랜섬웨어의 증식 속도가 경악스러울 정도다. 아무래도 범죄자들 사이에서 랜섬웨어 성공 스토리가 널리 퍼지다보니 너도 나도 후속주자를 자처하는 것으로 보인다. 이 추세는 2023년에도 이어질 것이 분명한데, 다만 암호화폐의 가치가 떨어지고 있다는 게 변수로 작용할 수 있다.

[보안뉴스 문가용 기자] 랜섬웨어의 목록이 끝없이 길어지는 추세다. 최근 세 가지 랜섬웨어가 추가로 등장하면서 위협은 보다 거세졌다. 세 가지 신규 랜섬웨어의 이름은 보훅(Vohuk), 스케어크로우(ScareCrow), 에이서트(AESRT)이며, 윈도 시스템들을 주로 공격한다. 보안 업체 포티넷(Fortinet)이 이 세 가지 위협들을 추적한 결과를 이번 주 발표하며 “기업들이 눈여겨 봐야 할 위협”이라고 경고했다.


포티넷의 분석에 따르면 보훅, 스케어크로우, 에이서트 모두 표준형 랜섬웨어에서 크게 벗어나지 않는다고 한다. 따라서 피해자의 시스템에서 일부 파일들을 암호화 하는 데에 강력한 힘을 발휘한다. 최초로 피해자 시스템을 감염시키는 방법에 대해서도 특별한 것은 없고, 피싱 이메일이 주력으로 사용되는 것으로 보인다. 그래도 랜섬웨어라는 멀웨어의 특성 자체가 워낙 강력해 기본만 해줘도 위협이 될 수 있다.

빠르게 증가하는 랜섬웨어 변종들
포티넷의 수석 보안 엔지니어인 프레드 구티에레즈(Fred Gutierrez)는 “2022년이 랜섬웨어의 미래를 드러내는 해라면, 미래가 매우 절망적으로 느껴질 정도”라고 말한다. “2022년 전반기동안 신규 랜섬웨어의 수는 2021년 하반기에 비해 100% 증가했습니다. 신규 랜섬웨어만 총 10666개가 확인됐는데, 2021년 하반기의 신규 랜섬웨어의 수는 5400개 정도였습니다. 랜섬웨어의 성공 사례가 여기 저기 알려지다보니 후속 사이버 범죄자들이 랜섬웨어를 선호하기 시작했고, 그런 시장의 요구에 맞춰 ‘서비스형 랜섬웨어’가 등장한 것이 컸습니다.”

신규 랜섬웨어가 증가하고 있다는 것 외에, 최근의 랜섬웨어들이 단순 암호화를 넘어 파괴형 공격을 한다는 것도 큰 걱정거리다. “복구 계획 없이 파일을 암호화 하거나 삭제하는 유형의 랜섬웨어가 늘어나고 있지요. 피해자에게 순수히 피해를 입힐 목적으로 행하는 공격이고, 때론 아예 협상 자체를 시도하지 않을 때도 있을 정도입니다. 이런 유형은 2023년에도 계속해서 늘어날 것으로 예상합니다.” 

세 가지 신규 랜섬웨어에 관하여
위의 세 가지 랜섬웨어 중 보훅의 경우 “이미 세 번째 버전이 등장한 상태”라고 전문가들은 보고 있다. 즉 개발자가 진지하게 랜섬웨어 향상과 업그레이드를 진행하고 있다고 볼 수 있다. 전문적인 대행 및 대여 서비스를 염두에 둔 것이라는 의심도 가능하다. 또한 보훅은 README.txt라는 파일에 협박 편지를 남겨둔다. 피해자들에게 고유 ID를 부여한 뒤, 그 ID를 사용해 공격자에게 이메일을 보내라는 내용이다. 이메일을 통해 협상을 진행하는 것으로 보인다.

스케어크로우도 피해자의 파일을 암호화 한다는 점, 그리고 협박 편지를 readme.txt 파일에 적어둔다는 점에서 보훅과 크게 다르지 않다. 하지만 피해자에게 전달하는 협박의 내용 자체는 조금 다르다. ‘이메일을 달라’는 대신 세 개의 텔레그램을 소개하며, 여기를 통해 공격자와 이야기를 진행하라고 안내하고 있기 때문이다. 금액은 명시되지 않고 있지만, 텔레그램을 통해 이야기를 이어가면서 자연스럽게 금액을 제시할 것이라고 포티넷은 보고 있다.

