AI 쓰는 해커는 다르다? 올해 1월 `펑크섹` 피해 계속

실시간
뉴스

보안

AI 쓰는 해커는 다르다? 올해 1월 '펑크섹' 피해 계속

디지털데일리 발행일 2025-03-01 12:53:32

김보민 기자

URL복사

[디지털데일리 김보민기자] 랜섬웨어 조직 펑크섹(FunkSec)이 올해 공격 난도를 높이고 있다는 분석이 나왔다. 특히 서비스형랜섬웨어(RaaS) 등 수익 활동에 집중하고 있어 대비 전략이 필요하다는 의견도 제시됐다.

SK쉴더스 화이트해커 그룹 EQST는 '다가오는 펑크섹의 위협, RaaS를 넘어 데이터 경매까지' 보고서를 통해 랜섬웨어 동향을 공유했다. 보고서에 따르면 올 1월 랜섬웨어 피해 사례 건수는 723을 기록하며, 지난 12월(673건) 대비 약 8% 증가했다. 지난해 1월(304건)과 비교했을 때, 2배 넘는 증가세다.

EQST는 올 1월 드래곤(Dragon), 아키라(Akira) 그룹이 활개쳤을 뿐만 아니라, 지난해 12월부터 본격 활동에 돌입한 펑크섹 또한 두드러진 위협을 보였다고 평가했다. 펑크섹은 지난 12월 89건에 이어, 올 1월 39건의 피해자를 게시한 것으로 집계됐다.

공격 방식은 지난해와 유사했다. 1월 초 펑크섹 그룹이 사용하는 랜섬웨어 '펑크로커(FunkLocker)'를 1.2, 1.5 버전으로 업데이트를 했고 RaaS 파트너를 모집하기도 했다. 단일 조직이 아닌 연합 형태로 공격을 하는 전형적인 방식이다. 보고서에 따르면 펑크섹은 관리자 패널을 준비했고, 서비스로 제공될 랜섬웨어는 다음 버전 '펑크섹 2.0'을 사용할 것이라고 밝혔다.

활동 초기에는 무료 분산서비스거부(DDoS·이하 디도스) 공격 도구 등 서비스를 부가적으로 제공하기도 했다. 보고서는 "펑크섹 운영자의 공지사항이나 전달사항을 전달하고, 일반 사용자도 활동이 가능한 자체 다크웹 포럼 '펑크포럼(Funkforum)'을 공개했다"며 "그 외 탈취한 데이터를 경매 형태로 판매하는 '펑크BID(FunkBID)'를 공개하고, 국내 제조업체를 공격해 다크웹 사이트에 탈취한 데이터를 공개했다"고 설명했다.

펑크섹은 AI를 활용하는 랜섬웨어 그룹으로 알려졌다. 글로벌 보안 기업 체크포인트소프트웨어테크놀로지스(이하 체크포인트)의 위협인텔리전스 조직 체크포인트리서치에 따르면, 펑크섹은 공격 방법을 구상할 때 AI 도움을 받는다고 시인한 바 있다. 일반 사용자와 마찬가지로 생성형 AI 등 서비스를 활용하고 있다는 취지다.

이번 보고서는 "펑크섹 랜섬웨어에 대해 살펴보고, 전략과 대응방안을 통해 위협에 대비할 필요가 있다"고 강조했다. 이 밖에도 클롭(Clop)을 비롯한 기존 랜섬웨어 그룹의 대규모 공격도 이어졌다. 클롭은 지난해 12월 원격 코드 실행 취약점을 악용해 총 66개 기업을 공격했고, 협상에 응하지 않은 55개 기업의 데이터를 다크웹에 공개했다.

신규 공격 그룹도 포착됐다. 올 1월 새로 등장한 신규 그룹 '바북(Babuk)2'는 66건의 피해자를 공개했다. 대부분 다른 랜섬웨어 그룹에서 과거 공개한 이력이 있는 피해자들이었다. 주로 펑크섹, 랜섬허브, 록빗 그룹과 피해자가 겹쳤고 일부 게시글을 내용 자체도 동일한 것으로 확인됐다.