[디지털투데이 강진규 기자] 한국인터넷진흥원(KISA)이 랜섬웨어(Ransomware) 공격이 치밀한 준비와 계획에 따라 조직 범죄 형태로 이뤄지고 있다고 경고했다. 과거 무작위로 랜섬웨어 악성코드를 감염시켜서 돈을 요구했던 것과 달리 목표(기업, 기관 등)를 정하고 사전 준비와 전략을 마련해 공격하고 있다는 것이다. 

최근 KISA는 지난해 랜섬웨어(Ransomware) 동향을 분석한 ‘2020년 랜섬웨어 동향 및 분석 보고서’를 발간했다.

KISA는 보고서에서 2020년 발견된 신규 랜섬웨어가 89개 이상으로 추정된다고 설명했다.

KISA에 따르면 2020년 1분기 발견된 스네이크(Snake) 랜섬웨어, 코로나바이러스(Coronavirus) 랜섬웨어부터 2분기 임무니(Immuni) 랜섬웨어, 3분기 다크사이드(Darkside) 랜섬웨어 및 썬크립트(Suncrypt) 랜섬웨어 등 4분기에 이르기까지 수많은 피해사례가 발생했다.

또 KISA는 신규 랜섬웨어 뿐 아니라 2019년 수많은 피해자를 발생시킨 소디노키비(Sodinokibi) 랜섬웨어나 류크(Ryuk) 랜섬웨어, 마제(Maze) 랜섬웨어 등 다양한 변종 형태의 랜섬웨어가 2020년까지 지속적으로 수천만달러의 피해를 발생시켰다고 전했다.

특히 KISA는 지난해 ‘표적형’ 공격으로 랜섬웨어 패러다임이 변했다고 진단했다. 보고서는 “2020년 전 세계적으로 수많은 표적형 랜섬웨어 공격이 발생했다”며 “표적형 공격은 해킹 그룹이 정교하게 감염시킬 대상을 물색하고 탐색한 정보를 바탕으로 기업의 내부망에 침입 후 랜섬웨어 감염을 통해 수천달러의 몸값을 요구하는 공격이다. 주 감염 대상에는 각 분야의 기업과 정부기관, 의료시설, 비영리단체 등이 포함된다”고 설명했다.

KISA는 과거 랜섬웨어 범죄자들이 개개인을 상대로 소소한 금액을 편취했다면, 현재 랜섬웨어 공격은 대부분 특정 조직을 대상으로 하는 표적형 공격으로 변화되고 있다고 경고했다. 공격 단위가 커지면서 랜섬웨어 범죄자들 역시 조직 단위로 카르텔이나 갱단을 이뤄 운영되는 양상을 보이고 있다고 지적했다.

KISA는 우선 범죄자들이 원격 데스크톱 프로토콜을 통한 무차별 대입 공격, 이메일을 통한 자격 증명 도용, 이메일 침해 공격, 소프트웨어 및 시스템 취약점 등을 활용해 기업 내부로 침투한다고 설명했다. 랜섬웨어 범죄자들은 이때 코로나19 같은 사회적 이슈를 적극적으로 활용하고 있다.

이렇게 기업 네트워크에 접근한 후 다양한 해킹 도구를 사용해 권한을 훔치고 내부 시스템의 환경 정보를 파악한다는 것이다. 이후 악성코드를 통해 기업의 네트워크를 장악하고 랜섬웨어를 내부 시스템에 다운로드하도록 한다. 그리고 데이터를 암화화, 파괴한 후 돈을 요구하는 것이다.

KISA에 따르면 범죄자들은 암호화 전에 훔친 정상 데이터를 협상 수단으로 사용하고 있다. 기업과 몸값 협상에 실패할 경우 다크웹 등에 훔친 중요 데이터들을 공개하면서 기업을 궁지로 몰아넣는 전략이다.

KISA는 기업 및 정부 조직, 의료 시설을 대상으로 한 표적형 공격이 엄청난 규모의 수익성으로 이어지고 있으며 배후에는 해킹 그룹들의 거대 카르텔이 군림하고 있다고 분석했다.

보고서는 결론에서 기업, 기관들이 취약점 점검부터 강화해야 한다고 조언했다. 보고서는 “감염방식으로 보면 대다수의 랜섬웨어는 취약한 윈도 서버, 각종 취약점 등을 통해 기업의 내부 네트워크로 침입한다”며 “또 이메일의 첨부파일 피싱, 정상 소프트웨어로 위장한 악성 실행파일 다운로드 등을 통해 감염되는 사례도 적지 않다. 따라서 각 기업 보안담당자들과 사용자들은 상시적으로 데이터 백업을 수행해야 하며, 이메일이나 위장 사이트를 통해 파일 다운로드시에는 주의를 기울여야 한다”고 강조했다.