 이송하던 환자가 사망한 사건도 발생했다"면서 "랜섬웨어는 더이상 분야를 가리지 않고 대상을 표적해 공격할 뿐 아니라, 기업 중요 정보, 고객 개인정보 및 결제 정보를 가지고 협박하는 수단 또한 다양해질 것으로 보인다"고 경고했다.

블리핑컴퓨터에 따르면 폭스콘 멕시코 공장도 지난 추수감사절 기간에 랜섬웨어에 감염됐고 공격자들은 3400만달러를 비트코인으로 요구한 것으로 전해졌다. 

전문가들에 따르면 랜섬웨어를 둘러싼 시장은 이미 거대한 경제권을 형성했을 만큼 판이 커진 상황이다.

보상이 크다는 점이 사이버 범죄자들에게 랜섬웨어 공격에 나서도록 하는 인센티브가 되고 있다. 랜섬웨어는 사용자 PC에 저장된 주요 문서들을 암호화한 뒤에 이를 풀어주는 댓가로 돈을 요구한다. 돈을 주지 않으면 데이터를 복구하기가 매우 어렵다. 인질로 잡은 데이터 가치가 높을 수록 몸값은 올라가게 마련이다.

랜섬웨어 경제가 커지면서 공격자들이 선보이는 비즈니스 모델도 점점 다양해지고 있다. 코로나19 상황으로 원격 근무를 적용하는 기업들이 늘면서 조직내 보안 위협은 상대적으로 이전보다 커졌고 이같은 상황은 랜섬웨어 공격자들에게새로운 공격을 감행할 수 있는 기회로 부상하고 있다.

최근에는 서비스형 랜섬웨어(ransomware as a service model: RaaS) 방식이 확산되고 있다는 후문이다. RaaS는 제작자가 램섬웨어를 직접 만들 수 있는 내공이 부족한 이들에게 패키지화된 도구 형태로 똑같은 RaaS를 파는 것을 의미한다. RaaS를 통해 '초보 공격자'들은 몸값은 낮게, 대신에 공격 범위는 넓게 가져가는 기법(high-volume, low-ransom attacks)을 활용할 수 있다.

포브스에 따르면 보안 업체 소포스의 다이엘 시아파 최고제품책임자(CPO)는 "최근 있었던 다르마나 메이즈랜섬웨어 공격처럼 적은 몸값에 대량으로 공격이 이뤄지는 새로운 랜섬웨어의 부상을 보고 있다"면서 "이 같은 방식은 랜섬웨어에 프랜차이즈식 접근을 가져온다. 내공이 떨어지는 범죄자들에게 같은 RaaS를 판매하거나 무료로 나눠주는 경우도 있다"고 전했다.

하나의 RaaS 패키지로 수천개 대상을 공격하는 랜섬웨어는 정확히 새로운 현상은 아니다. 랜섬웨어인 다르마의 경우 나온지 4년 가까이 됐고 크립토라커는 7년전에 등장한 랜섬웨어다. RaaS에 담긴 박리다매식 랜섬웨어 전술은 새로운 것은 아니지만 수익화와 공격 효과 간 관계를 보면 충격적인 흐름으로, 앞으로 프랜차이즈 개념 랜섬웨어 확산을 더욱 가속화시킬 수 있다고 시아파 CPO는 경고했다.

이중 협박(Double extortion) 랜섬웨어에 대한 경계 수위도 고조되는 모습이다. 체크포인트에 따르면 올해 3분기 이중 협상 랜섬웨어 공격이 빠르게 증가했다.

이중 협박 랜섬웨어 공격을 펼치는 해커는 우선 대량 민감 데이터를 추출한 후, 피해자 데이터베이스를 암호화한다. 그리고 공격자는 요구하는 금액을 지불하지 않을 경우 데이터를 공개할 것이라고 위협한 뒤 기관 및 기업이 해커 요구사항을 따르도록 추가 압박을 가한다고 체크포인트는 전했다.