랜섬웨어 서비스(RaaS)란 무엇인가요?

서비스형 랜섬웨어는 사이버 범죄자들 사이에서 인기 있는 방식입니다. 랜섬웨어는 여전히 일반적인 사이버 위협으로, IBM X-Force Threat Intelligence Index에 따르면 전체 사이버 범죄 사고에서 20%를 차지합니다. LockBit 및 BlackBasta처럼 악명 높고 파괴적인 랜섬웨어 변종 중 다수가 RaaS 판매를 통해 확산되었습니다.

RaaS 모델이 확산되는 이유는 쉽게 이해할 수 있습니다. 해커들은 작업의 일부를 RaaS 공급자에 아웃소싱함으로써 사이버 범죄에 더 빠르고 쉽게 진입할 수 있습니다. 기술 전문성이 부족한 위협 행위자도 이제 사이버 공격을 시작할 수 있습니다.

RaaS는 서로에게 이익이 됩니다. 해커는 악성 소프트웨어를 스스로 개발하지 않고도 협박을 통해 이익을 얻을 수 있습니다. 랜섬웨어 개발자는 해커의 도움으로 피해자를 찾은 덕에 네트워크를 수동으로 공격하지 않고도 수익을 올릴 수 있기 때문입니다.

RaaS는 합법적인 서비스형 소프트웨어(SaaS) 비즈니스 모델과 동일한 방식으로 작동합니다. RaaS 운영자 또는 RaaS 그룹으로 불리는 랜섬웨어 개발자는 랜섬웨어 툴과 인프라를 개발하고 유지 관리하는 작업을 맡습니다. 이들은 툴과 서비스를 RaaS 제휴사라고 하는 다른 해커에게 판매하는 RaaS 키트로 제공합니다.

대부분의 RaaS 운영자는 다음 수익 모델 중 하나를 사용하여 키트를 판매합니다:

• 월간 구독
• 일회성 수수료
• 제휴 프로그램
• 이익 공유

RaaS 제휴사는 랜섬웨어 도구에 액세스하기 위해 최저 USD 40의 정기 요금을 지불합니다.

제휴사는 랜섬웨어 코드를 직접 구매하기 위해 일회성 수수료를 지불합니다.

제휴사는 월별 수수료를 지불하고 받은 몸값의 일정 비율을 운영자와 공유합니다.

운영자는 선불로 아무것도 청구하지 않지만 제휴사가 받는 모든 몸값의 상당 부분(보통 30~40%)을 가져갑니다.

RaaS 키트는 지하 에코시스템 전반의 다크 웹 포럼에 광고되고 있으며‌, 일부 랜섬웨어 운영자는 새로운 제휴사를 적극적으로 모집하기 위해 다크 웹에서 모집 드라이브에 수백만 달러를 쏟아붓고 있습니다.

RaaS 키트를 구매하면 제휴사는 맬웨어 및 암호 해독 키 이상의 것을 얻을 수 있습니다. 합법적인 SaaS 공급업체와 동등한 수준의 서비스와 지원을 받는 경우도 많습니다. 가장 정교한 RaaS 사업자 중 일부는 다음과 같은 혜택을 제공합니다.

• 지속적인 기술 지원
• 해커들이 팁과 정보를 교환할 수 있는 비공개 포럼 액세스
• 결제 처리 포털 - 대부분의 몸값이 비트코인과 같이 추적 불가능한 암호화폐로 요청되기 때문
• 사용자 지정 몸값 메모 작성 또는 몸값 요구 협상을 위한 도구 및 지원

모든 랜섬웨어 공격은 심각한 피해를 입힐 수 있습니다. IBM의 2023년 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출로 인한 기업의 평균 유출 비용은 USD 491만에 달합니다. 그러나 RaaS 제휴사의 공격은 사이버 보안 전문가에게 다음을 포함한 추가적인 과제를 안겨줍니다.

• 랜섬웨어 공격의 퍼지 속성
• 사이버 범죄자의 전문화
• 랜섬웨어 위협에 복원력 강화
• 새로운 압박 전술

RaaS 모델에서 사이버 공격을 수행하는 사람들은 사용 중인 멀웨어를 개발한 사람과 동일하지 않을 수 있습니다. 또한, 서로 다른 해킹 그룹이 동일한 랜섬웨어를 사용하고 있을 수도 있습니다. 사이버 보안 전문가는 공격을 실행하는 특정 그룹을 정확히 파악하지 못할 수 있으므로 RaaS 운영자 및 제휴사를 프로파일링하고 잡기가 더 어려워졌습니다.

