랜섬웨어 2024년 최신 트렌드, 증가하는 위협, 그리고 정부의 대응

2024년 10월 1일, 미국 재무부OFAC(해외재산관리국))은 영국 및 호주와 협력하여 러시아 사이버 범죄 그룹 이블 코퍼레이션과 관련된 7명의 개인과 2개의 단체를 제재했습니다.

막심 빅토로비치 야쿠베츠가 이끄는 이블 코프는 2009년 은행 인증 정보를 탈취하고 금융 사기를 저지르는 데 사용되는 드리덱스 멀웨어를 처음 개발한 이래 사이버 범죄 세계에서 악명 높은 존재로 자리 잡았습니다. 지난 수년간 Evil Corp의 랜섬웨어 활동은 40개 이상의 국가에 영향을 미쳤으며 특히 의료, 금융 서비스 및 주요 인프라에 1억 달러 이상의 재정적 손실을 초래했습니다.

{{infocard-ransomwarein2024-1}}

전 세계 랜섬웨어 위협에 대응하기 위해 50여 개국이 모인 국제 행사인 미국 주최의 Counter 랜섬웨어 이니셔티브 서밋에 맞춰 진행된 이블 코프에 대한 조치는 글로벌 법 집행 기관에 매우 필요한 승리였지만, 지난 한 해 동안 랜섬웨어 공격의 규모와 규모가 급격히 증가하는 것을 목격할 수 있었습니다.

2024년 랜섬웨어 공격의 빈도 및 정교함 급증

2024년에는 랜섬웨어 공격의 빈도와 정교함이 모두 급격히 증가했습니다. 사이버 범죄자들은 중요 인프라, 의료, 통신 및 금융 서비스와 같은 고부가가치 분야를 점점 더 많이 표적으로 삼고 있습니다. 

7월에 공개된 공격은 60건으로2023년에 비해 58% 증가했습니다. 그리고 8월에는 63건의 공격이 공개되었는데, 이는 8월 공격 건수로는 역대 최고 기록입니다. 8월 공격의 30%는 특히 의료 부문을 겨냥한 공격이었습니다.

2024년 랜섬웨어 지불 및 요구 금액은 전례 없는 수준에 도달했습니다. 2024년 상반기에 랜섬웨어 공격당 평균 갈취 요구액은 520만 달러가 넘었습니다. 이 수치에는 2024년 3월의 7,500만 달러라는 기록적인 피해자 지불금이 포함되어 있습니다. 

랜섬웨어의 공격 속도가 빨라진 것은 결제뿐만이 아닙니다. 새로운 랜섬웨어 변종의 확산, 고급 공격 기법, 랜섬웨어(RaaS)의 급속한 확장으로 인해 공격 자체도 그 어느 때보다 복잡해졌습니다.

사이버 범죄자들이 익명으로 돈을 받고 국경을 넘는 거래를 실행할 수 있게 해주는 암호화폐는 이러한 공격에서 여전히 지배적인 결제 수단으로 사용되고 있습니다. 이러한 결제를 추적하려는 법 집행 기관의 노력이 강화되고 있지만 랜섬웨어 그룹은 탐지를 회피하기 위해 계속해서 방법을 발전시키고 있습니다.

{{blogad-ransomwaresummer-blog-1}}

2024년 주목할 만한 랜섬웨어 공격 사례

2024년에 발생한 몇 가지 주요 랜섬웨어 사고는 랜섬웨어 위협이 점점 더 커지고 있음을 보여줍니다. 지난 6월, 블랙수트 랜섬웨어 그룹은 자동차 딜러를 위한 주요 소프트웨어 제공업체인 CDK 글로벌을 공격하여 북미의 수천 개 딜러의 운영을 중단시켰습니다. 공격자들은 387비트코인(약 2,500만 달러)을 요구했지만 자금은 회수되지 않았습니다. 이 공격은 랜섬웨어 어떻게 대규모 운영과 중요한 공급망을 심각하게 방해할 수 있는지를 보여주었습니다.

지난 9월, 샤이니헌터스 해킹 그룹이 AT&T의 시스템을 침입하여 수백만 건의 고객 통화 기록을 훔치고 5.72비트코인(약 373,000달러)의 몸값을 요구했습니다. 몸값을 지불하는 동안 여러 가상자산 거래소를 통해 자금이 빠르게 세탁되어 법 집행 기관의 복구 노력이 복잡해졌습니다.

