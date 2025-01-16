2024년 말에 가까워진 지금, 랜섬웨어는 모든 조직에 대한 지배적이고 진화하는 위협으로 남아 있습니다. 사이버 범죄자들은 그 어느 때보다 정교하고 창의적입니다. 그들은 새로운 기술을 통합하고 지정학적 긴장을 활용하며 심지어 법적 규제를 활용합니다.
한때 파괴적이지만 비교적 간단한 범죄처럼 보였던 이 범죄는 기업과 정부 모두를 계속 위협하는 다층적이고 전 세계적인 문제로 발전했습니다.
오늘날 랜섬웨어의 현황을 살펴보겠습니다. 사이버 범죄자들이 어떻게 전술을 변화시키고, AI 기술에 의존하고, 법적 프레임워크를 악용하는지에 초점을 맞출 것입니다.
랜섬웨어 환경에서 가장 중요한 발전 중 하나는 인공 지능(AI)을 사용하여 피싱 및 소셜 엔지니어링 공격을 강화한 것입니다. 과거에는 피싱 이메일에 철자가 틀린 단어, 잘못된 문법, 일반적인 메시지 등 명백한 사기 징후가 포함된 경우가 많았습니다. 하지만 새로운 생성형 AI 도구는 고도로 개인화되고 전문적인 이메일을 작성할 수 있어 업계의 판도를 크게 바꾸고 있습니다. 이것이 피싱 공격의 양과 성공률이 증가한 이유일 가능성이 큽니다. 피싱 캠페인이 더 쉽게 생성되고 그 어느 때보다 설득력 있게 되었기 때문입니다.
AI는 위협 행위자가 방대한 양의 데이터를 마이닝하여 특정 개인이나 조직을 표적으로 삼는 그럴듯한 이메일을 작성할 수 있도록 합니다. 이러한 이메일에는 합법적인 것처럼 보이게 하는 컨텍스트 정보가 포함되어 있어 성공 가능성이 크게 높아질 수 있습니다. 이러한 정밀한 공격을 제공하는 능력 덕분에 랜섬웨어는 의료와 같은 산업에 특히 파괴적인 영향을 미치며, 어떤 중단이라도 생명을 위협하는 결과를 초래할 수 있습니다.
또한 AI가 생성한 딥페이크 기술이 소셜 엔지니어링에서 중요한 역할을 하기 시작했습니다. 사이버 범죄자들은 이제 회사 경영진의 오디오 및 비디오 딥페이크를 만들어 직원들을 속여 돈을 이체하거나 민감한 정보를 공개하도록 유도할 수 있습니다. 이로 인해 사기를 탐지하는 것이 훨씬 더 어려워졌으며, 조직은 이러한 공격으로부터 자신을 보호하기가 점점 더 어려워지고 있습니다.
랜섬웨어 그룹은 기술적 수단에 의존하여 피해자가 몸값을 지불하도록 압력을 가할 뿐만 아니라 법적 규정을 조작하여 자신에게 유리하게 작용하고 있습니다. 2024년 가장 눈에 띄는 발전 중 하나는 정보공개 규칙, 특히 미국증권거래위원회(SEC)가 발표한 규칙이 무기화되었다는 것입니다.
최근 주목할 만한 사례로는 랜섬웨어 그룹 BlackCat/ALPHV가 디지털 대출 서비스 제공업체를 상대로 SEC에 정식으로 민원을 제기한 사건이 있습니다. 이 그룹은 회사의 파일을 유출한 후 해당 조직이 영업일 기준 4일 이내에 사이버 보안 사고를 공개해야 하는 규정을 준수하지 않았다고 SEC에 보고한 것으로 알려졌습니다. 이렇게 추가된 '합법적인' 전술은 피해자가 금전적 처벌이나 평판 손상을 피하기 위해 몸값을 지불하도록 압력을 가하기 위해 고안된 것입니다.
이 충격적인 사건은 랜섬웨어 그룹이 정부 규제를 포함한 모든 것을 악용할 수 있음을 보여줍니다. "위협 행위자들은 규정을 이용해 피해자에게 더 많은 압력을 가하고 있습니다. 이는 매우 흥미로운 추세입니다."라고 유럽 연합 사이버 보안 기관(ENISA)의 사이버 보안 전문가인 Ifigeneia Lella는 말합니다. 이는 대중을 보호하고 투명성을 증진하기 위한 법적 프레임워크가 악의적인 목적을 위해 악의적인 행위자에 의해 조작될 수 있다는 사실을 일깨워주는 소름 끼치는 사건입니다.
ENISA 위협 환경 2024 보고서에 따르면, 지난해 사이버 범죄자들은 '해외 거주(LOTL)' 기법을 점점 더 많이 사용했습니다. LOTL 공격은 피해자의 시스템 내에 이미 존재하는 도구와 소프트웨어를 사용하기 때문에 보안팀이 악의적인 활동을 탐지하기가 더 어렵습니다. 공격자는 바이러스 백신 소프트웨어로 플래그를 지정할 수 있는 외부 멀웨어에 의존하는 대신 PowerShell이나 WMI(Windows Management Instrumentation)와 같은 합법적인 관리 도구를 활용하여 공격을 실행합니다.