흥미로운 건 스케어크로우에서 콘티(Conti)의 흔적이 엿보인다는 점이다. 콘티는 현재까지 등장했던 랜섬웨어 중 가장 악명이 높으며, 사이버 범죄자들에 의해 가장 많이 사용되어 온 랜섬웨어 중 하나다. 콘티와 스케어크로우는 같은 암호화 알고리즘을 차용하고 있으며, 둘 다 WMI 명령 행 유틸리티를 사용해 셰도우 복사본들을 삭제한다. 스케어크로우는 현재까지 미국, 독일, 이탈리아, 인도, 필리핀, 러시아에서 주로 피해자들을 양산하는 중이다.

마지막으로 에이서트의 경우 앞서 언급된 두 가지 신규 랜섬웨어들과 비교했을 때 크게 다르지 않다. 다만 협박 편지를 팝업 창 형태로 띄운다는 게 다르다. 여기에는 공격자의 이메일 주소가 적혀 있고, 피해자가 돈을 냈을 경우 복호화 키가 나타날 칸도 마련되어 있다. 

암호화폐의 몰락, 랜섬웨어 공격자들에게 영향을 줄까?
랜섬웨어는 전체적으로 꾸준히 증가 중에 있다. 그리고 당분간 그 추세는 변하지 않을 전망이다. 보안 업체 루킹글래스(LookingGlass)가 분석한 바에 따르면 2022년 전반기에만 랜섬웨어에 실제적으로 당한 사례가 1133건이라고 한다. 이 중 절반 이상인 52%가 미국 기업들에서 발생했다. 당시 가장 활발했던 랜섬웨어는 록빗(LockBit), 콘티(Conti), 블랙바스타(Black Basta), 알프브이(Alphv)였다.

하지만 기업에 따라 랜섬웨어 공격자들의 활동이 순간순간 줄어든다고 말하기도 한다. 예를 들어 보안 업체 시큐어웍스(SecureWorks)의 경우 “올해 5월과 6월, 새 랜섬웨어 공격의 성공률이 조금 줄어들었다”고 발표한 바 있다. “아마 콘티라는 거대 랜섬웨어 조직이 러시아와 우크라이나의 전쟁 통에 와해되면서 통계 수치에 적잖은 영향을 줬을 거라고 봅니다.” 콘티는 친러파와 친우파가 내부적으로 갈리면서 해산되다시피 했다.

ITRC라는 아이덴티티 관련 연구소는 2022년 2사분기 동안 랜섬웨어 공격이 20% 줄어들었다는 연구 보고서를 발표하기도 했다. ITRC 역시 이런 현상이 러시아-우크라이나 전쟁 때문에 나타난 것이라고 분석했다. 그리고 여기에 더해 암호화폐 생태계의 몰락이 크게 작용했을 거라고도 덧붙였다. 암호화폐는 랜섬웨어 공격자들이 피해자로부터 돈을 받는 유일하다시피 한 수단이라 사이버 범죄자들에게는 대단히 중요하다.

루킹글래스의 CEO 브라이언 웨어(Bryan Ware)는 “암호화폐가 지금처럼 몰락하고 가치가 떨어진 채로 남아있다면, 2023년에 랜섬웨어 공격자들의 활동량이 줄어들 수 있다”고 보고 있다. “랜섬웨어 공격자들이 자신들이 올린 성과를 ‘현금으로 전환’하는 부분에 있어 큰 문제가 생긴 거라고 볼 수 있습니다. 아무리 노력해도 현금을 거머쥘 수 없다면, 아니면 예전보다 현금화 과정에서 손실이 커진다면 랜섬웨어를 계속 사용할 이유가 없어집니다.”

이 때문에 일부 공격자들 사이에서는 자신들만의 암호화폐를 생성해 사용하려는 움직임이 포착되고 있다고 웨어는 설명한다. “그게 정말로 현실화 될지는 아직 예측하기 어렵습니다. 하지만 랜섬웨어 그룹들은 그 동안 계속해서 변신해 왔고, 변신의 방향도 성공적이었습니다. 누군가는 독자적인 암호화폐를 시도해볼 가능성은 충분히 존재하며, 그것이 성공이라도 거두게 되면 후속 주자들이 대거 나타날 것입니다.”

3줄 요약
1. 신규 랜섬웨어는 꾸준히 증가하고 있으며, 최근에도 3개가 더 추가됨.
2. 가끔 예상치 못한 사태로 랜섬웨어 공격자들의 활동이 줄어들기는 하나 지속적이진 않음.
3. 암호화폐 가치 하락이 가장 큰 변수.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>