"랜섬웨어 제작, 결제까지 대행해드립니다"…분업화된 램섬웨어 범죄

기사등록 2022/08/25 14:14:41 최종수정 2022/08/25 15:33:43

MS, ‘사이버 시그널’서 최신 랜섬웨어 동향 밝혀

RaaS로 진화하며 전문지식 없는 일반인도 랜섬웨어 배포 가능

사이버 범죄 분업화로 접근권한 판매하는 브로커도 등장

마이크로소프트는 사이버 위협 인텔리전스 요약 보고서 ‘사이버 시그널)’을 정기적으로 발간, 우리가 직면한 사이버 위협 상황에 대한 전문가의 식견을 제공하고 있다.. (사진=마이크로소프트 제공) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 랜섬웨어가 서비스형 랜섬웨어(RaaS)로 진화하고 있다는 분석이 나왔다. 개발자가 랜섬웨어를 제작해 판매하고 공격자는 이를 구매해 유포하되, 수익을 함께 공유하는 랜섬웨어 범죄의 형태로 바뀌고 있다는 얘기다.

25일 마이크로소프트(MS)가 펴낸 사이버 위협 인텔리전스 요약 보고서 '사이버 시그널'에 따르면, 사이버 범죄가 전문화·고도화되면서 랜섬웨어 사이버 공격을 대행해주는 서비스형 랜섬웨어(RaaS)가 사이버 범죄세력의 지배적 비즈니스 모델이 되고 있다.

랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어다. 악성코드로 데이터를 암호화한 뒤 일종의 몸값을 요구하는 악성 소프트웨어다. 이 랜섬웨어를 주문받아 제작을 대행해주는 서비스가 RaaS다. 특정 집단이나 개인이 랜섬웨어 프로그램을 제작해 수요자에게 공급하고 수익을 나누는 형태다. 이로 인해 전문지식이 없는 일반인도 랜섬웨어를 배포할 수 있다.

MS는 보고서에서 “오늘날 사이버 범죄자들은 RaaS를 통해 랜섬웨어 페이로드, 데이터 유출 뿐 아니라 결제 인프라에 대한 액세스(접근권한)도 구입할 수 있다”며 “세계적으로 악명을 떨친 콘티(Conti)나 레빌(REVil)이 RaaS 프로그램이며, 다양한 공격자들에 의해 사용되고 있다”라고 분석했다.

MS는 또 사이버 범죄의 분업화로 브로커 역할도 등장했다고 짚었다. MS는 “사이버 범죄의 산업화로 네트워크에 대한 접근 권한을 판매하는 액세스 브로커와 같은 전문 역할까지도 생겨났다”고 설명했다.

MS에 따르면 랜섬웨어 공격의 80% 이상이 소프트웨어 및 디바이스의 일반적 환경설정 에러를 통해 유입된다.

한편, MS는 자사의 사이버 범죄 대응 조직이 지난해 7월부터 올 6월까지 1년에 걸쳐 53만1000개 이상의 고유 피싱 인터넷주소(URL)와 5400개 이상의 피싱 도구에 대한 제거를 지시했다. 아울러 도난 당한 고객의 비밀번호를 수집하는 데 쓰인 1400개 이상의 악성 이메일 계정을 식별·폐쇄했다.

개인이 피싱 이메일의 피해자가 된 경우 공격자가 개인 데이터에 접근할 때 소요된 시간은 평균 1시간12분으로 나타났다.  엔드포인트 위협의 경우 기기 공격을 통해 공격자가 기업 네트워크에서 측면 이동을 시작하는 데 드는 시간이 평균 1시간42분에 불과했다.

바수 자칼 MS 보안 부문 기업 부사장은 “랜섬웨어 문제를 해결하기 위해서는 새로운 차원의 협업이 필요하다”며 “특히 공공·민간 부문간 더 많은 정보 공유와 더 안전한 세상을 만든다는 집단적 결의가 필요함을 의미한다”고 말했다.

한편 마이크로소프트는 지난 2월 처음으로 사이버 시그널을 소개했다. 보고서는 현재 전세계가 직면한 사이버 위협 상황에 대한 전문가의 식견을 제공하고, 사이버 공격 전략 및 기술에 대한 분석을 공유한다. 이번 사이버 시그널은 2번째로 발간된 보고서다.


◎공감언론 뉴시스 song@newsis.com