전 세계적으로 랜섬웨어 피해 규모가 폭증하고 있는 가운데, 국내에서도 의료 기관 및 기업을 노린 랜섬웨어가 발견돼 주의가 요구되고 있다. 

21일 SK쉴더스는 민간 랜섬웨어 대응 협의체(KARA, Korea Anti Ransomware Alliance)와 2023년 1분기 랜섬웨어 동향 보고서를 발간했다고 밝혔다. 이번 보고서에는 지난 1분기 가장 활발히 공격성을 나타낸 랜섬웨어 그룹의 동향과 전략, 달라진 공격 행태를 다뤘다.

랜섬웨어 공격은 총 933건으로, 특히 3월에만 464건이 몰렸다. 이는 클롭(Clop) 랜섬웨어 그룹이 파일 전송 소프트웨어의 취약점을 이용해 100여곳이 넘는 기업에 피해를 줬기 때문으로 알려졌다.

보고서에 따르면 ‘고(Go)’, ‘러스트(Rust)’ 와 같은 비주류 언어를 쓰는 랜섬웨어 공격이 나타나 주의가 요구된다. 비주류 랜섬웨어는 코드 1개로 다양한 운영체제에 광범위한 공격이 가능하다. 분석 데이터가 부족해 기존 C/C++로 제작된 랜섬웨어보다 탐지 확률이 낮고, 암호화가 빨라 공격자들이 선호하는 것으로 나타났다. 비주류 언어를 사용한 고도화된 랜섬웨어도 꾸준히 발견될 것으로 예측된다.

피해자 협박 및 데이터 유출 방법도 점점 다양해지고 있다. 대표적인 사례로 ▲ 유출 데이터에서 얻은 동영상을 다크웹에 게시하는 메두사(Medusa) 그룹 ▲ 피해 기업 사이트와 비슷한 도메인에 탈취한 데이터를 공개하는 블랙캣(BlackCat) 그룹 등이 있다. 초기 침투 전문인 IAB(Initial Access Broker)의 등장도 눈여겨볼 점이다.

국내기업을 노리는 글로브임포스터(GlobeImposter) 랜섬웨어도 발견됐다. 이 랜섬웨어는 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)를 통해 국내에 유포됐다. RDP는 코로나19 이후 사용량이 늘어나 해커의 주 공격로로 활용돼 사용시 주의해야 한다.

윈도우(Window) 운영체제에 탑재된 비트로커(BitLocker)로 드라이브를 암호화하고 협박하는 랜섬웨어도 눈길을 끌었다. 비트로커는 하드디스크, USB 같은 저장장치를 암호화 해 데이터를 보호하는 도구다. 국내 의료 기관 및 기업은 랜섬웨어의 피해를 막기 위해 최신 버전 보안 패치 등이 필요하다는 설명이다.

KARA 관계자는 “네트워크와 인프라, 자산관리를 우선적으로 다루고, 철저한 사고 대응 과정이 수립돼야 한다. 랜섬웨어는 공격 대상을 선정하기 위해 여러 방법으로 침투 경로를 찾고, 감염시 데이터 유출 및 피해자 협박을 시도한다”며 “이를 대비하려면 단계별 보안 요소와 프로세스를 마련해 공격하기 전에 예방책을 사전에 마련해야한다”고 강조했다.

2023년 1분기 KARA 랜섬웨어 동향 보고서는 SK쉴더스 홈페이지에서 확인할 수 있다. SK쉴더스와 KARA는 지속적인동향보고서를 발간하고 종합적인 대책을 마련해 나갈 계획이다.

김병무 SK쉴더스 클라우드사업본부장은 “전 세계적으로 랜섬웨어 공격과 협박이 복합적으로 진행되며 그 피해규모는 폭발적으로 증가하고 있다”며 “SK쉴더스는 선도적으로 대응방안 구축과 서비스 제공에 앞장설 것”이라고 밝혔다.