[2022년 랜섬웨어 분석] 작년 랜섬웨어 총 피해액, 5천600억 이상...몸값 지급 빈도↓
2021년~2022년 랜섬웨어 공격, 2천865건에서 2천566건으로 10.4% 감소 사이버 보험사들의 보안 조치 개선 요구로 보안 강화...몸값 지급 빈도 낮춰 랜섬웨어 대응, 백업이 최선 해결책은 아냐...지속적인 랜섬웨어 비상 대응 훈련이 중요
2022년 랜섬웨어 총 피해액은 4억 5,680만 달러(약 5,633억 2,576만 원)로 2021년 7억 6,560만 달러(약 9,443억 6,760만 원) 대비 40.3% 감소한 수치로 조사됐다. 피해액 감소는 실제 공격 건수의 감소보다는 피해자들의 랜섬웨어 몸값 지불 거부로 비롯된 결과다.
몸값 지불율은 76%(2019년)에서 41%(2022년)로 지속적으로 하락하면서 랜섬웨어 공격자의 수익을 악화 시키고 있다.
또한 공격자는 랜섬웨어 활동 추적을 어렵게 하기 위한 방법으로 랜섬웨어의 평균 활동기간을 짧게 가져가고 있다. 2020년 265일에서 2022년 70일로 줄었다.
랜섬웨어 생태계는 많은 범죄 조직들이 서로 경쟁하는 것 처럼 보이지만 실제 활동하는 조직의 수는 상당히 적다.
위 내용은 체이널리시스에서 최근 공개한 랜섬웨어 보고서 내용이다. 좀더 자세히 살펴보면 다음과 같다.
◆2022년, 랜섬웨어와의 전쟁에서 의미있는 성과 거둬
체이널리시스 보고서에 따르면, 2022년은 랜섬웨어와의 전쟁에서 의미있는 성과를 거둔 해였다. 2022년 랜섬웨어 피해액은 4억5,680 만 달러(약 5,633억2,576만 원)로 2021년 랜섬웨어 피해액인 7억6,560만 달러(약 9,443억6,760만 원)에 비해 감소한 것으로 조사됐다.
이 수치는 모든 랜섬웨어 공격자의 가상자산 주소를 포함하진 않기 때문에 추가 식별되는 공격자가 있을 경우 피해액은 더 높아질 수 있다.
2022년 피해액도 늘어날 가능성이 있지만 2021년에 비해 랜섬웨어 피해액이 상당히 감소했다는 것은 분명한 사실이다. 하지만 랜섬웨어 피해액의 감소가 랜섬웨어 공격이 줄었다는 것을 의미하지는 않는다.
체이널리시스는 피해액 감소의 주된 원인을 랜섬웨어 공격자들에게 몸값 지불을 거부하는 피해자들이 증가했기 때문이라고 보고 있다.
랜섬웨어를 통한 수익이 감소했음에도 불구하고 운영 중인 고유 랜섬웨어 변종 수는 2022년에 폭발적으로 증가했다. 포티넷(Fortinet)은 연구결과를 통해 2022년 상반기에 1만 개 이상의 고유한 변종이 생성됐다고 발표했다.
최근 몇 년간 활동하는 랜섬웨어의 수가 크게 증가했지만 대부분의 랜섬웨어 피해액은 언제나 소수의 랜섬웨어 그룹에 의해 발생했다.
한편 랜섬웨어 수명은 계속해서 감소하고 있다. 2020년에는 랜섬웨어 변종의 활동기간이 평균 265일인 데 비해, 2021년에는 153일, 2022년에는 70일로 짧아지고 있다. 이는 많은 랜섬웨어 공격자들이 여러 변종을 통해 랜섬웨어 활동 추적을 어렵게 하기 위한 방법으로 분석된다.
체이널리시스 분석에 따르면, 랜섬웨어 피해액이 주류 거래소로 흘러가는 비중은 2021년 39.3%에서 2022년 48.3%로 성장한 반면에 고위험 거래소로 가는 비중은 10.9%에서 6.7%로 감소했다. 랜섬웨어 자금세탁을 위한 다크넷마켓 등 불법 서비스 이용은 감소한 반면 믹서 이용은 11.6%에서 15.0%로 증가했다.
