실시간
뉴스

보안

[IT백과] 데이터 암호화하고 경매까지…'RaaS 공격' 진화 중

디지털데일리 발행일 2025-03-11 13:31:11
김보민 기자

정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

[ⓒ픽사베이]
[ⓒ픽사베이]

[디지털데일리 김보민기자] 랜섬웨어 공격이 진화하고 있다. 이전에는 중요 데이터를 암호화해 사용자가 접근할 수 없게 만든 뒤 몸값을 지불하게 유도하는 위협이 다수였다면, 최근에는 조직적으로 수익화에 목적을 둔 위협이 고도화되기 시작했다. 대표적인 예가 '서비스형랜섬웨어(RaaS)'다.

RaaS는 사이버 범죄자가 랜섬웨어를 배포하고 관리하는 데 필요한 도구(툴)는 물론, 관련 서비스를 제공하는 일종의 사업 모델이다. 서비스형소프트웨어(SaaS) 비즈니스 모델과 유사하게 운영된다는 특징이 있다. 랜섬웨어 공급자가 툴과 인프라를 만든 뒤, 다른 해커들에게 이를 판매 및 임대하는 방식이다. 랜섬웨어 생태계에도 '수요와 공급' 체계가 뚜렷해지고 있는 양상이다. 기술적인 전문성이 부족한 공격자라도, RaaS를 도입해 랜섬웨어 공격을 쉽게 가할 수 있는 시대가 왔다는 의미다.

RaaS 서비스는 다양한 수익 모델을 기반으로 운영된다. 공급자는 월 정액제 구독료를 청구하거나, 제휴사 수익을 일정 비율 가져가고 있다. 이 두 가지 모델을 혼합해 사용하는 경우도 다수인데, 별개로 일회성 라이선스 요금을 청구하는 경우도 두드러지고 있다. RaaS 고객은 계정을 생성하고 요금을 지불한 뒤, 필요한 멀웨어 유형을 선택할 수도 있다.

RaaS 공급자는 고객이 멀웨어 선택을 끝냈을 때, 본격 공격에 돌입한다. 멀웨어를 배포하고, 피해자 기기 및 데이터를 감염시키는 것이 주 목적이다. 대부분 피싱 또는 소셜엔지니어링 캠페인을 통해 사용자를 속인 뒤, 멀웨어를 실행하도록 유도하는 방식을 택하고 있다. 보안업계에서는 "제로데이 익스플로잇 및 백도어 액세스를 구매하는 것과 비교하면 저렴한 공격 기법"이라는 평가가 나온다. 사용자 기기 등을 침투하기 위한 시스템을 확보하는 것보다, 낚시성 캠페인을 활용하는 것이 노력 대비 파급력이 크다는 취지다.

멀웨어가 실행되면 피해자 기기 및 데이터는 암호화돼 사용할 수 없게 된다. 이때 공격자는 사용자에게 몸값을 어디로 지불해야 하는지 지침을 담아 메시지를 보내게 된다. RaaS 공급자는 멀웨어가 제대로 작동하지 않거나 문제가 발생할 경우에 대비해, 연중무휴 24시간 고객 지원을 제공하기도 한다. 대부분 공급자는 고객이 질문하고 아이디어를 교환할 수 있는 커뮤니티 포럼을 운영하고 있고, 랜섬웨어 공격 실행법 등을 안내하는 단계별 가이드를 제공하기도 한다.

RaaS는 컴퓨터와 인터넷 연결만 있다면, 누구나 랜섬웨어 공격을 수행할 수 있도록 돕기 때문에, 사이버 범죄 진입장벽을 낮춘 서비스라는 평가를 받는다. RaaS 기반 공격이 확산될 가능성이 점쳐지는 이유다. 대표적인 RaaS 판매 그룹으로는 다크사이드가 있다. 다크사이드는 2021년 콜로니얼 전산시스템(파이프라인)에 랜섬웨어를 침투시킨 장본인으로 알려진 바 있다. 이 밖에도 레빌(REvil), 다르마(Dharma) 또한 랜섬웨어를 서비스 형태로 판매한 대표적인 사례로 꼽힌다.

