1분기 국내 랜섬웨어 공격 18만 건…KISA "이중 갈취 활개"


블랙캣‧데드볼트‧슈가 등 신종‧변종 랜섬웨어 발견돼

[아이뉴스24 김혜경 기자] 최근 기업과 공공기관을 겨냥한 사이버 공격이 급증하는 가운데 파일 암호화·데이터 탈취를 동시에 수행하는 랜섬웨어 공격이 늘어나고 있다. 러시아의 우크라이나 침공 사태를 틈타 랜섬웨어가 활개를 치고 있어 각별한 주의가 요구된다.

15일 한국인터넷진흥원(KISA)이 발표한 '2022년 1분기 랜섬웨어 동향 보고서'에 따르면 올해 1분기에는 ▲블랙캣(BlackCat) ▲데드볼트(DeadBolt) ▲슈가(Sugar) 등의 신종 랜섬웨어가 발견됐다.

2022년 1분기 랜섬웨어 탐지 건수 [사진=KISA‧이스트시큐리티]

1분기에는 총 70종의 랜섬웨어 공격이 발생했다. 이 중 50종은 기존 랜섬웨어의 변종으로 나타났고, 20종은 새로운 형태의 랜섬웨어로 분석됐다. 이스트시큐리티가 탐지한 올해 1분기 국내 랜섬웨어 수는 약 18만 건으로, 지난해 4분기 대비 1만4천500건이 늘어난 것으로 집계됐다.

최근 랜섬웨어 공격은 '이중 갈취' 수법으로 진화하고 있다. 공격자가 피해자의 파일을 암호화해 복구 비용을 요구하는데 그치지 않고, 탈취한 데이터 일부를 유출한 뒤 협상에 응하지 않을 경우 전체를 공개하겠다고 협박하는 방식이다.

1분기에 발견된 신종‧변종 랜섬웨어 가운데 블랙캣은 주로 유럽 기업들을 타깃으로 삼고 있다. 독일 연방정보기술보안청(BSI)에 따르면 블랙캣은 최근 독일 석유기업 2곳을 공격했다. 해당 기업들은 식별되지 않은 게이트웨어를 통해 블랙캣 랜섬웨어에 감염됐다.

특히 오일탱킹(Oiltanking)사는 이번 랜섬웨어 공격으로 석유 공급에 차질이 빚어져 피해를 막을 수 없었다고 밝혔다. 이 외에도 블랙캣은 이탈리아 패션 브랜드인 몽클레르(Moncler)와 스위스 항공 서비스 기업 스위스포트(Swissport) 등도 공격한 것으로 나타났다. KISA에 따르면 블랙캣 랜섬웨어는 C언어와 자바(Java), 파이선(Python) 등 일반적인 프로그래밍 언어가 아닌 '러스트(Rust)'라는 언어로 제작됐다.

블랙캣은 자신들이 다크사이드(DarkSide)‧블랙매터(BlackMatter) 랜섬웨어와 같은 계열이라고 밝힌 바 있다. 다크사이드는 지난해 5월 미국 콜로니얼 파이프라인 랜섬웨어 사건의 배후로 지목된 해커집단으로, 미 정부는 1000만달러의 현상금을 내걸었다.

데드볼트 랜섬웨어는 네트워크 연결 저장장치(NAS)의 보안 취약점을 겨냥해 공격한다. 올해 1월 말 대만 NAS 제조사인 큐냅(QNAP)의 장비 4천988개가 해당 랜섬웨어에 감염된 것으로 나타났다.

QNAP은 문제를 해결하기 위해 펌웨어를 업데이트했고 이후 감염된 장비는 300대 미만으로 줄었다. 공격자는 QNAP 장비의 제로 데이(Zero-Day) 취약점을 이용해 공격했다고 주장했다.

마지막으로 슈가는 지난 2월 미국 월마트를 공격하는데 성공했다. 해당 랜섬웨어는 '델파이(Delphi)'라는 프로그래밍 언어가 사용된 것으로 추정된다. 각 폴더마다 최대 10만 개의 파일을 암호화하며, 10만 개를 초과할 시 더 이상 암호화되지 않는다는 특징이 있다. 다른 랜섬웨어 그룹과 연관성은 아직까지 확인되지 않았지만 '레빌(REvil)' 등과 유사한 방식으로 작동하는 것으로 분석됐다.

데드볼트 랜섬웨어는 공격자에게 비트코인을 지불한 후 복호화 키를 획득하면 파일을 복구할 수 있다. 반면 블랙캣과 슈가의 경우 복구 도구가 공개되지 않았다.

KISA는 보고서를 통해 "랜섬웨어의 사업화가 빠르게 진행되고 있다"며 "금전적 이익을 최대한 얻기 위해 이중 협박 방식으로 진화하고 있어 이에 대응할 수 있는 방안이 필요한 상황"이라고 전했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스