올해 초에는 미국 의료 시스템의 핵심 업체인 Change Healthcare를 표적으로 삼은 AlphV(BlackCat) 랜섬웨어 그룹이 또 다른 대형 사고가 발생했습니다. 이 공격으로 전국의 약국 서비스와 병원 시스템이 중단되었으며, 공격자들은 2,200만 달러의 몸값을 요구했습니다. 이 사례는 랜섬웨어 공격에 대한 의료 부문의 취약성을 보여주었습니다.

랜섬웨어(RaaS)와 그 영향력 확대

RaaS의 등장은 랜섬웨어 환경을 근본적으로 변화시켰습니다. 이 모델을 통해 숙련된 개발자는 랜섬웨어 툴을 숙련도가 낮은 계열사에 판매하여 공격을 수행할 수 있습니다. 공격자는 일반적으로 랜섬웨어 몸값의 최대 80%를 보유하고 나머지는 개발자에게 가져갑니다. 

이러한 비즈니스 모델로 인해 랜섬웨어 그 어느 때보다 더 쉽게 접근하고 수익성을 높일 수 있게 되었습니다. 가장 많은 랜섬웨어 그룹 중 하나인 LockBit은 2022년 이후 전 세계적으로 수천 건의 공격을 일으켜 2억 달러가 넘는 비트코인 몸값을 요구했습니다. 영국 국가범죄청에서 LockBit의 인프라를 중단시키는 등 법 집행 기관의 노력에도 불구하고 랜섬웨어 그룹은 계속해서 적응하고 진화하고 있습니다.

이중, 삼중 갈취 전술

랜섬웨어 공격자들은 더욱 공격적인 갈취 전술을 사용하기 시작했습니다. 공격자는 이중 갈취를 통해 데이터를 암호화할 뿐만 아니라 민감한 정보를 훔쳐 몸값을 지불하지 않으면 정보를 공개하겠다고 협박합니다. 

삼중 갈취는 한 걸음 더 나아가 고객이나 비즈니스 파트너와 같은 제3자를 표적으로 삼아 피해자가 몸값 요구에 응하도록 압력을 높입니다. 이러한 수법은 랜섬웨어 공격에 복잡성과 위험을 추가하여 피해자가 평판이나 법적 피해를 피하기 위해 돈을 지불할 가능성을 높입니다.

랜섬웨어 운영에서 가상자산 역할

암호화폐는 랜섬웨어 운영의 핵심으로, 범죄자들이 자신의 신원을 숨기면서 몸값을 요구하고 받을 수 있는 방법을 제공합니다. 랜섬웨어 공격자들은 몸값 지불을 위해 비트코인을 주로 사용하지만, 모네로와 같은 프라이버시 코인을 사용하기도 합니다.

범죄자들은 탐지를 피하기 위해 여러 블록체인으로 자금을 이동하는 체인 호핑 등 더욱 정교한 세탁 기법도 채택하고 있습니다. 이러한 전략으로 인해 법 집행 기관이 훔친 자금을 추적하고 회수하는 것이 점점 더 어려워지고 있습니다.

{{infocard-ransomwarein2024-2}}

랜섬웨어 그룹이 사용하는 세탁 기법

랜섬웨어 운영자는 불법 자금을 세탁하기 위해 몇 가지 고급 방법을 사용합니다. 필 체인은 일련의 중개 지갑을 통해 소액의 자금을 이동시켜 원래의 출처를 모호하게 만듭니다. 또 다른 일반적인 도구인 믹서는 여러 사용자의 가상자산 혼합하여 개별 거래를 추적하기 어렵게 만듭니다.

또한 범죄자들은 탈중앙화 금융을 활용하는 크로스체인 세탁(디파이(Defi)) 플랫폼을 활용하여 훔친 자금을 여러 블록체인에 걸쳐 전환하는 방법을 사용하고 있습니다. 이러한 자금 세탁 방법은 자금 흐름을 추적하려는 법 집행 기관의 노력을 더욱 복잡하게 만듭니다.

{{blogad-comradesincrime-report-1}}

랜섬웨어 위협에 대한 글로벌 대응

전 세계 정부와 법 집행 기관은 랜섬웨어 대응하기 위한 노력을 강화하여 랜섬웨어 운영을 방해하고 공격자에게 몸값을 지불하지 못하도록 하는 데 중점을 두고 있습니다. 백악관이 주도하는 국제 랜섬웨어 대응 이니셔티브(CRI)는 2023년 10월 40개국이 사이버 범죄자에게 몸값을 지불하지 않겠다는 서약에 서명하는 등 국제 협력을 촉진하고 있습니다. 이 이니셔티브는 랜섬웨어 공격을 지원하는 범죄 인프라를 표적으로 삼아 랜섬웨어 공격을 유도하는 금전적 인센티브를 줄이는 것을 목표로 합니다.

