팔로알토 네트웍스가 자사의 보안 위협 연구기관 유닛42(Unit42)의 인시던트 대응 케이스를 바탕으로 랜섬웨어 보고서를 발간했다. 

조사에 따르면, 랜섬웨어 및 데이터 갈취 행위자들은 더욱 공격적인 전술을 사용하고 있으며, 특히 수위 높은 괴롭힘이 동반되는 경우가 늘었는데, 2021년 대비 20배 이상 증가했다. 휴대전화, 이메일 주소를 사용해 C레벨 경영진 등 조직 내 특정 인물을 타깃으로 하거나 고객을 겨냥하는 등 몸값을 지불하도록 압박을 주는 방식이다. 

최근 18개월내 발생한 1000여 건의 케이스에 대한 분석 결과를 담은 ‘2023 유닛42 랜섬웨어 및 갈취(extortion) 보고서’에 따르면, 지난해에도 랜섬웨어가 기업 및 기관들의 주요 고민거리로 작용한 것으로 나타났다. 몸값 요구 금액은 평균 65만 달러, 실제 지불 금액은 평균 35만 달러로 효과적인 협상을 통해 지불액을 줄일 수 있었던 것으로 분석됐다. 

팔로알토 네트웍스 유닛42 총괄 웬디 휘트모어 부사장은 "랜섬웨어를 사용하는 공격자들은 돈을 지불하는 가능성을 높이려는 궁극적인 목표를 위해 더욱 강력하게 압박을 가하고 있다”고 설명하며 “최근 조사한 5개 케이스 중 1개꼴로 ‘괴롭힘’에 관련된 액션이 담겨 있었고, 특히 지급일을 강제하기 위해 어떤 일도 서슴지 않는 모습을 보였다. 대부분은 고객 정보를 갈취하여 이를 사용해 기업을 괴롭히고, 몸값을 지불하도록 독촉한다”고 말했다. 

보고서에 담긴 주요 동향은 다음과 같다. 

• 여러가지 탈취 수단 사용한 압박

랜섬웨어 그룹들은 조직에 몸값을 지불하도록 압박하기 위해 강력하게 영향력을 행사하는 갈취 기술들을 계층화하여 사용하고 있다. 암호화, 데이터 탈취, 분산 서비스 거부(DDoS), 괴롭힘 등이 여기에 해당된다. 다크웹 사이트 유출과 관련성이 높은 데이터 탈취는 2022년 말까지 70%를 차지하며 가장 대중적인 공격 수단으로 꼽혔다. 이는 전년 대비 30% 오른 수치이다. 

• 데이터 유출 사이트를 통한 협박

유닛42 조사에 따르면 매일 평균 7명의 새로운 랜섬웨어 피해자가 유출 사이트에 게시되고 있다. 이는 4시간마다 한 명의 피해자가 발생하는 꼴이다. 유닛42에서 조사한 협상 관련 랜섬웨어 인시던트의 53%는 랜섬웨어 공격 그룹이 데이터 유출 사이트에 탈취한 데이터를 유출하겠다고 협박한 것으로 나타났다. 이러한 행위는 새로운 그룹과 레거시 그룹에서 혼합된 형태로 관찰되었으며, 새로운 공격 행위자들이 기존 그룹과 마찬가지로 현금을 회수하기 위한 환경에 진입하고 있음을 의미한다. 블랙캣(BlackCat), 록비트(LockBit) 등과 같은 기존 그룹이 유출의 57%에 기여했으며, 새로운 그룹이 43%로 뒤를 이었다.

• 사회 취약 계층을 공격하는 랜섬웨어 그룹

최근 1년간 주목할 만한 랜섬웨어 공격 그룹 중 특히 급격히 증가하고 있는 분야는 학교와 병원을 노리는 공격이다. 공격자들의 저열함이 두드러지는 이러한 유형의 공격의 대표적인 사례는 ‘바이스 소사이어티(Vice Society)’로, 이 조직은 2023년도에도 계속해서 활동하고 있으며, 유출 사이트에 게시된 인시던트의 절반가량이 교육 기관에 영향을 미치는 것으로 조사됐다. 

팔로알토 네트웍스는 또한 올해 보고서를 통해 공격자들이 사용하는 전술에 대한 심층적인 통찰을 공유하고 가장 영향을 많이 받는 산업 및 지역을 분석하는 한편 기업과 기관들의 대응 방안에 대한 팁을 제공했다. 

• 미국에 기반을 둔 조직들이 42%를 차지하며 가장 심각한 영향을 받았고, 독일과 영국이 각각 5%를 차지하며 그 뒤를 이었다.

• 2022년 한 해 동안 포브스 2000대 기업 중 30개의 조직이 공개적으로 심각한 영향을 받은 것으로 알려졌다. 2019년부터 집계한 바로는 이들 조직 중 최소 96곳은 탈취 시도로 인해 기밀 파일이 일부 노출됐다.

• 가장 빈번하게 표적이 된 업종은 제조업으로, 447개의 조직이 유출 사이트에 공개적으로 게시됐다.

• 유닛42의 인시던트 대응 팀이 조사한 랜섬웨어 공격의 최소 75%는 공격 표면 노출로 인해 발생했다.