◆생각보다 작은 랜섬웨어 생태계
상위 랜섬웨어 변종들이 끊임없이 소멸되고 생성되는 랜섬웨어 생태계는 마치 많은 범죄 조직들이 서로 경쟁하고 새로운 조직이 끊임없이 합류하는 것으로 보인다. 하지만 많은 랜섬웨어들이 일 년 내내 활동하는데 비해, 랜섬웨어 생태계를 구성하는 실제 조직의 수는 상당히 적은 것으로 파악되고 있다.
대부분의 랜섬웨어 변종은 서비스형 랜섬웨어(RaaS)로 이는 제작자에게 비용만 지급하면 랜섬웨어 공격을 하도록 서비스 형태로 제공되는 랜섬웨어를 말한다. 체이널리시스는 많은 공격자들이 여러 다양한 변종을 이용해 공격하는 것을 자주 볼 수 있었다.
기술적으로는 2022년 내내 수십 개의 랜섬웨어 변종이 등장했지만 이러한 공격의 대부분은 같은 공격자를 통해 이뤄졌을 가능성이 높다. 이것은 랜섬웨어식 긱 이코노미(gig economy)라고 볼 수 있다. 카풀 운전자가 우버(Uber), 리프트(Lyft), 오자(Oja)와 같은 앱을 동시에 사용해 거시적으로는 세 명의 운전자가 따로 있는 것처럼 보이는 것과 같다.
마이크로소프트 시큐리티(Microsoft Security)는 올해 초 블로그 게시물에서 하이브(Hive), 콘티(Conti), 류크(Ryuk), 블랙캣(BlackCat) 랜섬웨어 변종을 활발하게 사용한 공격자 그룹 DEV-0237에 대해 언급했다.
마이크로소프트 시큐리티 연구진은 공격 방식에 대한 기술적 세부 사항을 분석해 공격자가 동일한 사례를 확인했고 체이널리시스 또한 블록체인에서 공격자가 겹치는 것을 확인할 수 있었다. 체이널리시스 리액터(Chainalysis Reactor) 그래프에서 다르마 (Dharma), 콘티, 블랙캣 랜섬웨어 변종으로부터 각기 다른 시기에 거액을 받은 공격자를 확인할 수 있다. 이는 동일 공격자가 세 변종 모두를 이용한 공격을 수행했음을 의미한다.
특히 ‘콘티’는 공격자뿐만 아니라 관리자들이 어떻게 자신들의 브랜드를 바꾸고 변종간 전환하는지 관찰할 수 있는 흥미로운 사례다. 콘티는 몇 년 동안 아주 영향력 있는 랜섬웨어 변종으로, 2021년에 다른 어떤 랜섬웨어 변종보다 더 많은 수익을 얻었다.
콘티 팀은 러시아의 우크라이나 침공 직후인 2월 블라디미르 푸틴 정부에 대한 지지를 표명했다. 그 직후 콘티의 내부 통신 캐시가 유출됐고 러시아 연방 보안국(FSB)과의 관계가 드러나게 됐다.
이런 이유로 많은 랜섬웨어 피해자와 사고 대응 회사는 콘티가 제재 대상이 아님에도 불구하고 콘티와 연관된 FSB가 제재받고 있기 때문에 몸값 지불에 위험 부담을 느꼈다.
콘티는 지난해 5월에 폐업을 발표했지만 곧이어 콘티 팀의 대부분이 더 작은 그룹으로 쪼개져 활동을 이어 나갔다. 콘티의 폐업은 많은 공격자들이 피해자들이 몸값을 지불할 가능성이 더 높은 다른 변종들을 골라 공격하도록 만들었다.
콘티의 리더, 공격자, 그리고 다른 팀원들이 여전히 새로운 브랜드 이름으로 랜섬웨어 공격을 성공적으로 이어나가고 있다면 콘티는 실질적으로 폐업했다고 보기 어렵다.
