매년 사이버 범죄 동향을 평가할 때 좋은 소식은 언제나 반갑습니다. 지난 2년간 IBM의 위협 지수 보고서에 따르면 랜섬웨어 공격이 점진적으로 감소하여 2021년 21%였던 전체 사이버 보안 사고 중 이제 17%만을 차지함으로써 이 분야에서 약간의 유예가 이루어지고 있는 것으로 나타났습니다.
안타깝게도 이 추세선이 계속될지는 아직 알 수 없습니다. Searchlight Cyber가 발표한 최근 보고서에 따르면 2024년 상반기에 활성 랜섬웨어 그룹이 56% 증가했으며, 이는 랜섬웨어와의 싸움이 아직 끝나지 않았다는 설득력 있는 증거를 제공합니다.
Searchlight Cyber는 법 집행 기관, 기업 및 MSSP에서 사용하는 모니터링 툴과 플랫폼을 제공하여 지속적인 사이버 위협을 식별, 추적 및 예방하는 데 도움이 되는 다크 웹 인텔리전스 회사입니다.
이 회사는 최근 "2024년 상반기 랜섬웨어: 다크 웹의 동향"이라는 중간 연도 보고서를 발표했으며, 특히 가장 활발한 랜섬웨어 그룹들의 활동에 초점을 맞춘 현재 랜섬웨어 현황에 대해 좀 더 조명했습니다.
Searchlight Cyber에서 수집한 통계에 따르면, 이 보고서에 따르면 현재 다크 웹에서 추적 중인 73개의 랜섬웨어 그룹은 작년 46개 그룹에 비해 56% 증가한 것입니다.
보고서의 다른 주요 내용은 다음과 같습니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
이 보고서의 결과에 대한 추가적인 관점을 수집하기 위해 최근 Searchlight Cyber의 위협 인텔리전스 책임자인 Luke Donovan과 인터뷰를 진행했습니다. Donovan은 Searchlight Cyber의 지표 보고에 대해 다음과 같이 설명합니다.
"랜섬웨어 피해자 수는 랜섬웨어 그룹이 다크 웹 유출 사이트에 등록한 조직에 따라 크게 결정됩니다... 랜섬웨어 그룹이 다른 많은 조직을 공격했지만 피해자를 공개적으로 나열하지 않기로 결정했을 수 있으므로 이 수치에는 몇 가지 제한이 있습니다."
"반면으로, 랜섬웨어 그룹이 평판을 높이기 위해 실제로 공격하지 않은 조직을 나열할 가능성은 항상 존재합니다. 그러나 이 수치는 다크 웹에서 가장 활동적인 랜섬웨어 그룹이 운영되고 있음을 잘 보여줍니다."
RaaS 모델은 몇 년 전부터 사용되어 왔습니다. 그러나 더 많은 랜섬웨어 그룹이 등장하고 RaaS 솔루션을 더 쉽게 사용할 수 있게 되면서 이와 관련된 위험은 더욱 커질 것으로 예상됩니다.
최근 몇 년 동안 RaaS 모델이 성공을 거둔 이유에 대해 묻자 Donovan은 "RaaS 모델의 성공은 확장 능력에 달려 있습니다. 랜섬웨어의 운영자가 공격을 수행한 동일한 개인인 경우, 주어진 시간에 청구할 수 있는 피해자의 수에는 당연히 제한이 있습니다. 공격 자체를 여러 '계열사'에 아웃소싱함으로써(그 중 일부는 수십 개의 조직을 보유하고 있음) 랜섬웨어 조직이 몸값을 요구할 수 있는 조직의 수를 크게 늘릴 수 있습니다."라고 답했습니다.
언뜻 보기에 일부 RaaS 운영자는 공격 수행에 책임이 있는 계열사에 책임을 전가함으로써 법적 책임으로부터 일정 수준의 면책을 얻고자 하는 것처럼 보일 수 있습니다. 그러나 많은 국가에서는 사이버 공격의 조직과 실행에 대해 RaaS 운영자와 그 계열사 모두에게 동등한 책임을 묻는 법률을 시행하고 있습니다.
"RaaS 모델의 인기는 법적 책임의 변화보다는 수익성에 가깝습니다. 무엇보다도 RaaS 작업을 실행하면 랜섬웨어 제작자의 위험이 증가합니다. 이러한 조직은 일반적으로 피해자가 더 많기 때문에 법 집행 기관의 더 큰 표적이 되기 때문입니다."라고 Donovan은 말합니다.
교육을 받지 않았거나 규율이 없는 계열사에 RaaS 툴킷을 제공하는 것의 의미를 고려할 때, 이 모델을 계속 사용하는 것은 조직 조직에게 원치 않는 관심을 불러일으킬 수 있기 때문에 놀라운 일입니다. 이는 2024년 2월 국가범죄청(NCA)이 최근 LockBit 운영을 중단한 사건에서 명확히 드러났습니다.
하지만 범죄 활동을 대규모로 확장함으로써 얻는 금전적 이득은 이미 많은 랜섬웨어 그룹이 기꺼이 감수할 수 있는 위험으로 입증된 바 있습니다.
최근 언급했듯이, 최근 몇 년 동안 랜섬웨어 피해자 수가 감소했다는 보고가 이미 있었습니다. 그렇다면 랜섬웨어 조직의 증가는 기업이 우려해야 할 일일까요? 대답은 '예'와 '아니요' 모두입니다.
최근 LockBit 및 BlackCat과 같은 대규모 RaaS 조직의 혼란은 최근 랜섬웨어 공격이 감소하는 데 확실히 기여했습니다. 또 다른 잠재적 요인은 사이버 보안과 사이버 범죄 집단 모두에 영향을 미치는 사이버 관련 분야의 전반적인 기술 부족에 기인할 수 있습니다. 하지만 이는 랜섬웨어 공격이 다시 발생할 가능성이 없다는 것을 의미하지는 않습니다.
Donovan은 "현재 우리가 관찰하는 것은 더욱 세분화된 랜섬웨어 에코시스템입니다. 대규모 RaaS 그룹이 중단되면 일반적으로 수많은 소규모 모방 그룹이 등장하는 것을 볼 수 있습니다."라고 말합니다.
Searchlight Cyber의 보고서에 따르면, 많은 새로운 랜섬웨어 그룹이 매우 정교한 공격 방법을 사용하고 있으며 RaaS 시장에서 공유하기를 차지하고자 하는 동기가 점점 더 커지고 있습니다. 이는 위험한 조합으로, 기업은 경계를 늦추지 않고 랜섬웨어 노출을 최소화하기 위해 방어 전략을 지속적으로 평가해야 합니다.