검색 본문 바로가기 회사정보 바로가기
네이버채널 구독
> IT/과학 > 보안ㆍ해킹

말할 수 없는 '아픔'도 턴다…기업화 되는 '랜섬웨어 해킹'[미래on]

악성코드 개발·공격자 역할 나눠…수익도 2대8로 배분
각자 역할 집중해 실력 높여…피해액 10배 넘게 커질 듯

(서울=뉴스1) 오현주 기자 | 2023-06-20 05:30 송고 | 2023-06-20 09:18 최종수정
편집자주 기술·사회·산업·문화 전반의 변화가 가속화하고 있다. 산업·문화 혁신과 사회·인구 구조 변화 등 여러 요인이 유기적으로 맞물린 현상이다. 다가오는 시대에 성공적으로 대처하려면 현재를 진단하고 미래를 가늠해 보는 지혜가 필요하다. 이를 위해 뉴스1은 세상 곳곳에서 감지되는 변화를 살펴보고 어떤 식으로 바뀌는지 '미래on'을 통해 다각도로 살펴본다.
랜섬웨어 해킹 © News1 DB
랜섬웨어 해킹 © News1 DB

#지난해 10월 호주인 여성 A씨가 과거 낙태수술을 받은 기록이 한 '다크웹'(특정 프로그램으로만 접속할 수 있는 웹사이트)에 공개됐다. 이와 함께 마약 복용·알코올 중독 같은 민감한 개인 의료기록이 게재됐다. 랜섬웨어 공격을 받은 호주 최대 건강보험회사 '메디뱅크'가 약 1000만명의 개인정보를 유출한 결과다.

랜섬웨어 해커들이 기업처럼 역할을 더욱 분업화 해 이같은 피해가 일상화 될 전망이다. 랜섬웨어는 '랜섬'(ransom·몸값)과 '멀웨어'(malware·악성코드)를 합친 말로, 컴퓨터 데이터에 암호를 걸어 사용 불능 상태로 만든 뒤 현금 또는 암호화폐를 뜯어내는 공격이다. 전세계 사이버 침해 사고의 25%를 차지할 정도로 주류로 떠올랐다.
20일 안랩과 업계에 따르면 '록빗'(Lock Bit) 같은 유명 랜섬웨어 조직은 기업 형태로 공격을 감행한다. 해커 단독으로 △랜섬웨어 제작 △네트워크(NW) 침입 △랜섬웨어 배포·공격을 맡는 건 어렵다고 판단해 'RaaS'(서비스형 랜섬웨어·Ransomware-as-a-Service)라는 비즈니스 모델(BM)을 만들었다.   

이 BM은 크게 세 가지 요소로 구성된다. △접근 권한을 빼내는 초기 침투 공격자 'IAB'(Initial Access Broker) △랜섬웨어 악성코드 개발·운영자(록빗 등) △랜섬웨어 배포와 공격을 맡는 파트너(계열사·affiliates)가 주인공인다. 

구체적으로 록빗 등 랜섬웨어 개발자는 랜섬웨어 배포·공격을 맡을 수많은 파트너를 찾고, 파트너가 IAB로부터 구매한 접속권한을 가지고 공격을 하면 수익을 나눈다. 수익은 개발자가 10~20%, 공격자(파트너)는 80~90% 수준을 가져간다.
정진성 안랩 TI(위협 인텔리전스) 개발팀 수석 연구원은 "이들은 각자의 역할을 분담하고 수익을 공유하는 등 마치 기업과 같은 형태로 조직·분업화했다"고 말했다. 

여러 부서로 구성된 회사처럼 랜섬웨어 공격도 체계적으로 변하는 모습이다. 전세계에서 하루에 수천 번씩 랜섬웨어 공격 시도가 가능해진 이유다. 한국인터넷진흥원(KISA)에 따르면, 지난해 국내 랜섬웨어 신고 건수(303건)는 전년(223건)대비 35% 증가했다. 

시간이 흐르면, 이들은 지금보다 더 체계적으로 분업화 돼 대규모 공격을 펼칠 것으로 분석된다. 미국 보안 기업 사이버시큐리티벤처스에 따르면 랜섬웨어 공격 피해액은 2031년 2650억 달러(약 337조 원)로 예상된다. 2021년 피해 추산액(200억 달러)와 비교하면 13배 이상이다.

IAB의 가치 역시 올라갈 전망이다. IAB는 랜섬웨어 공격자가 기업 사이트로 들어갈 수 있는 문을 열어주는 중요한 역할을 한다. 타깃 대상이 금융권 또는 대기업일 경우 판매가는 더 비싸진다. 정진성 안랩수석 연구원은 "IAB는 요즘 사이버 범죄 생태계에서 가장 몸값이 높다"고 말했다.

이처럼 랜섬웨어 조직이 체계적으로 움직이면, 해킹 후 피해는 더 심해질 전망이다. 통상 랜섬웨어 피해는 공격자에게 돈을 지급한 뒤에도 계속된다. 일부 해커들은 랜섬웨어 악성코드와 함께 개인정보를 빼내는 '인포스틸러' 악성코드도 유포한다. 해커가 요구하는 돈을 주고도, 피해자 또는 피해기업의 민감한 개인정보가 '다크웹'에 올라갈 수도 있다.

최근 '구매 버튼'만 누르면 마약이나 온라인동영상서비스(OTT) 계정을 구매할 수 있는 다크웹 '오토숍'(Auto Shop) 사이트에서 말할 수 없는 개인정보가 잇따라 공개될 가능성이 크다. 

업계 관계자는 "이들은 암호화된 데이터로 협박하는 것을 넘어, 감염자 정보도 유출해 추가 수익을 극대화하고자 한다"며 "랜섬웨어 해커 조직이 더 체계화 되면, 해킹 후유증이 더 심해질 것"이라고 말했다.

보안업계는 랜섬웨어 해킹을 완전히 막을 방법은 없다고 본다. 전반적인 보안체계 모니터링이 지속적으로 필요한 상황이다. 

또다른 업계 관계자는 "현재 기업들은 '초기 침투가 아예 들어오면 안 돼'라는 가정하에 (초기 침투만) 막아내려고 하고 있다"며 "이제 클라우드 도입도 계속되는 만큼 (해커의) '거점확보'부터 '지속실행' 단계까지 모두 신경 써야 한다"고 말했다.


woobi123@news1.kr

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

핫뉴스

오늘의 핫 포토

국내 첫 원전 고리1호기 해체 작업 시작

'서울 대형병원 전원' 관련 공무원 고발하는 임현택 의협회장

서울고법 주위로 재판부 응원 화환 줄이어

무료 급식 줄 선 어르신들

'고맙다 아가'

'껑충' 뛴 김 가격

"민심 청취 취약했다"…민정수석실 부활

이런 일&저런 일

    더보기

    전문가 더보기

    외부 필진 더보기

    뉴스1 칼럼 더보기

    news1 블로거 더보기

    BBC