검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'아키라'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"랜섬웨어 공격, 협박 아닌 '탈취'가 목적"

"랜섬웨어 피해액이 줄었다고 해서 안전해진 것은 결코 아닙니다. 랜섬웨어 공격 동향을 보면 단순 협박을 넘어 데이터를 탈취해 유출하는 데 목적을 두고 있습니다. 사이버 공격 피해액 상위권을 차지한 공격 유형을 보면 모두 데이터 유출 관련 내용입니다. 랜섬웨어 이면에는 내부 정보 유출이라는 더 직접적이고 효과적인 범죄 수단이 숨어 있습니다." 안랩 사이버시큐리티센터장을 맡고 있는 박태환 안랩 본부장은 21일 한국정보보호학회 랜섬웨어대응연구회가 개최한 워크숍에서 세션 발표를 통해 이같이 강조했다. 기업 내부 데이터, 개인정보 등을 탈취해 거래하는 행위가 랜섬웨어 생태계에 깊에 뿌리내려 있으며, 가장 수익성이 높은 범죄로 자리 잡았다는 지적이다. 박 본부장은 이날 미국 연방수사국(FBI)의 연례보고서를 인용해 사이버 공격 유형별 피해액을 산출한 결과를 바탕으로 랜섬웨어의 위험성에 대해 발표했다. FBI 보고서에 따르면 랜섬웨어 피해액은 로맨스 스캠, 피싱 등 범죄보다 피해액이 낮아 전체 유형 중 가장 낮은 수준을 기록했다. 그러나 최근 3년간 랜섬웨어 피해 건수는 우상향하는 추세다. 박 본부장은 "안랩 시큐리티센터는 2013년부터 매주 랜섬웨어 피해 건수를 집계하고 있는데, 연 피해 건수를 기준으로 보면 한 해도 랜섬웨어 피해 건수가 줄어들지 않았다"고 설명했다. 박 본부장은 이날 킬린(Qilin), 아키라(Akira), 더젠틀맨(The Gentleman) 등 주요 랜섬웨어 그룹들의 공격이 더욱 활발해지고 있다고 강조했다. 이어 이같은 랜섬웨어 그룹의 공격 기법에 일일이 대응할 것이 아니라, 어느 랜섬웨어 그룹이든 국내 기업을 타깃으로 삼고 있다고 생각하고 대해야 한다고 역설했다. 그는 "랜섬웨어 조직들은 이제 그룹화, 조직화돼 있으며, 돈만 된다고 하면 공격에 투입한다"며 "악성코드 개발, 실제 공격 수행, 데이터 유출 등 각 분야별로 분업화했다. 심지어 다크웹 등을 통해 각 분야별로 채용에 나서기도 한다"고 밝혔다. "랜섬웨어 '막는' 시대 끝났다…데이터 복원 설계 갖춰야" 이날 세션 발표에서 김기문 한국인터넷진흥원(KISA) 팀장도 '랜섬웨어 대응, 우리는 제대로 가고 있는가?'를 주제로 발표했다. 김 팀장은 이날 랜섬웨어가 인공지능(AI)을 만나 공격이 진화되고 있다고 강조했다. 그는 "악성코드를 자동 생성하고 랜섬웨어 몸값 협상도 AI가 한다. 어떤 것을 협박해야 할지 우선순위도 AI가 분배한다"면서 "자동화된 공격으로 랜섬웨어 피해는 기하급수적으로 늘어나고 있다"고 진단했다. 그는 이어 "중소기업이 랜섬웨어 공격에 더 취약하다"라며 "투자가 부족하고 탐지 및 대응이 느린데 다 보안 전담 인력도 없다. 이에 랜섬웨어 최우선 표적이 중소기업"이라고 지적했다. 아울러 김 팀장은 최근 랜섬웨어의 5가지 공격 특징과 각각 해결책을 제시했다. 김 팀장이 제시한 랜섬웨어 특징은 ▲탐지 우회 ▲인증 우회 ▲솔루션 각 사각지대를 노린 공격 ▲백업 선 삭제 ▲재감염 루프 등이다. 먼저 공격자들은 AI 기반으로 변종 랜섬웨어를 자동 생성하거나, LotL 등 정상 프로그램으로 위장한 공격을 실행하는 것으로 나타났다. 이에 대응해 조직들은 행위 기반 탐지, 다층방어, 자동격리 등 조치가 필요하다고 김 팀장은 강조했다. 이어 반복 인증을 요청하면서 사용자의 혼선을 유도해 랜섬웨어 공격을 시도하거나, 정상 계정을 탈취한 후 합법적으로 침투하는 공격 유형도 탐지되기 때문에 '피싱 레지스턴트' 인증, FIDO2 기반의 인증 절차가 필요하다고 밝혔다. 조직이 도입한 수많은 보안 솔루션으로 인해 수많은 경보가 울려 실제 담당자가 실제 위협을 놓치는 구조적인 문제도 선결과제로 꼽혔다. 김 팀장은 통합 관제, 마이크로세그멘테이션(네트워크 세분화), 경보 자동화 민 우선순위 분류가 필요하다고 짚었다. 아울러 공격자들이 백업 데이터를 무력화하기 대문에 오프라인 백업의 중요성은 물론, 재감염을 방지하기 위해 불변 백업, 다중 복구 시점(PITR) 등의 중요성도 거듭 강조했다. 김 팀장은 "5가지 항목을 한 번에 적용하기란 쉽지 않다. 1~3년 단계별 실행 로드맵을 마련하고 3년차에는 제로트러스트를 완성할 수 있어야 한다"며 "이같은 대응 방안을 적용하면 랜섬웨어 복구 시간도 21일에서 하루로, 재감염율도 70%에서 10% 정도로 낮출 수 있다"고 밝혔다. 그는 "KISA는 최근 랜섬웨어 대응팀을 신설해 복구 도구를 개발하고 있으며, 랜섬웨어 신고 시 대응을 지원한다. 중소기업 지원을 위해서도 IoC(침해지표) 등을 공유해 빠르게 차단할 수 있도록 지원하고 있다"며 "이제는 랜섬웨어 공격을 막는 시대는 끝났다. 회복하는 시대로 전면 개편해야 하며, 사후 탐지에서 선제 격리 체제로, 솔루션 확장 체제에서 데이터 복원 설계를 갖춰 나가야 한다"고 말했다.

