보안

"기세 심상치 않네" 랜섬허브 공격, 한국도 안전하지 않다

김보민 기자

랜섬웨어 이미지 [ⓒ픽사베이]

[디지털데일리 김보민기자] 올해 초 등장한 랜섬웨어 그룹 '랜섬허브(RansomHub)'의 기세가 심상치 않다. 지난 몇 년 간 파급력을 이어온 록빗(LockBit)이 세력을 잃은 가운데, 랜섬허브를 중심으로 국내 또한 영향권에 들어섰다는 분석이 나오고 있다.

24일 SK쉴더스 EQST 동향 보고서에 따르면, 랜섬허브는 올해 전체 랜섬웨어 피해 현황 중 15%를 차지하며 위협을 펼치고 있다. 랜섬허브 공격이 지난 2월 첫 포착됐다는 점을 고려했을 때, 1년 채 되지 않은 시점에서 세력을 키우는 데 성공한 셈이다.

랜섬허브는 미국 사이버보안 및 인프라보안국(CISA)과 연방수사국(FBI)이 합동 권고문을 통해 위험을 경고한 그룹이다. 다른 그룹과 마찬가지로 초기 접근(액세스) 권한을 획득한 뒤 민감 데이터를 훔친 다음 랜섬웨어 페이로드를 배포하는 이중 강탈 기법을 채택하고 있다. 피해를 입은 기업이나 개인은 접근 권한을 되찾고 데이터 외부 공개를 막기 위해 공격자에게 돈을 지불해야 한다.

특히 랜섬허브는 록빗이 영향력을 잃으면서 주목을 받고 있다. 록빗의 경우 올해 국제 공동 수사를 통해 조직원이 검거되는 사태를 겪었고, 탈취 데이터를 유출하던 사이트가 폐쇄 조치를 당하면서 기세가 꺾인 상태다. 록빗과 함께 일하던 계열사 또한 활동을 주춤하고 있는 것으로 전해진다.

반면 랜섬허브는 계열사에 수익을 약 90% 지급하는 파격 조건으로 공격 범위와 난도를 높이는 데 성공했다. 서비스형랜섬웨어(RaaS) 시장 안팎에서 '새로운 강자'라는 평가가 나오는 이유다. 한국인터넷진흥원(KISA)이 발간한 3분기 랜섬웨어 동향 보고서에 따르면 랜섬허브 피해는 올 1분기 21건에서 3분기 195건으로 늘었다. KISA는 "제휴 전략과 수익 분배 모델로 공격자들을 유치한 것이 (피해 규모가 증가한) 주요 원인"이라고 설명했다.

국내 또한 안심지역이 아니라는 분석도 나온다. SK쉴더스 EQST는 "국내 기업도 한차례 공격한 이력이 있다"며 "과거에는 록빗 피해자가 많이 발견됐다면, 올해 6월을 기점으로 랜섬허브 그룹이 가장 위협이 되고 있다"고 평가했다.

통상 신규 랜섬웨어 그룹이 몇 달 간 공격을 멈추는 흐름을 보이는 것과 대비되는 양상이다. 보안업계에 따르면 신규 랜섬웨어 그룹은 한 달 기준 적으면 3~4개, 많으면 10개씩 등장하지만 모두가 공격 활동을 꾸준히 이어가지 않는다. 올 상반기부터 기세를 넓힌 랜섬허브가 한국을 비롯해 국가를 가리지 않고 '돈이 되는 공격'을 할 것이라는 전망이 나오는 이유다.

전문가들 사이에서는 랜섬허브를 비롯해 주요 랜섬웨어 그룹들의 공격이 고도화될 것으로 예측하고 있다. 3분기 'KARA 랜섬웨어 동향 보고서'는 클라우드 환경을 노리는 랜섬웨어 공격이 확대되고 있다고 분석했다. 기업에 침투해 내부 계정 정보를 탈취하고, 내부 이동을 통해 시스템을 장악한 뒤 기업 클라우드 환경을 침해해 정보를 빼가는 기법이 두드러지고 있다는 취지다.

랜섬허브와 같이 파급력이 큰 신규 랜섬웨어 그룹이 늘어날 수 있다는 위기감도 감돌고 있다.

KARA에 따르면 올 3분기 새롭게 발견된 랜섬웨어 그룹은 15개다. 7월에 포착된 널벌지(NullBulge) 랜섬웨어 그룹은 인공지능(AI) 중심 애플리케이션 게임 커뮤니티를 표적으로 삼고 있다. 이 그룹은 가짜 개발자 계정을 통해 악성코드를 유포하고, 디즈니 내부 슬랙 채널에서 1테라바이트(TB) 이상 데이터를 유출했다고 주장하기도 했다. 8월에 발견된 헬다운(HellDown) 그룹은 활동 시작 후 10일 만에 17건의 피해자를 게시하기도 했다. 다만 같은 달 24일 이후 활동을 중단한 상태다. 9월에는 록빗을 기반으로 한 랜섬웨어가 등장하기도 했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널