[디지털데일리 김보민기자] 시스템 파일을 암호화해 몸값을 요구하는 랜섬웨어 공격이 기승을 부리고 있다. 주요 당국에서는 이들을 추적하고 사이트를 압수하는 조치를 취하고 있지만, 이름과 공격 방식을 교묘히 바꿔 돌아오는 집단도 있어 우려가 커지는 분위기다.

인공지능(AI) 및 데이터 인텔리전스 전문기업 S2W는 이러한 랜섬웨어 집단의 '리브랜딩(re-branding)'을 유의해야 한다고 강조했다. 지난해 꼬리가 밟힌 랜섬웨어 집단 블랙캣 또한 잠적 후 다시 돌아올 가능성을 배제할 수 없다고도 말했다.

양희성 S2W 연구원은 4일 서울 강남 조선팰리스에서 열린 'SIS(S2W 인텔리전스 서밋) 2024'에서 "랜섬웨어 그룹 간 특징을 분류(클러스터링)하고, 위협 수준을 분석하는 대응책이 필요하다"고 밝혔다.

이날 S2W는 전 세계에서 활약하고 있는 주요 랜섬웨어 집단의 공격 방식과 위험도 지표를 분석한 결과를 소개했다. 대표적으로 ▲활동량 ▲영향력 ▲브랜드 지속성 ▲확장성 ▲취약점 등 다섯가지 지표를 기반으로 평가를 진행했다. 지난해 기준 록빗은 영향력을 제외한 네 가지 지표에서 '매우 심각' 평가를 받았는데, 블랙캣 또한 같았다.

블랙캣은 록빗, 클롭과 더불어 전 세계에서 이름을 떨친 랜섬웨어 집단 중 하나다. 알프브이(ALPHV)라고도 불리는 블랙캣 랜섬웨어는 2021년 11월 처음 수면 위로 올라왔다. 러스트(RUST) 프로그래밍 언어를 기반으로 한 랜섬웨어로 백신 탐지 확률이 낮다는 특징이 있다. 빠르게 암호화가 가능하고, 다양한 운영체제 플랫폼에서 사용할 수도 있다. 주로 가상사설망(VPN) 계정을 탈취해 내부에 침투한 뒤, 공격 도구를 활용해 계정과 서버 정보를 수집하는 방식을 취한다.

S2W는 이러한 랜섬웨어 집단이 '브랜드 지속성' 측면에서 리브랜딩을 하는 경향이 있다고 부연했다. 다른 그룹과 협력을 하거나 새로운 그룹명을 사용하는 움직임이 두드러진다는 취지다. S2W에 따르면 지난해 리브랜딩 이력이 확인된 그룹은 총 18곳이다.

블랙캣도 예외는 아닐 전망이다. 양 연구원은 "블랙캣은 잠적을 위해 미국 연방수사국(FBI)로부터 유출 사이트(Leak Site)를 압수당한 것처럼 위장하기도 했다"이라며 "이러한 사실이 외부에 들통이 나자 블랙캣은 자신들의 소스코드를 다른 유저에 판매하고 자취를 감췄다"고 상황을 설명했다.

다만 블랙캣 또한 이미 다른 랜섬웨어 집단에서 리브랜딩한 존재로 알려진 만큼, 간판을 바꿔 다시 등장할 가능성을 고려하지 않을 수 없는 상황이다. 양 연구원은 "다른 그룹으로 새로 리브랜딩해 돌아올 전망"이라고 말했다.

S2W는 지난해와 올해를 기준으로 다섯 가지 지표 기반 위험도 분석을 실행했을 때, 록빗의 기세가 꺾였다는 점도 시사했다. 올해 분석 결과에서 '매우 심각' 평가가 내려진 지표는 없었고, 대신 활동량, 브랜드 지속성, 확장성에서 '심각' 평가가 나왔다. 영향력과 취약점의 경우 '보통' 평가가 나왔다.

양 연구원은 "(주요 수사기관이 참여한) '크로노스 작전'에 따른 영향"이라고 설명했다. 올 초 영국 국가범죄청(NCA)은 미국 법무부, FBI, 유럽 경찰조직 유로폴 등과 함께 크로노스 작전을 추진한 결과 시스템 접근 권한을 확보해 역공격에 성공했다고 밝힌 바 있다.

한편 'SIS 2024'는 올해 'AI와 보안의 미래(MERGE)'를 주제로 개최됐다. 현장에는 S2W를 비롯해 주요 협력사와 고객사 관계자들이 참석했다. 대표적으로 한동윤 현대제철 데이터 전략팀 PM은 'AI 기반 기업용 지식정보 플랫폼 도입과 활용 사례'를 주제로 발표하며 S2W와의 협력 과정을 소개했다.

S2W는 AI와 보안 영역을 융합할 수 있는 방법을 추진하고 있다. 대표 솔루션으로는 기업용 맞춤 생성형 AI 플랫폼 'SAIP', 사이버 보안 AI 플랫폼 '퀘이사', 다크웹 AI 분석 플랫폼 '자비스'가 있다. 다크웹에 특화된 언어모델 '다크버트'를 공개하기도 했다.

서상덕 S2W 대표는 "올해 세 번째를 맞이한 SIS 행사에서 다양한 분야의 전문가들을 발표자로 세웠다"며 "AI와 보안을 융합한 인사이트를 얻고 공통 관심사를 나누는 시간을 갖기를 바란다"고 말했다.