[디지털투데이 강진규 기자] 데이터를 암호화한 후 돈을 요구하는 랜섬웨어가 기승을 부리는 가운데 랜섬웨어에 정보유출과 디도스 공격을 결합한 3단 콤보 공격까지 진화한 것으로 나타났다. 이는 백업 등으로 랜섬웨어에 대응하는 것을 무력화하려는 의도로 분석된다.

한국인터넷진흥원(KISA)은 지난 30일 온라인 기자설명회를 통해 최신 랜섬웨어 피해 현황과 트렌드를 소개했다.

KISA는 랜섬웨어가 해외, 국내에 구분 없이 다수 발생하고 있다고 설명했다. 해외의 한 보안분석업체에 따르면 랜섬웨어 공격건수가 올해 2020년 초 대비 102% 증가했다.

KISA에 신고된 랜섬웨어 피해 건수는 2019년 39건에서 2020년 127건으로 3배 이상 증가했다. 올해 상반기에만 78건이 신고됐다. 이중에는 국내 차량 부품제조업체, 배달대행업체, 해운업체도 포함돼 있다. 이 수치는 KISA에 피해 사실이 신고된 것으로 신고되지 않은 피해는 훨씬 많은 것으로 추정된다.

이재광 KISA 종합분석팀 팀장은 “랜섬웨어가 개인PC에서 기업시스템을 넘어 사회기반시설, 생활필수 산업으로 확대되고 있다”며 “협박도 고도화되고 있다”고 말했다. 그는 “KISA 등의 권고로 랜섬웨어에 대응해 백업을 많이 하고 있다”며 “이에 데이터 암호화, 정보유출, 디도스가 결합된 3중 협박이 유행하고 있다”고 설명했다. 

해커들이 기업, 기관들이 협박에 응하지 않고 백업으로 복구하는 것을 보고 추가적인 범죄를 저지르고 있다는 것이다. 이들은 데이터 암호화와 함께 데이터를 공개하겠다고 협박하고 일부 데이터를 유출시킨다. 또 디도스 공격으로 홈페이지 장애를 유발해 압박하는 것으로 알려졌다.

서비스형 랜섬웨어도 나타나고 있다. 이 팀장은 “최근에는 별도의 전문지식이 없어도 서비스형 랜섬웨어를 이용해 공격하고 있다”며 “범죄자가 해커에게 비용을 지급하고 랜섬웨어 공격을 의뢰를 하면 해커가 공격을 하고 수익을 둘이 배분하는 구조다. 가상자산을 이용해서 수익금을 분배한다”고 설명했다.

KISA는 최근 랜섬웨어가 단순히 악성코드를 유포해서 무작위로 감염시키는 것이 아니라 타겟을 정한 후 약 1년의 기간 동안 군사작전처럼 진행된다고 밝혔다.

예를 들어 공격자가 인터넷에 오픈된 기업의 웹서버 취약점을 찾아 해킹한 후 악성코드를 설치한다. 이후 웹서버를 관리하는 관리자 계정 정보를 수집하고 그렇게 확보한 관리자 계정 정보로 기업에서 운영 중인 수십 대, 수백 대의 서버에 접근한다는 것이다.

또 관리자 PC에 설치된 프로그램의 업데이트를 노리고 해당 프로그램 개발 소프트웨어(SW) 기업을 해킹하는 사례도 있었다. SW기업을 해킹한 후 자동 업데이트를 이용해 그 SW를 사용하는 기업들에 침투하는 방식이다.

이 팀장은 “최근 랜섬웨어가 발생한 특징을 분석해보면 공격에 상당한 시간이 소요된다는 점이다. 점심에 침투해서 저녁에 공격할 수 없다. 최초 침투에서 내부 장악까지 1년 이상이 소요된다”고 말했다. 그는 “백업이 있는 것만으로는 충분하지 않다”며 “보안 점검을 통해서 랜섬웨어 공격이 진행되는 단계를 탐지해서 선제적으로 대응해야 한다”고 지적했다.

KISA는 랜섬웨어 해커들의 요구에 따라 돈(가상자산 등)을 지불하는 것이 더 큰 문제를 야기할 수 있어 그렇게 해서는 안된다고 강조했다. 또 랜섬웨어 발생시 단순히 백업 데이터로 복구하는 것만으로 부족하고 재발 방지를 위한 분석이 필요하다고 덧붙였다.