예를 들어, 다중 갈취 랜섬웨어 그룹인 PLAY는 종종 Cobalt Strike, Empire, Mimikatz와 같은 기성 도구를 사용하여 공격 대상의 네트워크 내에서 발견 및 수평 이동을 합니다. 공격자는 의심스러운 새 소프트웨어의 도입을 피함으로써 종종 피해자가 효과적으로 대응하기에는 너무 늦을 때까지 더 오랜 기간 동안 탐지를 회피할 수 있습니다. 이러한 LOTL 기술로의 전환은 기존의 안티바이러스 솔루션이 이러한 미묘한 공격에 대한 효율성이 떨어지고 있기 때문에 사이버 보안 전문가에게 지속적인 과제가 되고 있습니다.
기술 발전과 더불어 랜섬웨어는 지정학적 영향력과 핵티비즘의 무기로 점점 더 많이 사용되고 있습니다. 사이버 범죄자들은 더 이상 금전적 이득만을 목적으로 하지 않습니다. 일부는 멀웨어를 사용하여 정치적 의제를 강화하거나, 정부를 불안정하게 만들거나, 특정 지역에 혼란을 야기합니다.
ENISA 보고서는 지정학적 긴장이 랜섬웨어 공격과 어떻게 결합되고 있는지에 대해 강조했습니다. 예를 들어, 러시아-우크라이나 분쟁 기간 동안 랜섬웨어 그룹은 우크라이나 및 우크라이나와 동맹을 맺은 기타 국가를 대상으로 중요 인프라를 공격하였습니다. 이러한 공격은 금전적인 동기가 아니라 정치적인 동기에 의한 것이었습니다. 목표는 국가 운영을 방해하거나 에너지, 상황 및 운송과 같은 주요 부문을 무력화시키는 것이었습니다.
해커 활동가 집단도 랜섬웨어 갱단과 힘을 합쳐 자신의 이념적 목표를 추진하고 있습니다. 예를 들어, 공공 행정 및 교통 부문에 대한 공격이 증가하고 있으며, 종종 특정 정치 행사나 글로벌 움직임과 관련이 있습니다. 사이버 범죄가 더욱 정치화됨에 따라 조직과 정부는 랜섬웨어가 더 이상 단순한 재정적 위협이 아니라 전 세계를 혼란에 빠뜨리는 도구라는 사실을 인식해야 합니다. 그리고 전 세계적으로 지정학적 긴장이 고조되면서 이러한 유형의 공격이 점점 더 빈번해지고 있습니다.
전 세계적으로 랜섬웨어 억제 노력이 이어지고 있음에도 불구하고, 랜섬웨어 공격 건수는 계속 증가하고 있습니다. Ransomware Tracker에 따르면 갈취 사이트에 게시된 피해자의 수는 4월의 328명에서 2024년 5월에 450명으로 급증하여 지난 몇 년 동안 가장 활발한 달 중 하나가 되었습니다.
가장 많이 표적이 되는 산업으로는 의료, 공공행정, 운송, 금융 등이 있습니다. 이러한 부문은 디지털 인프라에 대한 의존성과 운영 중단으로 인한 심각한 결과로 인해 특히 취약합니다. 예를 들어, 미국 보건복지부는 지난 5년간 의료 분야의 해킹 관련 보안 침해가 256% 증가했다고 보고했으며, 이는 해당 부문의 취약성이 더욱 심화되었음을 보여줍니다.
2024년에도 랜섬웨어의 재정적 영향은 계속 증가하고 있으며, 비용은 몸값 지불을 넘어 확장되고 있습니다. 한 업계 보고서에 따르면 주 및 지방 정부에서 랜섬웨어 피해자의 평균 복구 비용은 273만 달러로 2023년에 보고된 금액의 두 배 이상입니다. 이러한 비용에는 몸값 지불뿐만 아니라 다운타임, 데이터 손실, 운영 중단 및 평판 손상과 관련된 비용도 포함됩니다.
몸값 요구액도 급증하고 있습니다. 보고서에 따르면 현재 주 및 지방 정부의 평균 몸값 요구는 330만 달러이며, 일부 요구는 500만 달러를 초과합니다. 전 세계적으로 의료, 에너지 및 교육과 같은 산업에서도 비슷한 추세를 보이고 있습니다. 설상가상으로 높은 랜섬 요구와 상당한 복구 비용으로 인해 소규모 조직이 마비되거나 심지어 조직이 운영이 중단될 수도 있습니다.
2024년의 랜섬웨어 환경은 점점 더 복잡해질 것입니다. AI 기반 피싱 캠페인, 생계형 기술, 법적 프레임워크의 악용, 지정학적 긴장의 결합으로 인해 그 어느 때보다 위험성이 높아지고 있습니다. 그러나 AI 사이버 보안 도구의 발전과 이러한 진화하는 전술에 대한 인식이 높아지면서 방어 체계를 개선할 수 있는 길이 열리고 있습니다.
사이버 범죄자들이 적응하고 혁신함에 따라 사이버 보안 전문가와 조직도 적응하고 혁신해야 합니다. 취약성 관리, 강력한 백업 전략 채택, 사고 대응 기능에 대한 투자 등 사전 예방적 조치는 항상 존재하는 이 위협에 대처하는 데 필수적입니다. 랜섬웨어는 계속해서 진화할 것이지만, 이를 퇴치하는 데 사용되는 도구와 전략 역시 마찬가지로 진화할 것입니다.