[인터뷰] 죽지 않고 돌아오는 랜섬웨어 공격자들…SK쉴더스가 주목한 `랜섬허브`는 누구?

실시간
뉴스

보안

[인터뷰] 죽지 않고 돌아오는 랜섬웨어 공격자들…SK쉴더스가 주목한 '랜섬허브'는 누구?

디지털데일리 발행일 2024-09-20 13:46:43

김보민 기자

URL복사

이호석 SK쉴더스 EQST랩 팀장이 <디지털데일리>를 만나 최신 사이버 위협 동향을 공유하고 있다.

[디지털데일리 김보민기자] 랜섬웨어 공격의 역사는 1989년으로 거슬러 올라간다. 당시 기록에 따르면 플로피 디스크를 통해 배포된 'AIDS 트로이목마'는 시스템을 감염시킨 뒤 파일을 암호화했는데, 이러한 전술은 오늘날 랜섬웨어 공격을 고도화하는 기초가 됐다.

약 35년이 지난 지금, 사이버 공격자들은 기업의 중요 데이터와 시스템을 인질로 삼아 몸값을 요구하는 랜섬웨어 공격을 주요 수익원으로 활용하고 있다. 암호화폐가 등장한 이후에는 몸값 지불 방식을 추적하기 어려워져, 서비스형랜섬웨어(Ransomware as a Service·Raas) 형태로 수익을 내는 공격자 또한 늘어나고 있다.

그러나 표적이 된 대다수 기업들은 촘촘한 보안 태세를 갖추지 못하고 있다. 이호석 SK쉴더스 EQST랩 팀장은 최근 <디지털데일리>를 만나 "랜섬웨어 공격을 당하는 기업을 대상으로 통계를 내보면, 3분의2가 백업이 없는 회사"라며 "아직도 백업 체계를 갖추지 못한 곳이 많다는 의미"라고 밝혔다.

2017년 설립된 화이트해커 그룹 EQST는 글로벌 기업 전문 연구 조직에 대응하는 위협 정보 연구 역량을 갖춘다는 목표 하에 설립된 보안 전문가 그룹이다. 모의해킹과 취약점 진단 등 업무를 수행하는 데, 연구에 특화된 EQST랩은 해킹 트렌드를 분석하고, 랜섬웨어 공격을 추적하는 역할을 하고 있다.

최근 EQST랩이 포착한 랜섬웨어 동향을 대표하는 공격 그룹은 '랜섬허브(Ransom Hub)'다. 이 팀장은 "신규 랜섬웨어 그룹은 한 달에 적으면 3~4개, 많으면 10개 정도 등장한다"며 "몇 달 동안 활동이 없는 경우도 많은데, 이러한 분위기 속 올 상반기부터 꾸준히 활동하고 있는 그룹이 바로 랜섬허브"라고 설명했다.

랜섬허브 그룹은 오랜기간 랜섬웨어 공격 분야에서 이름을 날린 블랙캣(Black Cat)이 올 3월 '엑시트 스캠'을 한 이후 덩치를 키우고 있다. 엑시트 스캠이란, 계열사에게 수수료를 지급하지 않거나 랜섬웨어 피해자에게 돈을 지불 받고 파일 복구를 해주지 않은 채 사라지는 사기 행위를 뜻한다. 블랙캣 파트너들은 랜섬허브에 합류했고, 올 6월 국내 건축 사무소를 공격하는 등 범위를 넓히고 있다. EQST에 따르면 랜섬허브 그룹은 올 7월에만 전체 활동량의 32%에 해당하는 48건을 게시하며 '록빗'(12건)을 앞질렀다.

이 팀장은 "록빗의 경우 매주 올라오는 탈취 데이터가 (다른 그룹과 비교했을 때) 1위 수준이었지만, 올 초 국제 공동 작전 크로노스 이후 지금은 뜸한 상태"라고 분석했다. 록빗과 함께 일하던 계열사도 활동을 주춤하고 있는 것으로 전해진다.

