"예고 없는 공격 온다" 신규 랜섬웨어 서비스 `반헬싱` 등장

실시간
뉴스

보안

"예고 없는 공격 온다" 신규 랜섬웨어 서비스 '반헬싱' 등장

디지털데일리 발행일 2025-04-09 08:57:21

김보민 기자

URL복사

보안기업 체크포인트 "3월 출시 후 빠르게 확장…강력한 보안조치 필요"

반헬싱(VanHelsing) 서비스형랜섬웨어(RaaS) 광고 [ⓒ체크포인트리서치 블로그]

[디지털데일리 김보민기자] 신규 서비스형랜섬웨어(RaaS) '반헬싱(VanHelsing)'이 출시 2주 만에 3명의 피해자를 낳았다는 조사 결과가 나왔다. 공격자가 요구한 몸값은 7억원대로, 위협인텔리전스 업계에서는 추가 피해가 불가피하다는 전망이 제기되고 있다.

◆ 서툴지만 빠르다…윈도·리눅스·ESXi 시스템 조준

9일 체크포인트리서치에 따르면 RaaS 제휴 프로그램 반헬싱은 지난 3월7일 출시됐다. RaaS는 사이버 범죄자가 랜섬웨어를 배포하고 관리하는 데 필요한 도구(툴)는 물론 관련 서비스를 제공하는 일종의 사업 모델로, SaaS 비즈니스 모델과 유사하게 운영된다. 랜섬웨어 공급자가 툴과 인프라를 만든 뒤, 다른 해커들에게 이를 판매하거나 임대하는 방식으로 운영된다. 숙련된 해커가 아닌 초보자라도, 누구나 쉽게 랜섬웨어 공격을 하도록 돕는 것이 특징이다.

반헬싱은 해커 고객이 5000달러(약 743만원) 보증금으로 RaaS 서비스를 사용할 수 있도록 했고, 피해자가 지불한 몸값 중 20%를 수수료로 받았다. 유일한 규칙은 독립국가연합(CIS)을 표적으로 삼지 않는 것이었다. 체크포인트리서치에 따르면 반헬싱은 출시 2주 만에 피해자 3명을 감염시켰고, 암호 해독과 도난 데이터 삭제를 위해 거액의 몸값을 지불했다. 한 사례에서는, 지정된 비트코인 지갑에 50만달러(약 7억4400만원)를 지불할 것을 요구했다.

반헬싱은 고객이 랜섬웨어 공격을 쉽게 관리할 수 있도록 제어 패널과, 윈도·리눅스·BSD·ARM·ESXi 등 다양한 시스템을 겨냥할 수 있는 교차 플랫폼 도구를 제공했다. 반헬싱 랜섬웨어는 3월16일 처음 발견됐고, C++ 언어로 작성된 점이 포착됐다. 체크포인트리서치는 "일부 기능이 불완전하다는 점을 고려했을 때, 아직 개발 초기 단계인 것으로 보인다"고 분석했다. 다만 짧은 시간 내에 랜섬웨어 변종 두 개가 추가로 발견됐고 피해 규모도 적지 않은 만큼, 주의가 필요하다고 덧붙였다.

반헬싱 서비스를 활용한 랜섬웨어 공격 방식은 다른 기법과 유사했다. 공격자는 'README.txt'라는 제목의 메모장 문서를 통해 피해자 네트워크가 침해됐고 개인 데이터, 재무 보고서, 중요 문서가 암호화됐다는 점을 경고했다. 공격자는 파일 복구를 위해 비트코인을 요구했고, 타사 복호화기를 사용하면 영구적으로 데이터가 손실될 것이라고 경고하면서 몸값을 내기 위해 공격자에 연락하라고 전했다.

체크포인트리서치는 "반헬싱은 윈도를 넘어 리눅스·ESXi 시스템을 추가로 겨냥하고 있어, 랜섬웨어 변종이 확장하고 진화하고 있다는 점을 보여준다"며 "정교한 공격에 맞서기 위해 강력한 사이버보안 조치가 필요한 때"라고 진단했다.

