기업을 대상으로 하는 랜섬웨어 공격이 늘고 있다. 피해자의 시스템 파일을 암호화해 복구 비용을 요구하는 한편 돈을 내지 않으면 데이터를 공개하겠다고 협박하는 이중 협박이 증가하는 추세다.
14일 한국인터넷진흥원(KISA)의 '2022년 1분기 랜섬웨어 동향 보고서'에 따르면 보안 전문 기업인 이스트시큐리티가 탐지한 1분기 랜섬웨어 수는 약 18만건에 달했다. 이는 작년 4분기 대비 1만4500여건 증가한 수치다.
세계로 범위를 넓혀봐도 마찬가지다. 세계 기준 1분기 랜섬웨어 관련 시간 흐름에 따른 관심도는 평균 64.7%로 전분기 평균(17.9%)에 비해 약 3.6배 증가했다. 랜섬웨어 관련 급증 검색어는 대부분 기업을 대상으로 큰 피해를 준 랜섬웨어 감염사고 관련 검색어다.
지난 1월 Conti 랜섬웨어는 대만의 전자제품 제조기업인 델타전자의 시스템을 공격했다. 공격자는 회사 네트워크 내의 6만5000여대 장비 중 서버 1500대와 컴퓨터 1만2000대를 암호화했다고 주장했다.
또 기업의 주요 데이터를 탈취하는 것을 중지하고 복구도구를 제공하는 대가로 1500만 달러를 요구했다. 반면 회사 측은 이번 공격으로 인해 제품 생산에는 차질이 없다고 주장했으며 보안팀을 구성해 사고를 조사 중이다.
2월에는 스위스 항공 서비스 기업 스위스포트 인터내셔널이 BlackCat 랜섬웨어의 공격을 받아 정보기술(IT) 시스템과 관련 서비스가 마비되는 사건이 일어났다. 이 공격으로 인해 22편의 항공편이 3분에서 20분 정도 지연됐다. 공격자는 회사로부터 탈취했다고 주장하는 데이터(이름·여권번호·국적·이메일 주소·전화번호 등)의 일부를 유출 사이트에 공개하기도 했다.
BlackCat 랜섬웨어는 주로 유럽 기업들을 대상으로 공격하는 신종·변종 랜섬웨어다. 프로그래머가 일반적으로 사용하는 언어가 아닌 Rust(2010년 Mozilla에서 개발한 범용 프로그래밍 언어)라는 언어를 사용해 제작됐다. BlackCat 랜섬웨어 그룹은 여러 국가와 통신·제약·운송·건설 등 다양한 산업기반 시설을 대상으로 공격하고 있으나 의료·병원 시설에 대해서는 공격하지 않는다.
이밖에도 프랑스 법무부, 영국 식료품 생산기업 케이피스낵, 일본 스포츠용품 제조기업 미즈노, 세계 최대 타이어 제조기업 브리지스톤 아메리카, 자동차 부품 제조기업 덴소 등이 랜섬웨어에 감염됐다.
보고서는 지난 1분기 랜섬웨어 공격 그룹이 작년과 마찬가지로 금전적 이익을 크게 얻을 수 있는 기업들을 주로 공격하는 양상을 보였다고 분석했다. 이에 대응하기 위해 미국·호주·영국 등에서는 공동 사이버보안 권고문을 발표하는 등 정부기관이나 기업에 랜섬웨어에 대응하는 방법과 정보를 제공하고 있다.
랜섬웨어 공격 그룹은 피해자의 시스템에 존재하는 파일을 암호화해 복구 비용을 요구하는 방식과 함께 피해자의 데이터를 탈취해 자신들의 유출 사이트(Leak Site)에 일부 공개한다. 요구하는 금액을 지급하지 않을 경우 데이터 전체를 공개하겠다고 협박하는 방식도 사용하고 있다.
보고서는 "랜섬웨어 공격은 갈수록 사업화되고 있으며 금전적 이익을 최대한 얻기 위해 이중 협박 방식을 사용하고 있다"며 "이에 대응할 수 있는 정교한 랜섬웨어 대응책이 필요한 상황"이라고 했다.