또한 미국 재무부는 랜섬웨어 결제를 용이하게 했다는 이유로 수엑스와 샤텍스와 같은 가상자산 거래소를 제재하는 조치를 취했습니다. 이러한 거래소는 랜섬웨어 그룹과 연계된 불법 자금을 처리한 혐의로 블랙리스트에 올랐습니다.

2024년 2월, 미국, 영국, 유럽 당국이 협력하여 2022년부터 2억 달러 이상의 비트코인을 갈취한 대표적인 랜섬웨어 그룹인 LockBit의 인프라를 파괴하는 데 큰 성공을 거두었습니다. 이러한 국제적인 협력은 랜섬웨어 싸움에서 전 세계적으로 중요한 승리를 거두었습니다 랜섬웨어

랜섬웨어 운영의 새로운 기술 위협

랜섬웨어 공격자들은 공격의 효율성과 영향력을 높이기 위해 새로운 기술을 점점 더 많이 활용할 것으로 예상됩니다. 인공지능(AI)은 랜섬웨어 캠페인을 자동화하는 데 사용되어 범죄자들이 더욱 그럴듯한 피싱 이메일을 만들고, 시스템의 취약점을 더욱 효율적으로 식별하고, 랜섬웨어 전송을 최적화할 수 있게 해줍니다. AI 도구가 더욱 발전함에 따라 조직은 이러한 공격을 탐지하고 예방하기가 더 어려워질 수 있습니다.

초당 수천 건의 트랜잭션을 처리할 수 있는 고처리량 블록체인의 부상은 블록체인 인텔리전스 플랫폼에 또 다른 과제를 제시합니다. 범죄자들은 이러한 빠른 네트워크를 이용해 자금을 더 빠르게 이동시킬 수 있으며, 법 집행 기관이 불법 거래를 실시간으로 추적하는 데 걸리는 시간을 단축시킬 수 있습니다.

또한 랜섬웨어 그룹은 다음과 같은 취약점을 악용할 것으로 예상됩니다. 디파이(Defi) 플랫폼과 스마트 컨트랙트의 취약점을 악용할 것으로 예상됩니다. 암호화폐 경제의 많은 부분을 뒷받침하는 이러한 기술은 사이버 범죄자들이 자금을 빼돌리거나 몸값을 요구할 수 있는 새로운 기회를 제공합니다. 디파이(Defi) 프로토콜을 악용할 수 있습니다.

향후 전망: 랜섬웨어 차단을 위한 전략

랜섬웨어 그룹의 정교함과 끈질김은 법 집행 기관과 사이버 보안 전문가들에게 계속해서 도전 과제가 될 것입니다. 그러나 이러한 작업을 방해하기 위해서는 몇 가지 전략이 필수적입니다.

민관 파트너십은 랜섬웨어 인프라를 해체하고 몸값을 추적하는 데 중요한 역할을 할 것입니다. 다음과 같은 회사 TRM Labs 와 같은 회사는 불법 암호화폐 거래를 추적하고 랜섬웨어 운영의 핵심 주체를 식별하여 법 집행 기관에 귀중한 정보를 제공하고 있습니다.

각국 정부는 특히 중요 인프라 제공업체와 민간 기업을 대상으로 더 엄격한 사이버 보안 규정을 시행할 가능성이 높습니다. 유럽 연합(EU)의 사이버 보안법 및 미국의 CISA 사이버 보안 자문과 같은 정책은 더 강력한 보호를 시행하여 랜섬웨어 위협을 완화하는 것을 목표로 사이버 보안에 대한 새로운 표준을 설정하고 있습니다.

의료 및 금융을 포함한 고위험 산업은 고급 엔드포인트 보호 배포, 정기적인 패치 적용, 사이버 보안 인식에 대한 포괄적인 직원 교육 제공 등 보다 적극적인 사이버 보안 조치를 채택해야 합니다. 이러한 조치를 채택하면 랜섬웨어 공격에 대한 취약성을 줄일 수 있습니다.

랜섬웨어 그룹이 진화함에 따라 증가하는 랜섬웨어 위협을 완화하기 위해서는 정교한 방어 체계의 지속적인 개발, 강력한 규제 프레임워크, 흔들림 없는 국제 협력이 필수적입니다. 현재의 공격은 랜섬웨어 싸움이 진전을 이루기는 했지만 아직 끝나지 않았으며 모든 분야의 이해관계자들이 경계를 늦추지 말아야 한다는 것을 상기시켜 줍니다.