반헬싱 RaaS 서비스를 활용한 공격 사례 [ⓒ체크포인트리서치]

◆ AI 쓰는 RaaS 운영자도 출몰…통합 보안 중요성↑

현재 RaaS 시장은 반헬싱 뿐만 아니라 록빗(LockBit), 랜섬허브 등 다양한 공격 그룹을 필두로 성장하고 있다. 이 가운데 인공지능(AI) 기술을 활용해 RaaS 서비스를 고도화하고 있다고 시인한 RaaS 공급자도 있다. 대표적으로 펑크섹(FunkSec) 그룹은 체크포인트리서치 조사에서 '어떻게 해킹을 하냐'는 질문에 "나는 개발자지 코더(coder)가 아니다"라며 "우리는 사람과 AI의 도움을 받아 (공격) 아이디어를 얻는다"고 답했다.

이러한 RaaS 기반 공격은 국가를 가리지 않는다는 특징이 있다. 한국도 자유롭지 않은 실정이다. 체크포인트리서치 위협인텔리전스 조직을 운영하는 보안기업 체크포인트소프트웨어테크놀로지스(이하 체크포인트)는 올해 사이버 공격자들의 위협 난도가 높아질 것으로 예상하며, 통합 보안의 중요성이 커질 것으로 내다봤다.

체크포인트는 <디지털데일리>와의 서면 인터뷰를 통해 "올해 글로벌 보안업계는 공격자들이 AI를 포함한 진보적인 툴을 적극 활용하면서 전년 대비 도전적인 상황에 직면할 것으로 예상된다"며 "매년 같은 일이 반복되지만 기술 진화는 방어뿐만 아니라 공격자들도 성장하게 만들기 때문에, 검증된 최신 기술 기반의 솔루션과 포괄적인 방어 태세를 구축할 수 있는 솔루션 구축이 어느 때보다 필요한 상황"이라고 진단했다.

이어 "시장에 대한 긍정과 부정에 대한 예상은 그 누구도 쉽게 단언할 수 없는 일"이라며 "최첨단 신규 공격이 예고 없이 창궐할 수 있다는 전제 아래 언제 어디서나 전문 기술력을 갖춘 벤더를 통해 자산을 지켜내는 방어 태세를 구축하는 일이 중요하다"고 말했다.

체크포인트는 지난해 12월 나다브 자프리르(Nadav Zafrir) 신임 최고경영자(CEO)를 선임한 이후, 올 한해를 이끌 핵심 키워드로 '리얼 시큐리티(Real Security·진짜 보안)'를 꼽았다. 체크포인트는 통합 보안 플랫폼 '인피니티 플랫폼'에 네트워크 및 데이터센터 보안 '퀀텀', 클라우드 보안 '클라우드가드', 원격근무 보안 '하모니'를 탑재해 제공하고 있다. 여기에 위협 현황과 방어를 지원하는 '쓰렛클라우드 AI' 및 통합 관리 기능을 연계하고 있다.

AI 공격을 대응할 AI 기능도 제공 중이다. 일례로 AI 어시스턴트 '인피니티 AI 코파일럿'과, 생성형 AI 사용을 위한 '젠AI 프로텍트(GenAI Protect)'를 구현하고 있다. 조직이 다양한 위치에서 보안 기능과 정책을 구현하도록 지원하는 '하이브리드 메시' 전략을 통해, 보안액세스서비스엣지(SASE)에도 이를 적용 중이다.

체크포인트는 "많은 사람들이 AI 기술을 '새로운 혁신'이라고 이야기하지만, 체크포인트는 인터넷이 처음 등장했던 시기처럼 '새로운 차원'이 열렸다고 생각한다"며 "AI에 대한 의견을 수렴하는 것보다, 보안의 본질을 지키는 것이 무엇보다 중요할 것"이라고 강조했다.