합법적인 경제와 마찬가지로 사이버 범죄 경제는 분업으로 이어졌습니다. 위협 행위자는 이제 자신의 기술을 전문화하고 개선할 수 있습니다. 개발자는 점점 더 강력한 맬웨어를 작성하는 데 집중할 수 있고 제휴사는 보다 효과적인 공격 방법을 개발하는 데 집중할 수 있습니다.

'액세스 브로커'라고 하는 세 번째 유형의 사이버 범죄자는 네트워크에 침투하여 공격자에게 액세스 포인트를 판매하는 것을 전문으로 합니다. 전문화를 통해 해커는 더 빠르게 움직이고 더 많은 공격을 수행할 수 있습니다. X-Force Threat Intelligence에 따르면 랜섬웨어 공격 실행에 걸리는 평균 시간은 2019년 당시 60일 이상에서 현재는 3.84일로 감소했습니다.

RaaS를 사용하면 운영자와 제휴사가 위험을 공유하여 각자의 복원력을 높일 수 있습니다. 제휴사가 적발된다고 해서 운영자가 운영을 멈추는 것은 아니며, 운영자가 적발되더라도 제휴사는 다른 랜섬웨어 키트로 전환할 수 있습니다. 또한 해커는 당국을 회피하기 위해 자신의 활동을 재구성하고 브랜드를 변경하는 것으로 알려져 있습니다.

한 사례로, 미국 해외자산통제국(OFAC)이 Evil Corp 랜섬웨어 조직을 제재한 후 피해자들은 OFAC의 처벌을 피하기 위해 몸값 지불을 중단했습니다. 이에 대응하여 Evil Corp는 지불을 계속 받기 위해 랜섬웨어의 이름을 변경했습니다.

RaaS 공격을 사용하는 사이버 범죄자들은 피해자의 데이터를 암호화하지 않으면 더 높고 빠른 몸값 지불을 요구할 수 있다는 사실을 발견했습니다. 시스템을 복구하는 추가 단계 때문에 지불이 늦어질 수 있습니다. 또한 더 많은 조직이 백업 및 복구 전략을 개선하여 암호화로 인한 피해를 줄이고 있습니다.

대신 사이버 범죄자들은 의료 서비스 제공자와 같이 민감한 개인 식별 정보 (PII)를 대량으로 저장하는 조직을 공격해 민감한 정보를 유출하겠다고 위협합니다. 피해 조직은 유출로 인한 당혹감과 법적 처벌을 감수하지 않기 위해서 몸값을 지불하는 경우가 많습니다.

어떤 조직이 어떤 랜섬웨어를 배후에 두고 있는지 또는 공격을 시작한 운영자를 정확히 파악하기 어려울 수 있습니다. 그렇긴 하지만 사이버 보안 전문가들은 수년 동안 다음과 같은 몇 가지 주요 RaaS 운영자를 찾아냈습니다.

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

2015년에 처음 발견된 Tox는 많은 사람들에게 최초의 RaaS로 여겨집니다.

LockBit은 X-Force Threat Intelligence Index에 따르면 가장 널리 사용되는 RaaS 변종 중 하나입니다. LockBit은 피싱 이메일을 통해 확산되는 경우가 많습니다. 특히 LockBit의 배후 갱단은 표적 피해자를 위해 일하는 제휴사를 모집하여 침투를 더 쉽게 만들려고 노력했습니다.

DarkSide의 랜섬웨어 변종은 2021년 미국 Colonial Pipeline 사이버 공격에 사용되었으며, 이는 현재까지 미국의 주요 인프라에 대한 최악의 사이버 공격으로 꼽힙니다. DarkSide는 2021년에 종료되었지만 개발자는 BlackMatter라는 후속 RaaS 키트를 출시했습니다.

Sodin 또는 Sodinokibi라고도 알려진 REvil은 2021년 JBS USA와 카세야 리미티드에 대한 공격의 배후에 있는 랜섬웨어를 제작했습니다. 전성기 시절 REvil은 가장 널리 퍼진 랜섬웨어 변종 중 하나였습니다. 러시아 연방 보안국(Federal Security Service)은 2022년 초에 REvil을 해체하고 여러 주요 구성원을 기소했습니다.

2021년에 폐쇄되기 전까지 Ryuk은 가장 큰 RaaS 운영업체 중 하나였습니다. Ryuk의 개발자들은 2022년에 코스타리카 정부에 대한 공격에 사용된 또 다른 주요 RaaS 변종인 Conti를 출시했습니다.

Hive는 2022년 icrosoft Exchange Server에 대한 공격으로 유명해졌습니다. Hive 제휴사는 2023년 FBI가 운영자를 체포하기 전까지 금융 회사 및 의료 기관에 심각한 위협이었습니다

2022년에 등장한 Black Basta는 북미, 유럽, 아시아 전역에서 순식간에 100명 이상의 피해자를 발생시켰습니다. 해커는 표적 공격을 사용하여 피해자의 데이터를 해독하고, 민감한 정보를 공개하겠다는 협박으로 이중 갈취를 노립니다.

