지니언스 "랜섬웨어 재발 위협…근본적 침투 경로 차단해야"
"랜섬웨어는 단순 파일 암호화를 넘어 정보 유출과 협박을 병행하는 이중 협박 방식으로 진화했습니다." 백은광 지니언스 수석연구원이 30일 서울 강남구 코엑스에서 열린 과학기술정보통신부 주관 'AI 페스타 2025' 부대행사 '대한민국 사이버보안 컨퍼런스'에서 "올해 들어 많은 보안 사고가 발생했으며, 그 중심에는 랜섬웨어가 있었다"고 말했다. 백 연구원은 랜섬웨어의 진화를 1.0, 2.0, 3.0 세 단계로 설명했다. 1.0은 단순한 암호화 기능에 그쳤고, 2.0에서는 다크웹을 통해 도구를 임대·유포하는 서비스형 모델(RaaS)이 확산됐다. 최근에는 인공지능을 활용하는 3.0 단계가 등장했다. 그는 "랜섬웨어 3.0은 매번 다른 형태와 패턴을 가진 악성코드를 생성하고, 피해자 특성에 맞는 협박 문구를 자동으로 만들어낸다"고 말했다. 국내 상황에 대해서는 "신고 통계만 보면 감소한 것처럼 보이지만 실제로는 신고되지 않은 사례가 많고 공격은 더욱 정교해지고 있다"며 "B2C 기업이 피해를 입어 일상에 영향을 준 사례도 있었다"고 덧붙였다. 공격 방식도 구체적으로 설명했다. 피싱 메일, 패치되지 않은 취약점, VPN·RDP 설정 미비가 주요 침투 경로이며, 일부 조직은 관계 기관과 협력하지만 조사 협조를 꺼리고 내부적으로만 처리하는 경우도 있다는 것이다. 그는 지난 4월 발견된 '건라(Genra)' 랜섬웨어 사례를 들어 "차차20(ChaCha20) 알고리즘을 사용했지만 키와 넌스 값 생성 과정의 결함을 통해 복구가 가능했다"고 말했다. 다만 "침투 경로를 명확히 밝히지 못하면 동일한 재감염이 반복된다"고 경고했다. 백 연구원은 공격자들도 AI를 적극 활용하고 있다고 밝혔다. GPT와 같은 도구로 SNS 게시물에서 개인정보를 추출해 맞춤형 피싱을 만들고, 보안 프로그램 취약점을 공격 통로로 삼은 사례도 있다고 설명했다. 그는 "공격에 대응하려면 탐지, 저항, 복구의 세 단계 전략이 필요하다"고 제시했다. 탐지는 EDR·XDR을 통한 이상 행위 차단, 저항은 제로트러스트 아키텍처와 마이크로 세그멘테이션, 복구는 정기 백업과 실제 공격 모의 훈련으로 가능하다고 강조했다. 끝으로 백 연구원은 "레질리언스란 공격에 대한 끊임없는 저항과 신속한 복구 능력"이라며 조직의 대비와 훈련 강화를 당부했다.
