[더팩트ㅣ이성락 기자] SK쉴더스는 지난달 전 세계적으로 총 484건의 랜섬웨어 피해가 발생했다고 19일 밝혔다.
이는 전월(550건) 대비 12% 줄어든 수치다. 그러나 SK쉴더스는 주요 랜섬웨어의 소스코드 유출 등으로 변종과 신규 조직의 등장이 이어지며 공격 위험성이 여전히 크다고 분석했다.
이러한 내용은 SK쉴더스의 사이버 위협 분석 보고서 'EQST 인사이트(Insight)' 6월호를 통해 소개됐다.
보고서는 진화하는 랜섬웨어 그룹의 공격 양상을 다각도로 조명한다. 특히 지난달 초 세계 최대 규모 랜섬웨어 조직 중 하나인 LockBit의 다크웹 유출 사이트가 역해킹당하는 사건이 발생해 가상화폐 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등의 내부 데이터베이스 일부가 유출된 사례가 담겼다.
눈에 띄는 신규 랜섬웨어 그룹으로는 Devman을 소개한다. 지난 4월 처음 등장한 Devman은 케냐의 공공 연금 기구인 NSSF Kenya를 공격해 2.5TB 규모의 데이터를 탈취했다고 주장했다. 필리핀 언론사 GMA Network의 서버를 암호화하는 등의 피해도 입혔다.
국내 사례로는 모 대학교를 공격, 포털 소스코드와 내부 데이터를 탈취한 Nova라는 신규 그룹이 있다. 지난달 가장 활발하게 활동한 랜섬웨어 그룹은 SafePay로, 총 72건의 공격을 기록한 것으로 집계됐다.
이 외에도 보고서는 JGroup, Imncrew, WorldLeaks, Direwolf, DataCarry, Cyberex 등 신규 랜섬웨어 그룹 8곳의 활동도 다뤘다. 이 중 Cyberex는 기존 다크웹 사이트 대신 일반 채팅 플랫폼을 활용해 몸값 협상을 진행하는 이례적인 방식을 사용했다.
SK쉴더스는 이처럼 고도화된 랜섬웨어 공격에 대응하기 위해 24시간 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응(MDR) 서비스 도입을 권고했다.
SK쉴더스 관계자는 "최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다"며 "국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서, 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR 서비스가 효과적인 대응 수단"이라고 말했다.
rocky@tf.co.kr
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]
