[디지털투데이 박건도 기자] 텔레그램과 트위터 같은 SNS 서비스를 활용해 기업들의 정보를 유출하는 랜섬웨어 그룹들이 증가하고 있다는 분석 결과가 나왔다. 

국내 데이터 인텔리전스 기업 S2W은 랜섬웨어 그룹들이 다크웹 밖에서도 SNS를 추가로 활용해 영향력을 확산하는 경우가 많아졌다고 20일 밝혔다. 랜섬웨어 그룹들은 다크웹인 토르 네트워크에 유출사이트를 구축해 기업들로부터 훔친 정보를 유출시켜왔다. 

S2W는 작년 기승을 부린 랜섬웨어 그룹 위험도를 측정했다. 랜섬웨어 그룹 활동량, 영향력, 딥다크웹 내에서 브랜드 지속성, 인프라의 확장성, 취약점 활용 능력 등 5가지 기준을 사용해 스코어링 모델을 구축했다. 또한 위험도 스코어링 결과를 바탕으로 유사한 특성을 가진 랜섬웨어 그룹을 5개로 클러스터링, 각 유형에 해당되는 랜섬웨어 그룹에 대한 대응 방안을 제시했다.

S2W 위협 인텔리전스 센터 '탈론'의 분석에 따르면 다크웹 내 새롭게 발견된 유출사이트를 운영하는 랜섬웨어 그룹은 39개다.

이들 랜섬웨어 그룹들은 랜섬머니를 다량 확보하기 위해  기업의 자금 규모, 업권의 수익성 그리고 국가 GDP 등을 함께 고려한 것으로 드러났다. 공격 성공 가능성을 높이기 위하여 보안에 취약한 업권을 타겟하는 경향도 나타났다.

다수의 랜섬웨어 그룹은 다크웹 포럼에서 활동하며 피해를 확산, 수익을 극대화하기 위해 브로커와 협력하거나, 최초 침투 과정을 담당하는 침투 테스트 전문가를 모집하기도 했다.

한편, 이번 분석 내용은 '2023년 랜섬웨어 동향'라는 발제로 이달 11~14일 일본 도쿄에서 열린 세계 수사기관 컨퍼런스 'DCC2024'에서 발표됐다.