2026.05.21 16:43김기찬 기자

한국, 랜섬웨어 해커 공격 1분기 2배 이상 증가

올해 1분기 기준 주요 랜섬웨어 그룹의 전 세계 기업을 대상으로 한 공격 활동 건수는 2330건으로 전년 동기(2386건) 대비 56건 줄어든 것으로 집계됐다. 한국 기업을 대상으로 한 공격이 2배 늘면서 가장 피해가 많은 국가 20위 안에 한국 이름이 처음으로 올랐다. 10일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 주요 랜섬웨어 조직의 올해 1분기 글로벌 기업 대상 공격 활동은 역대 최대치를 기록한 전년보다 56건 줄었다. 이 수치는 킬린(Qilin), 아키라(akira) 등 주요 랜섬웨어 조직들이 자신들의 다크웹 유출 전용 사이트(DLS)에 등록한 피해 기업 리스트를 기준으로 집계한 것으로, 랜섬웨어 조직이 공개하지 않은 경우 등을 감안하면 실제 공격은 이보다 더 많을 것으로 관측된다. 랜섬웨어는 기업 내부망에 침투한 후 데이터를 암호화하고, 이를 풀어주는 대가로 금전을 요구하는 '사이버 협박' 범죄의 일종이다. 주요 랜섬웨어 공격 세력들이 역대 최대 공격 건수를 기록한 지난해(8158건)와 유사한 수준으로 공격을 이어오면서 전 세계는 물론 한국을 대상으로 한 공격도 급증하는 추세다. 올해 1분기 한국 기업을 대상으로 한 랜섬웨어 공격 건수는 12건으로, 지난해 1분기 5건에 그쳤던 것과 비교하면 두 배 이상 피해 기업이 늘었다. 월별로 보면 1월에 1건, 2월에 4건, 3월에 7건 등 매달 공격 건수가 증가했다. 2023년 집계를 시작한 이후부터 현재까지 누적된 수치를 기준으로 보면 한국 피해 기업은 총 82곳이다. 10일 현재시점을 기준으로 올해 총 누적된 한국 피해 기업은 총 17건으로 피해가 많은 국가 중 19위를 기록했다. 이는 스위스(20건, 18위)에 이어 아랍에미리트(17건, 19위)와 같은 수치다. 한국이 피해 최다 국가 20위 내에 이름을 올린 것은 이번이 처음이다. 공격 조직별로 보면 올해 전 세계 가장 많은 기업을 공격한 랜섬웨어 조직은 지난해에 이어 '킬린'으로, 총 369곳의 기업을 공격한 것으로 집계됐다. 이어 '더젠틀맨(thegentlemen)' 205건, '아키라' 204건 등으로 공격이 많았다. 한국을 기준으로 보면 올해 가장 많은 국내 기업을 공격한 랜섬웨어 조직 역시 킬린이다. 올해에만 킬린은 3곳의 한국 기업을 공격했다. 이 외에 ▲건라 ▲크립토24 ▲인크랜섬 ▲아누비스 ▲비스트 ▲더젠틀맨 등 랜섬웨어 조직들이 1건씩 국내 기업을 공격했다. 이용준 극동대 해킹보안학과 교수는 "랜섬웨어 해킹 조직의 특징은 피해 기업 내 데이터베이스(DB)를 암호화해 서비스 중단 후 전 요구가 주된 목적"이라며 "한국 경우 산업에 AX(AI 전환) 가속화가 제조, 물류, 배송 등 전 산업계에서 증가하고 있다. 따라서 한국에 집중된 랜섬웨어 배포로 금전적 획득이 증가하는 것으로 추정된다"고 설명했다. 이 교수는 이어 "피해 기업 경우 서비스 중단으로 발생될 피해비용, 법적책임 등으로 랜섬웨어 비트코인 지불 등 공식적으로 조사되지 않은 피해가 증가하고 있다"며 "이에 정보보안 구비된 환경 에서 AX 전환으로 예방이 필요하며 중소벤처기업에는 처벌보다는 랜섬웨어 복구, 사이버보안 보험 지원, 법률지원 등 실질적인 복구 지원이 병행돼야 한다"고 강조했다. 김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "최근 랜섬웨어는 백업 서버를 우선 암호화 공격하고 데이터를 외부로 유출시키는 등 지능형 공격으로 진화하고 있기 때문에 다중 속성 인증(MFA), 생체인증 등 인증 체계를 점검해 기업 내부 시스템으로의 초기 침투 경로를 차단하고 백업 체계의 운영 상황을 점검해 해커의 직접적인 백업체계 공격 피해를 예방해야 한다"고 밝혔다. 이어 "랜섬웨어 사고가 발생한 경우에는 해커와 협상을 하기보단 KISA에 신고해 감염원인을 파악하고 재발되지 않도록 보안조치 후 암호화된 감영 데이터에 대한 복구 등 기술지원을 받는 것이 중요하다"고 강조했다.