산업 및 국가별 주요 랜섬웨어 공격 현황 [ⓒSK쉴더스 EQST 8월호 보고서 캡처]

초기 침투에 특화된 브로커(Initial Access Broker·IAB)들의 활동도 거세지는 추세다. 이 팀장은 "다크웹에는 랜섬웨어 데이터 등을 올리는 가장 큰 커뮤니티 '브리치포럼'이 있다"며 "브리치포럼의 경우 수사가 진행되며 (일부 운영이) 종료됐기도 했다가 유사 커뮤니티가 등장하는 과정을 거쳤는데, 최근 새 소유자로 인텔브로커가 거론됐다"고 말했다. 그는 "브리치포럼의 운영자가 된 것인데, 이를 계기로 인텔브로커의 활동이 많아진 상황"이라고 진단했다.

인텔브로커의 경우, 실제 해킹을 통해 탈취한 데이터를 판매하는 전술을 펼치고 있어 주의가 요구되고 있다. 국내의 경우 제조 산업을 중심으로 공격을 넓히는 추세다.

이 팀장은 "국내 A사의 경우 지금까지 총 세 번 피해를 입었다"며 "여러 번 뚫리는 기업의 경우 백업이 없을 뿐만 아니라, 컨설팅 등 보안을 강화할 작업을 거치지 않았다는 공통점이 있다"고 강조했다.

이 팀장은 법이나 규제 준수가 중요한 컴플라이언스 산업의 경우 보안 인식이 높지만, 대기업이 아닌 중소기업 혹은 협력회사의 경우에는 그렇지 못하다고 말했다. 그는 "랜섬웨어가 안 걸리는 대표적인 업종은 금융"이라며 "대기업 또한 내부 관리 체계와 보안 솔루션을 적용하고 있지만 협력업체와 같은 경우는 컴플라이언스 규제가 없어 먹잇감이 되고 있다"고 부연했다.

올 초 북한 해킹 조직이 국내 방산기술을 탈취하기 위해 협력업체를 대상으로 선제 공격을 가한 사실이 드러난 것 또한 같은 선상에서 이해할 수 있다는 취지다.

이 팀장은 "현재 공격 사례를 살펴보면, 대부분 대기업이 아닌 중소·중견기업이 대상"이라며 "보안 담당자가 없더라도 최소한의 맞춤형 보안이 필요한 때"라고 말했다.

현재 EQST랩이 분석한 내용은 SK쉴더스의 매니지드탐지및대응(MDR) 제품군과 시너지를 내고 있다. 이 팀장은 "엔드포인트탐지및대응(EDR) 솔루션의 경우, 말 그대로 엔드포인트에서 위협을 차단해주는 데 초점을 둔다면 MDR은 이를 관리하는 역할을 한다"며 "EQST랩이 분석한 악성코드 등 요소를 MDR에 적용하고 있기 때문에 실시간 업데이트가 가능하다"고 부연했다.

EQST '랜섬웨어 대응센터' 또한 보안 전략을 세우는 데 어려움을 겪는 기업에게 힘을 보태고 있다. 센터는 랜섬웨어 공격 트렌드를 기반으로 사전 대응, 사고 접수, 사후 처리 등 전 과정을 제공하고 있다. SK쉴더스는 민간 랜섬웨어 대응 협의체 'KARA'를 주도해, 매 분기 랜섬웨어 동향 보고서를 발간하고 세미나를 주최하고 있다.

한편 EQST랩은 인공지능(AI)에 대한 보안 위협 또한 경계할 필요가 있다고 보고 있다. 생성형 AI 서비스를 활용해 랜섬웨어를 제작할 수도 있고, AI 기술이 가지고 있는 취약점을 악용해 사이버 공격을 가할 가능성도 배제할 수 없기 때문이다.

이 팀장은 "클라우드가 등장했을 때와 같이, 이제는 AI를 거스를 수 없는 상황"이라며 "1년 사이 AI로 처리 할 수 있는 데이터가 50배, 100배 늘어날 정도로 발전 속도가 빨라 보안 측면에서도 핵심으로 잡고 봐야 한다"고 강조했다.

EQST는 하반기 AI 거대언어모델(LLM)과 버그바운티 안내서(가이드)를 공개할 예정이다. AI LLM 가이드의 경우 사용자, 개발자가 알아야 하는 LLM 해킹 트렌드와 보안 전략과 더불어 각 항목을 점검할 수 있는 진단 요소들이 소개된다. 버그바운티 가이드는 관련 제도 및 CVE 등록 기준 및 방법을 소개하고 웹 기반 PC앱에서 사용하는 일렉트론(Electron) 프레임워크 취약점 점검 방법에 대한 내용이 담길 전망이다.