이젠 랜섬웨어도 사고 판다…'서비스형 랜섬웨어' 지난 4분기에만 812건

등록 2023.01.19 11:13:26수정 2023.01.19 18:35:53

SK쉴더스 '랜섬웨어 동향 보고서' 발간

탐지 회피 기법 적용한 '서비스형 랜섬웨어(RaaS)'·데이터 파괴형 랜섬웨어 기승

대비 위해 사전 진단·모의 훈련 등으로 대응 프로세스 필요해

SK쉴더스, 2023 KARA 랜섬웨어 동향 보고서 *재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = 서비스형 랜섬웨어(RaaS) 공격이 늘고 있어 주의가 요구된다. RaaS란 비용만 지급하면 랜섬웨어 공격을 할 수 있도록 해주는 일종의 '판매하는 랜섬웨어'다.

SK쉴더스는 민간 랜섬웨어 대응 협의체 KARA와 '랜섬웨어 동향 보고서'를 발간했다고 19일 밝혔다. SK쉴더스와 KARA는 지난 9월 랜섬웨어 동향 보고서를 처음 발간한 데 이어, 올해부터는 분기마다 보고서를 발표해 진화하는 랜섬웨어에 대비할 수 있는 선제적인 보안 전략을 선보일 예정이다.

이번 보고서에는 지난해 4분기 가장 기승을 부린 주요 랜섬웨어 그룹의 공격 전략을 글로벌 보안 위협 표준 프레임워크 '마이터 어택(MITRE ATT&CK)'에 맞춰 각 단계별 공격 기법을 분석하고 대응 방안을 기술했다.

보고서에 따르면 RaaS는 금전적 수익을 극대화하기 위해 '탐지 회피 기법'을 적용하는 등의 방법으로 진화하고 있다. 지난해 4분기에 812건이 발생했다. 이 중 대표적인 RaaS인 '락빗(Lockbit)'은 161건으로, 주로 제조업·서비스업·IT 등을 공격하고 있는 것으로 조사됐다.

데이터를 파괴하는 랜섬웨어도 새롭게 등장했다. 데이터 파괴형 랜섬웨어인 '블랙캣(Black Cat)'은 1차적으로 데이터를 유출해 협박하면서도, 피해자가 데이터를 돌려받을 수 없도록 2차 공격을 수행해 데이터를 파괴한다.

한 번 공격을 받으면 큰 피해를 입을 수 있는 데이터베이스를 노린 랜섬웨어도 주의 대상이다. 데이터베이스는 기업의 주요 시스템 중 하나로, 일반 웹 서버나 PC를 공격했을 때에 비해 피해 규모가 훨씬 크다. 랜섬웨어 공격자들은 이런 점을 노려 외부에 노출된 취약한 데이터베이스 서버를 공격하는 전략을 사용하고 있다.

KARA는 이러한 랜섬웨어 공격에 대비하기 위해 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 사전에 탐지하고 차단해야 한다고 강조했다. 이를 위해 기업에서는 데이터 백업 보안 점검과 랜섬웨어 위협 사전 진단, 랜섬웨어 모의 훈련 서비스 등을 통해 전반적인 랜섬웨어 대응 프로세스를 수립할 것을 제안했다. 또한 ▲보안관제 및 백업 솔루션 침입 탐지 서비스 도입 ▲EDR(엔드포인트 침입 탐지 및 대응) 솔루션 구축 ▲네트워크 내 접근 최소화 ▲정기적인 보안 교육 및 대응 수준 평가 등 종합적인 대책을 제시했다.

김병무 SK쉴더스 클라우드사업본부장은 "최근 랜섬웨어 공격이 정교화되고 표적화 되면서 기업 본연의 비즈니스를 수행하는데 가장 큰 걸림돌이 되고 있어 이에 대한 종합적인 대응 프로세스 수립이 시급하다"고 말했다.

◎공감언론 뉴시스 [email protected]