최근 사이버 보안 기업 센티넬원(SentinelOne)과 레코디드 퓨처(Recorded Future)의 분석에 따르면, 중국과 북한의 국가 지원 해커들이 전 세계의 정부와 중요한 인프라를 대상으로 랜섬웨어를 사용하는 공격이 증가하고 있다고 전했다. 이러한 활동은 2021년부터 2023년까지 이어졌으며, 특히 의료, 정부, 제조업 등 다양한 분야를 표적으로 삼고 있다고 경고했다.

 

 

첫 번째 주요 공격 그룹은 ChamelGang(카모페이)으로, 포지티브 테크놀로지(Positive Technologies)에 의해 2021년에 처음 알려졌다. 이 그룹은 중국과 연계된 것으로 알려져 있으며, 정보 수집, 데이터 도난, 금전적 이익, 서비스 거부(DoS) 공격 등 다양한 공격 활동을 해오고 있다. ChamelGang은 BeaconLoader, Cobalt Strike, AukDoor 및 DoorMe와 같은 백도어를 포함한 다양한 해킹 도구를 사용한다. 특히 이들은 2022년에 인도 AIIMS와 브라질 대통령부를 대상으로 CatB 랜섬웨어를 사용한 공격으로 주목받았다. 이 외에도 동아시아의 한 정부 기관과 인도 아대륙의 한 항공 조직을 목표로 삼았다.

 

2023년에도 ChamelGang의 활동은 계속되었으며, 업데이트된 BeaconLoader를 사용해 Cobalt Strike를 배포하여 정찰 및 데이터 유출을 시도했다. 이 그룹의 활동은 다른 중국 해커 그룹인 REF2924와 Storm Cloud와도 연계되어 있으며, 이는 다양한 운영 그룹에 멀웨어를 공급하는 '디지털 병참지원'의 가능성을 시사한다.

 

 

이에 더해, 북한의 해커 그룹들도 활발히 활동하고 있다. 특히 안다리엘(Andariel)은 악명 높은 라자루스 그룹(Lazarus Group)의 하위 그룹으로, 여러 랜섬웨어 캠페인과 연계되어 있다. 이들은 금융적 이익과 파괴를 동시에 추구하며, Jetico BestCrypt와 Microsoft BitLocker와 같은 도구를 사용해 북미, 남미, 유럽의 다양한 산업을 공격했다. 미국에서는 주로 제조업 부문이 주요 목표가 되어 37개 이상의 조직이 영향을 받았다.

 

사이버 범죄와 사이버 스파이의 경계 

 

이러한 국가 지원 해커들이 랜섬웨어를 사용하는 것은 전통적인 사이버 스파이 활동과 사이버 범죄의 경계를 희석시킨다. 랜섬웨어를 통해 금전적 이익을 얻는 동시에, 스파이 활동을 은폐할 수 있어 방어자들이 공격의 출처를 추적하기 어렵게 만든다. 이는 독립적인 사이버 범죄자의 행위로 위장하여 국가 개입을 숨길 수 있도록 한다.