올해 RaaS 공급자들은 협력 생태계를 넓히며 공격 범위를 키우는 데 집중하고 있다. 대표적으로 블랙록은 러시아 포럼에 랜섬웨어 기능을 소개하고 RaaS 파트너를 모집하는 게시글을 올렸다. 블랙록은 윈도, 리눅스, ESXi 등 다양한 운영체제를 겨냥해 부분 암호화와 자가 삭제 등 기능을 갖춘 것이 특징이다. 피해자는 각 계열사가 관리해 거래로 얻은 몸값 20%를 수수료로 지불하게 된다. 블랙록은 소수 인원을 추가 모집해, 일련의 테스트를 거쳐 파트너를 모집했다.

커지는 덩치와 더불어, 공격 기법을 다각화하는 공급자도 있다. 인공지능(AI) 기술을 활용하고 있다고 시인한 펑크섹(Funsec) 그룹은, 자신들이 사용하는 랜섬웨어 펑크로커(FunkLocker)를 1.2, 1.5버전으로 업데이트하고 RaaS 파트너를 모집하기 시작했다. 관리자 패널을 마련하고, 추후 Funksec 2.0 버전을 기반으로 랜섬웨어 서비스를 제공하겠다는 계획도 밝혔다.

펑크섹은 데이터 암호화 뿐만 아니라, 데이터 경매까지 실행하는 이중갈취 기법을 활용하는 공격그룹이다. 펑크섹은 운영자 공지사항을 전달하고 일반 사용자도 활동할 수 있는 자체 다크웹 포럼 '펑크포럼'을 공개했는데, 탈취 데이터를 경매 형태로 판매하는 펑크BID(FunkBID)를 선보이기도 했다.

펑크섹을 비롯한 일명 '신생 랜섬웨어 조직'에 대한 경각심은 국내에서도 커지는 분위기다. SK쉴더스 EQST는 2월 보고서를 통해 "국내 제조업체를 공격하는 다크웹 사이트에 탈취 데이터를 공개했기 때문에, 펑크섹 랜섬웨어에 대해 자세히 살펴보고 전략과 대응방안을 마련해 위협에 대비할 필요가 있다"고 조언했다. 안랩시큐리티인텔리전스센터(ASEC)는 "지난해 12월 초 등장한 펑크섹은 짧은 기간에 85건 이상 피해 사례를 공개하며 유명해졌다"며 "200개 이상 정부 및 기업 웹사이트를 침해했다고 주장하는데, 유출된 데이터 중 일부는 과거 해커 활동 캠페인에서 재활용된 것으로 보인다"고 분석했다.

그렇다면 RaaS 공격을 방어하는 방법은 무엇일까. 보안업계에서는 사용자는 물론 기업이 멀웨어 공격으로부터 스스로 방어할 수 있는 보안 체계가 필요하다고 말한다. 특히 대부분 랜섬웨어 공격이 감염된 이메일 첨부파일에서 시작된다는 점을 고려했을 때, 이메일 보안에 대한 인식이 제고될 필요가 있다고 본다. 클라우드플레어는 "이메일에서 멀웨어를 감시하고, 신뢰할 수 없는 출처의 이메일 첨부파일을 차단하며 공격 벡터를 제거해야 한다"고 조언했다.

한편 RaaS는 물론, 랜섬웨어 공격 방식은 올해 고도화될 것으로 보인다. 펑크섹과 같이 AI 기술을 악용하는 사례가 늘고 있고, 추후 자율(autonomous) 위협 또한 가능성을 배제할 수 없기 때문이다. 로템 핀클스틴(Lotem Finkelsteen) 체크포인트리서치 위협인텔리전스 총괄은 <디지털데일리>에 "많은 공격자들이 '비용'을 높은 장벽이라 생각하고 있어, 실제 자율 위협을 가하기까지 시간이 소요될 것"이라면서도 "다만 그날이 오지 않으리라 단언할 수 없고, 이제 시작이라 말할 수 있다"고 말했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

이 기사와 관련된 기사

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x