2024-03-29 09:30 (금)
2021년 상반기 랜섬웨어 평균 몸값 최고 기록 경신
상태바
2021년 상반기 랜섬웨어 평균 몸값 최고 기록 경신
  • 길민권 기자
  • 승인 2021.08.24 16:37
이 기사를 공유합니다

암호화, 데이터탈취, 서비스거부, 업무방해 등 4가지 기법 다양하게 활용하는 공격 증가
2021년 상반기 랜섬웨어 리포트
2021년 상반기 랜섬웨어 리포트

팔로알토 네트웍스(지사장 이희만)의 사이버 보안 위협 연구기관 유닛42가 조사한 2021년 상반기 랜섬웨어 위협 조사 최신 결과 분석에 따르면, 2021년 상반기 중 랜섬웨어에 지불된 평균 금액이 57만 달러(약 6억 6천만원)를 기록한 것으로 나타났다. 이는 지난해 평균 금액이 31만 2천 달러였던 것에 비해 171% 상승하며 최대 기록을 경신한 수치이다.

몸값 요구 금액도 증가했다. 2021년 상반기의 평균 몸값 요구 금액은 530만 달러로, 지난해 평균 금액인 84만 7천 달러에서 518% 높아진 수치이다. 단일 건 중 최고 몸값 요구액은 지난해 3천만 달러에서 올해 상반기 5천만 달러로 높아졌다.

특히 Revil의 경우 카세야 VSA 공격을 입은 모든 조직들에게 범용 복호화 키를 제공하는 대가로 7천만 달러를 요구했다가 5천만 달러로 인하하기도 했다. 올해 중 현재까지 가장 큰 지불 금액은 세계 최대 육가공 업체 JBS SA건으로 1100만 달러였다.

2021년 상반기에 확인된 주요 랜섬웨어 공격 기법은 크게 4가지이다.

◇ 암호화- 키 파일을 암호화하여 스크램블링 된 데이터와 작동이 중단된 컴퓨터 시스템에 다시 접근하기 위해 몸값을 지불해야 하는 방식

◇ 데이터 탈취- 몸값을 지불하지 않으면 민감한 정보들을 공개하는 방식

◇ 서비스 거부(DoS)- 피해 조직의 공식 웹사이트에 서비스 거부 공격을 실시하여 폐쇄에 이르게 하는 방식

◇ 업무방해- 공격자들이 직접 타깃 조직의 고객, 비즈니스 파트너, 임직원, 미디어에 연락하여 해킹 사실을 알리는 방식

조사에 따르면 타깃 한 곳에 4가지 기법을 모두 사용하여 공격을 실행하는 경우는 드물지만, 올해에는 점점 더 많은 공격사례에서 암호화 및 데이터 탈취 후 몸값을 지불하지 않는 경우 추가적인 공격 조치가 이루어진 것으로 드러났다.

2020년 한 해의 랜섬웨어 트렌드를 다룬 최근 보고서에서는 두 가지 기법을 함께 사용하는 것을 새로운 관행으로 분석했는데, 올해에는 공격 기법을 2배로 추가하는 움직임이 관찰됐다.

유닛42는 사이버 범죄 조직들이 하반기에도 지속적으로 지불을 강제하고 더 파괴적인 공격을 실시할 것으로 관측했다. 실제로 하이퍼바이저로 알려진 소프트웨어 유형을 암호화함으로써 한 대의 서버에서 운영되는 여러 대의 가상 인스턴스를 손상시키는 공격도 포착됐다.

하이퍼바이저 및 관리형 인프라 소프트웨어를 노리는 공격이 증가할 것으로 전망된다. 또한 유닛42는 MSP들의 고객에게 랜섬웨어를 전파시키도록 사용됐던 카세야 원격 관리 소프트웨어를 활용한 공격의 후속 여파로 MSP 및 이를 사용하는 고객들을 타깃으로 하는 공격도 늘어날 것이라고 밝혔다.

한편 일부 해킹 조직은 사이버 보안에 집중 투자할 자원이 부족한 중소 기업을 정기적으로 집중 공략할 것으로 전망된다. 올해 지금까지 NetWalker, SunCrypt, Lockbit을 포함한 여러 랜섬웨어 그룹들이 1만 달러에서 5만 달러에 이르는 몸값을 요구하고, 실제로 지불된 것으로 분석됐다. 상대적으로 적은 규모이지만, 소규모 기업의 경우 충분히 타격을 입을 수 있는 금액이다.

팔로알토 네트웍스는 최근 이슈가 됐던 Mespinoza, REvil, Prometheus, Conti, DarkSide, Clop 등을 포함해 유닛42 블로그를 통해 다양한 랜섬웨어 최신 동향을 다루고 있으며, 랜섬웨어 대비 진단 검사를 통해 사전 대응 전략에 대한 컨설팅을 제공하고 있다.

랜섬웨어에 노출될 위험을 최소화하기 위해 팔로알토 네트웍스가 제안하는 3가지 권고사항은 다음과 같다.

◇ 초기 액세스- 변종을 포함한 거의 모든 랜섬웨어의 초기 액세스는 비슷한 양상을 가진다. 조직에서는 이메일 보안에 대한 사용자 인식 및 관련 교육을 지속해야 하며, 회사 계정에 악성 메일이 수신되는 즉시 식별하고 조치할 수 있는 방법을 제공해야 한다. 인터넷 노출 서비스에 대한 패치 관리 및 검토가 이루어져야 하며, 원격 데스크톱 서비스의 경우 최소한의 권한으로 적절하게 보안 구성이 이루어져 있는지, 비밀번호 자동 조합으로 로그인을 시도하는 브루트포스(brute-force) 기법을 탐지하는 대비가 되어 있는지 검토해야 한다.

◇ 백업 및 복구 프로세스- 지속적으로 데이터를 백업하고 적절한 복구 프로세스를 유지해야 한다. 랜섬웨어를 사용하는 공격자들은 대부분 온사이트 백업을 암호화하고자 시도하므로, 조직에서는 모든 백업이 안전하게 오프라인 상태로 유지되도록 해야 한다. 랜섬웨어 공격이 발생할 경우 조직에 다운타임과 비용을 최소화하기 위해 복구 프로세스를 구현하고, 주요 이해 관계자가 모두 참여하여 리허설을 실시하는 것도 필요하다.

◇ 보안 제어- 랜섬웨어로부터 보호하는 가장 효과적인 전략은 엔드포인트 보안, URL 필터링 또는 웹 보호, 지능형 위협 차단, 사용자 디바이스를 포함하여 전사적으로 구축 가능한 피싱 방지 솔루션이다. 이러한 대비책이 완벽한 예방을 보장할 수는 없으나 보편적인 랜섬웨어 변종으로부터의 감염 위험은 절대적으로 줄여줄 수 있으며, 한가지 기술이 유효하지 않을 때 대체제로 작용하여 조치에 필요한 시간을 벌어줄 수 있다.

팔로알토 네트웍스 코리아 이희만 대표는 “랜섬웨어 위협은 점점 더 과감하고 파괴적으로 진화하고 있다. 개인의 컴퓨터를 멈추는데 그치지 않고, 핵심 비즈니스를 중단시키거나 브랜드 평판에 막대한 영향을 미치는 등 피해 규모가 이전과는 다른 수준으로 확장되고 있다”라며 “선제적인 대응을 위해 정기적으로 보안 상태를 진단하고 위협 트렌드에 관심을 기울이는 것이 중요하다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★