[뉴스토마토 박재연 기자] 최근 주요 랜섬웨어 소스코드 유출 등으로 변종 조직이 등장하면서 주의가 필요하다는 지적이 나온 가운데 국내에서도 피해 사례가 발견돼 이에 대한 주의가 필요하다는 분석이 제기됐습니다.
SK쉴더스는 사이버 위협 분석 보고서 ‘EQST 인사이트(Insight)’ 6월호를 통해 지난달 전 세계적으로 총 484건의 랜섬웨어 피해가 발생했다고 19일 밝혔습니다. 이는 전월(550건) 대비 약 12% 감소한 수치이지만, 주요 랜섬웨어의 소스코드 유출 등으로 변종과 신규 조직의 등장하면서 주의가 필요하다고 보고서는 전했는데요.
보고서는 5월 초 랜섬웨어 조직 록빗(LockBit)의 다크웹 유출 사이트가 역해킹을 당하는 사건이 발생한 것에 주목하며 당시 해커가 내부 데이터베이스(DB)를 유출했다고 밝혔습니다. DB 안에는 상화폐 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함됐습니다.
신규 랜섬웨어 그룹 데브맨(Devman)에 대한 언급도 이어졌습니다. 지난 4월 첫 등장한 Devman은 케냐의 공공 연금 기구인 ‘NSSF 케냐(NSSF Kenya)’를 공격하고 필리핀 언론사 ‘GMA 네트워크(GMA Network)’의 서버를 암호화하는 등의 피해를 입혔는데요. 이들은 X(구 트위터)를 통해 스크린샷과 협박 메시지를 공개하고 450만달러(한화 약 61억원)에 달하는 몸값을 요구한 바 있습니다.
세이프페이(SafePay)는 5월 중 가장 활발한 랜섬웨어 그룹으로 꼽힙니다. 이들은 체코의 공립 고등학교와 호주의 법률회사를 공격해 민감 데이터를 유출했으며, 학생 정보와 법률 문서, 고객 자료 등이 다크웹에 공개했습니다.
해외뿐 아니라 국내에서도 랜섬웨어 피해 사례가 이어졌습니다. 최근 국내 소재의 한 대학교에서 신규 랜섬웨어 그룹 ‘노바(Nova)’의 공격을 받아 포털 시스템 소스코드 및 내부 데이터를 탈취당한 정황이 드러났습니다.
끝으로 보고서는 △JGroup △Imncrew △WorldLeaks △Direwolf △DataCarry △Cyberex 등 신규 랜섬웨어 그룹 8곳의 활동도 함께 다뤘습니다. 이 중 사이버렉스(Cyberex)는 일반 채팅 플랫폼을 활용해 몸값 협상을 진행했고, 신규 조직인 인젝션 팀(Injection Team)은 러시아 해킹 포럼에서 해킹·디도스(DDoS)·피싱 서비스를 홍보하는 등 활동 반경을 넓혔다고 보고서는 지적했습니다.
SK쉴더스는 이 같은 전방위적인 랜섬웨어 공격에 대응하기 위해 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응(MDR, Managed Detection and Response) 서비스 도입을 권고했습니다. 구독형 형태로 제공되는 MDR 서비스는 초기 비용 부담이 적어, 내부 보안 인력이 부족한 중소기업이나 기관에서도 부담 없이 도입 가능해 효과적인 보안 대안으로 주목받고 있습니다.
SK쉴더스 관계자는 "최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다"라며 "국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서, 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR 서비스가 효과적인 대응 수단으로 권장된다"고 강조했습니다.
박재연 기자 damgomi@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지