[디지털투데이 황치규 기자] 클라우드로 대표되는 서비스형 IT 인프라 및 소프트웨어를 둘러싼 판이 점점 커지고 있는 가운데, 랜섬웨어 공격에서도 서비스형 바람이 거세다.

관련업계에 따르면 랜섬웨어 악성코드를 직접 개발하지 않고 서비스 방식으로 공격에 활용할 수 있게 해주는 서비스형 랜섬웨어(Ransomware as a service: RaaS)가 빠르게 확산되고 있다. RaaS를 활용한 랜섬웨어 공격 사례도 급증했다.

랜섬웨어 공격 3개 중 2개가 RaaS 모델을 활용했다는 조사 결과도 나오고 있다. 

랜섬웨어 공격자들은 사용자 PC에 저장된 주요 문서들을 암호화한 뒤에 이를 풀어주는 댓가로 돈을 요구한다. 돈을 주지 않으면 데이터를 복구하기가 매우 어렵다. 인질로 잡은 데이터 가치가 높을 수록 몸값은 올라가게 마련이다.

랜섬웨어 공격은 사이버 범죄자들 사이에서 여전히 수익성이 아주 좋은 해킹 기법으로 통한다. 랜섬웨어 경제가 커지면서 공격자들이 선보이는 비즈니스 모델도 점점 다양해지고 있다. 코로나19 상황으로 원격 근무를 적용하는 기업들이 늘면서 조직내 보안 위협은 상대적으로 이전보다 커졌고 이같은 상황은 랜섬웨어 공격자들에게 새로운 공격을 감행할 수 있는 기회로 부상하고 있다.

해외 IT미디어 지디넷에 따르면 잘 조직된 사이버 범죄 조직은 한 피해자를 상대로 암호를 걸어 인질로 잡은 데이터를 풀어주는 조건으로 수백만 달러를 챙기는 경우도 나오고 있다. 

이에 따라 램섬웨어에 관심을 갖는 공격자들이 점점 늘고 있고 RaaS는 랜섬웨어를 직접 개발해 뿌릴 능력이나 여력이 안되는 공격자들을 빠르게 파고들고 있다.

RaaS를 판매하는 개발자들은 다크웹 포럼들을 통해 랜섬웨어를 감행할 수 있게 해주는 악성코드를 팔거나 대여한다. 이들이 제공하는 관련 랜섬웨어 공격 전략을 활용해 수준이 좀 낮은 사이버 공격자들도 랜섬웨어 캠페인을 배포하고 관리할 수 있다.

해당 공격 툴을 제공한 개발자들은 공격자가 랜섬웨어 희생자들로부터 받는 수익의 일부를 나눠 갖는다. 사이버 보안 업체 그룹-IB 연구원들에 따르면 지난해 분석된 램섬웨어 공격의 3분의 2 정도가 RaaS 모델을 활용한 범죄자들로부터 나왔다. 또 타노스(Thanos), 아바던(Avaddon), 선크립트(SunCrypt)를 포함해 15개에 달하는 새로운 랜섬웨어 공격법이 지난해 공개됐다.

랜섬웨어 개발자들간 경쟁도 치열하다는 후문이다. 이는 랜섬웨어 공격을 하고 싶은 이들에게 툴 제작자들이 특별 제안을 제공하는 상황으로 이어지고 있다고 지디넷은 전했다.

올레그 스컬킨 그룹IB 수석 디지털 포렌식 애널리스트는 "(RaaS 같은) 제휴 프로그램은 사이버 범죄자들 사이에서 램섬웨어 공격을 보다 매력적으로 만든다. 이들 공격의 어마어마한 인기는 크기, 산업에 상관 없이 거의 모든 회사들이 랜섬웨어에 잠재적인 희생자가 되도록 했다"고 말했다.

이어 "기업들은 직원들에게 원격으로 일을 할 수 있는 역량을 제공하면서 공개적으로 접근 가능한 RDP(Remote Desktop Protocol) 서버 숫자가 증가했다. 물론 아무도 보안에 대해 생각하지 않았고 이들 RDP 서버 중 많은 것들이 많은 랜섬웨어 운영자들에게 초기에 접근할 수 있는 포인트가 됐다"고 지적했다.

RDP는 마이크로소프트가 개발한 것으로 다른 컴퓨터에 그래픽 사용자 인터페이스(GUI)를 제공하는 프로토콜이다. 윈도 PC에 원격으로 연결하는데 사용된다.

랜섬웨어 공격이 늘고 있음에도 RDP를 통한 랜섬웨어 공격을 막는게 크게 어려운 것은 아니다. 스컬킨 애널리스트는 RDP에 대한 공개 접근을 제한하는 기본 비밀번호 사용을 피하는 것을 포함해 몇몇 사이버 보안 절차를 강조했다.

그는 "RDP 관련 침해는 외부에서 RDP에 연결하는데 사용될 수 있는 IP 주소 제한, 특정 시간대 로그인 시도 숫자 제한 설정 같은 간단하면서도 효과적인 단계들을 통해 쉽게 줄일 수 있다"고 말했다