데이터에 따르면, 랜섬웨어 생태계는 별개의 랜섬웨어 집합이 아닌 브랜드 이름만 주기적으로 바꾸는 작은 해커 집단으로 생각하는 편이 더 낫다. 공격자들이 랜섬웨어 간 이동하는 유동성은 랜섬웨어 생태계를 실제보다 더 커 보이게 한다. 랜섬웨어 사고 대응 회사 코브웨어(Coveware)의 CEO 이자 공동 설립자인 빌 시겔(Bill Siegel)은 "랜섬웨어 관련 핵심 인물들은 믿을 수 없을 정도로 적다"며 "그들은 모두 같은 범죄자들이며, 도주 차량을 다시 칠하고 있을 뿐이다"라고 밝혔다.
시겔은 이러한 활동이 최근에 증가했으며 공격자들은 이제 오랫동안 하나의 랜섬웨어를 고수하기보다는 다양한 랜섬웨어로 자주 이동할 가능성이 훨씬 더 높다고 지적했다. 그러나 랜섬웨어 공격자들의 의도와는 달리 수사관들은 블록체인의 투명성을 통해 리브랜딩이 발생하는 즉시 파악할 수 있다.
◆랜섬웨어 피해자의 몸값 지불 거부와 이유
지금까지의 데이터를 바탕으로 체이널리시스는 2022년 랜섬웨어 총 피해액을 4 억 5,680 만 달러(약 5,633억 2,576만 원)로 집계했다. 이는 2021년 7억 6,560만 달러 (약 9,443억 6,760만 원)에 비해 40.3% 감소한 수치다. 피해액 감소는 실제 공격 건수의 감소보다는 피해자들의 랜섬웨어 몸값 지불 거부로 비롯된 결과다.
이에 대해 가장 먼저 떠오르는 질문은 ‘랜섬웨어 주소를 식별하는 데 걸리는 시간과 피해자의 소극적인 피해 보고를 고려할 때 실제로 몸값을 지불한 피해자가 더 적다는 것을 어떻게 알 수 있을까?’일 것이다.
사이버 보험 회사 리질리언스(Resilience)의 최고 청구 책임자인 마이클 필립스(Michael Phillips)는 랜섬웨어 수익이 감소했다고 해서 기업들이 안심해서는 안 된다고 지적했다.
그는 "사이버 보험 업계 전반에 걸친 청구 데이터에 따르면 랜섬웨어는 여전히 여러 기업에 위협으로 작용하고 있다. 그러나 랜섬웨어 공격자 그룹에 대한 의미 있는 방해들이 공격 성공률을 낮춘다는 징후가 포착됐다"고 전했다.
필립스는 러시아-우크라이나 전쟁의 혼란, 가상자산 수익 회수, 관련기관 검거를 포함한 법 집행을 방해의 예시로 들었다.
랜섬웨어 감별사로 알려진 레코디드 퓨처(Recorded Future)의 정보 분석가이자 랜섬웨어 전문가인 앨런 리스카(Allan Liska)는 많은 랜섬웨어 공격자들이 피해자들에게 돈을 지불하도록 압박하고자 피해자들로부터 훔친 데이터를 게시하는 데이터 유출 사이트(Data Leak Sites, DLS) 데이터 팀을 지목했다.
그는 "대부분의 기업은 기본 피해자 유형을 수집하기 위해 DLS 데이터를 스크랩한다. 그 결과 2021년부터 2022년까지 랜섬웨어 공격은 2천865건에서 2천566건으로 10.4% 감소했다”고 밝혔다.
DLS 피해자 유출을 공격 횟수라 생각하면 10.4% 감소한 유출과 40.3% 감소한 전체 랜섬웨어 수익 사이에는 여전히 큰 격차가 있다. 사이버 보험 및 사고 대응 회사와의 대화를 통해 랜섬웨어 수익감소의 주요 원인을 몸값을 지불하는 피해자들의 경우가 줄어든 것에서 찾을 수 있었다.
이러한 추세는 매우 희망적이다. 2019년 이후 몸값 지불율은 76%에서 41%로 하락했다. 지불율 하락의 주요 원인 중 하나는 2021년 9월 몸값을 지불할 경우에 대한 제재 위반 가능성을 언급한 미 재무부(OFAC) 주의보다.