2023년에 CL0P 랜섬웨어 그룹은 파일 전송 애플리케이션 MOVEit의 취약점을 악용하여 수백만 명의 개인 정보를 노출시켰습니다.

Eldorado RaaS는 2024년 초 랜섬웨어 포럼의 광고에서 발표되었습니다. 3개월 만에 미국과 유럽에서 16명의 피해자가 발생했습니다.¹

RaaS가 위협 환경을 변화시켰지만, 랜섬웨어 보호를 위한 많은 표준 관행은 여전히 RaaS 공격에 효과적으로 대응할 수 있습니다.

많은 RaaS 제휴사는 이전의 랜섬웨어 공격자에 비해 기술 수준이 낮습니다. 해커와 네트워크 자산 사이에 충분한 장애물을 배치하면 일부 RaaS 공격을 완전히 막을 수 있습니다. 다음과 같은 몇 가지 사이버 보안 전술이 도움이 될 수 있습니다.

• 포괄적 사고 대응 계획
• 이상 징후 기반 탐지 툴
• 네트워크 공격 표면 축소
• 사이버 보안 교육
• 액세스 제어 구현
• 백업 유지 관리
• 법 집행 기관과 협력

인시던트 대응 계획은 특히 RaaS 공격에 유용할 수 있습니다. 공격 속성을 파악하기 어려울 수 있기 때문에 인시던트 대응 팀은 랜섬웨어 공격이 항상 동일한 전술, 기술 및 절차(TTP)를 사용할 것이라 기대하면 안 됩니다.

또한 인시던트 대응자가 RaaS 제휴사를 쫓아내더라도 액세스 브로커는 네트워크에서 계속 활성 상태일 수 있습니다. 선제적인 위협 사냥 과 종합적인 사건 조사는 보안팀이 이러한 회피적인 위협을 근절할 수 있도록 도움이 될 수 있습니다.

조직은 진행 중인 랜섬웨어 공격을 식별하기 위해 일부 엔드포인트 탐지 및 대응(EDR) 및 네트워크 탐지 및 대응(NDR) 솔루션과 같은 이상 징후 기반 탐지 도구를 사용할 수 있습니다. 이러한 도구는 지능형 자동화, 인공 지능(AI) 및 머신 러닝(ML) 기능을 사용하여 거의 실시간으로 신종 및 지능형 위협을 탐지하고 엔드포인트를 더욱 강력하게 보호합니다.

경고 없이 갑자기 시작되는 비정상적인 백업 삭제 또는 암호화 프로세스를 탐지해 랜섬웨어 공격을 초기 단계에서 발견할 수 있습니다. 아직 공격이 시작되지 않았더라도 비정상적인 이벤트는 보안팀이 예방할 수 있는 임박한 해킹의 '조기 경고 신호'일 수 있습니다.

조직은 취약성 평가 를 자주 수행하고 일반적으로 악용되는 취약성을 해결하기 위해 정기적으로 패치를 적용함으로써 네트워크 공격 표면 을 줄이는 데 도움을 줄 수 있습니다.

바이러스 백신 소프트웨어, 보안 오케스트레이션, 자동화 및 대응(SOAR),  보안 정보 및 이벤트 관리(SIEM) , 확장 탐지 및 대응(XDR)과 같은 보안 도구도 보안 팀이 랜섬웨어를 더 빠르게 차단하는 데 도움이 될 수 있습니다.

직원들에게 피싱, 소셜 엔지니어링, 악성 링크 등 일반적인 랜섬웨어 벡터를 인식하고 피하는 방법을 알려주세요.

다단계 인증, 제로 트러스트 아키텍처, 네트워크 세분화는 랜섬웨어가 민감한 데이터에 접근하는 것을 방지하는 데 도움이 될 수 있습니다.

조직에서는 민감한 데이터와 시스템 이미지를 정기적으로 백업해야 하며, 특히 네트워크에서 분리할 수 있는 하드 디스크 드라이브나 다른 장치에 백업하는 것이 좋습니다.

때로는 법 집행 기관의 도움을 받으면 격리 비용과 시간을 절약할 수 있습니다.

IBM 데이터 유출 비용(CODB) 보고서에 따르면, 법 집행 기관과 협력한 랜섬웨어 피해 기업들은 몸값으로 지불한 금액을 제외하고 보안 침해 비용을 평균 USD 100만 가까이 절감했습니다. 그뿐만 아니라 사법 당국이 개입함으로써 데이터 유출의 파악 및 억제에 필요한 시간을 297일에서 281일로 단축할 수도 있었습니다.