리스카는 "제재 위협이 대두되면서 랜섬웨어 공격자에게 몸값을 지불 할 경우 겪게 될 법적 위험이 추가됐다"라고 말했다. 빌 시겔 역시 이에 동의하면서 그의 회사 또한 랜섬웨어 공격자가 제재 대상과 조금이라도 연루돼 있다면 몸값을 지불하지 않을 것이라 밝혔다.
또 다른 원인으로는 주로 랜섬웨어 피해자에게 보상금을 지급하는 사이버 보험사들의 전망을 들 수 있다.
리스카는 "사이버 보험이 보험 가입자뿐만 아니라 보험금 지급을 강화하는 데 앞장섰기 때문에 고객이 몸값을 지불하기 위해 보험금 지급을 허용할 가능성이 훨씬 적어졌다"고 전했다.
필립스 또한 "기업들은 랜섬웨어 보험에 가입하기 위해 엄격한 사이버 보안 및 백업 조치를 준수해야 한다. 이러한 요구 사항은 기업이 몸값을 지불하는 것보다 공격으로부터 회복하는 데 확실한 도움이 되는 것으로 입증됐다. 랜섬웨어의 원인이 되는 요소에 대한 보험이 급증하면서 기업의 사고 비용이 감소하고 피해액 역시 감소하는 추세에 기여했다”며 한 목소리를 냈다.
◆사이버 보험사들의 사이버 보안 조치 개선 요구가 몸값 지급 빈도 낮춰
시겔은 사이버 보험사들의 사이버 보안 조치 개선 요구가 몸값 지급 빈도가 낮아진 추세의 핵심 원인이라는 데 동의하고, 고객들에게 시행을 촉구하는 조치 중 일부를 설명했다.
시겔은 "많은 보험사들이 보험 가입 기준을 강화하고 있으며 보험 가입자에게 포괄적인 백업 시스템을 갖추고 EDR을 사용하며 다중 인증을 하도록 요구할 것이다. 이로 인해 많은 기업은 더욱 안전해졌다"고 밝혔다.
리스카는 지난 몇 년간 사이버 보안 조치가 크게 개선됐다는데 입을 모았다. “빅
게임 헌팅과 서비스형 랜섬웨어가 본격적으로 시작된 2019년에는 많은 보안 전문가들이 백업의 중요성을 강조했다. 보안 전문가들이 충고한대로 기업이 이를 구현하는 것은 다소 시간이 걸린다. 효과적인 백업 솔루션을 보유한다고 해서 랜섬웨어 공격이 중단되거나 데이터 도난에 도움이 되지는 않지만 피해자에게 더 많은 옵션을 제공해 몸값 지불 강요는 피할 수 있다"고 덧붙였다.
시겔은 가용성이 높은 세분화된 데이터 백업을 사용하는 기업이 랜섬웨어가 비즈니스에 끼친 영향이 훨씬 적다는 점을 설명하고 피해의 심각성을 생각했을 때 경제적으로 정당화되지 않는 한 몸값 지불을 거부할 것을 조언했다.
◆랜섬웨어 대응, 백업이 최선 해결책 아냐...지속적인 랜섬웨어 비상 대응 훈련이 중요
리스카는 작년 3개월간 두 번의 공격을 겪은 호주 물류 회사 톨(Toll)의 사례를 들어 데이터 복구 프로세스가 몇 달이 걸리는 등 지체될 수 있으며 복구 과정에서는 후속 공격에 취약해질 수 있다는 점에 주목하며 백업이 무조건적인 해결책은 아니라고 강조했다. 가장 좋은 시나리오는 랜섬웨어 공격의 희생양이 되지 않는 것이다.
이를 위해 리스카는 보안 책임자의 보안 유지와 취약점 파악을 위해 사이버 보안, 네트워킹, IT, 서버 관리, 백업, PR, 재무 등 모든 관련 팀들이 지속적으로 비상 대응 훈련을 받을 수 있도록 권장한다.
리스카는 “조직의 현재 위치와 강약점을 현실적으로 파악하면 랜섬웨어 공격을 받았을 때 잘 대비할 수 있으며 경영진들에겐 네트워크 보안을 강화하기 위해 어디에 더 주의를 기울이고 투자를 해야하는지 알 수 있는 기회가 된다”고 조언한다.
★정보보안 대표 미디어 데일리시큐!