2026.04.10 17:14김기찬 기자

전세계 랜섬웨어 '기승'…한국, 상위 20위 미포함

금전을 노리고 기업 데이터를 탈취해 협박하는 사이버 범죄가 급증하고 있다. '랜섬웨어' 건수가 올해 10월만 해도 벌써 지난해 수준을 뛰어 넘으면서 역대 최대치를 기록할 전망이다. 심지어 국내 기업 및 기관으로도 랜섬웨어 피해가 이어지고 있어 우려를 더하고 있다. 19일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 올해 1~10월간 누적된 전 세계 기업 및 기관 대상 주요 랜섬웨어 그룹의 랜섬웨어 공격 건수는 6557건으로 집계됐다. 이는 지난해(6천129건)를 훌쩍 넘어선 수치다. 19일 기준으로 보면 전 세계 랜섬웨어 공격 건수는 6952건으로 7천건에 육박한다. 전 세계에 걸쳐 랜섬웨어 공격이 기승을 부리고 있는 셈이다. 국가별로 보면 주요 미국을 대상으로 한 랜섬웨어 공격이 2천957억으로 가장 많았다. 이어 캐나다 313건, 독일 281건 등 순으로 집계됐다. 한국은 랜섬웨어 피해 건수 상위 20위 안에 포함되지는 않았지만, 올해에만 34건으로 집계됐다. 다만 이는 주요 랜섬웨어 그룹이 피해 기업 및 기관의 데이터를 다크웹에 공개한 경우만을 집계한 수치로, 실제 피해 신고를 기준으로 하면 이보다 더 많은 기업 및 기관이 랜섬웨어 피해에 노출됐을 것으로 예상된다. 실제로 한국인터넷진흥원(KISA)가 집계한 올해 상반기 기준 랜섬웨어 피해 신고 건수는 82건으로 집계됐다. 특히 올해에는 킬린(Qilin), 아키라(Akira), 건라(Gunra) 등 랜섬웨어 그룹이 국내 기업을 대상으로 공격을 가장 많이 시도한 것으로 나타났다. 킬린의 경우는 국내 자산운용사 30곳을 대상으로 랜섬웨어를 시도했으며, KT의 자회사 KT알티미디어도 최근 공격을 진행해 내부 데이터를 공개해 30곳이 넘는 국내 피해자를 낳았다. 건라도 SGI서울보증, 화천기계, 삼화세미텍 등 기업을 대상으로 랜섬웨어 공격을 시도했다. 올해 처음 식별된 랜섬웨어 그룹이지만, 국내 기업을 대상으로 두드러진 공격 양상을 보이고 있다. 아키라는 주로 미국이나 호주 등 국가의 기업을 타깃으로 하지만, 최근 LG에너지솔루션 일부 해외 공장을 공격한 것으로 확인됐다. 킬린과 아키라는 올해 가장 많은 공격 시도를 한 랜섬웨어 집단이다. 김근용 오아시스시큐리티 대표는 "아키라는 한국을 잘 공격하지 않는 랜섬웨어 그룹으로 알려져 있다"며 "그러나 올해 8월 두산 밥캣을 공격한 사례가 있고, 올해 2월에는 경동나비엔 해외지사를 공격한 사례가 있다"고 설명했다. 김 대표는 이번 LG에너지솔루션 해외 지사 공격과 관련해 아키라 다크웹 협박 사이트 IP를 추적해 미국 CISA(사이버안보인프라안보국)에 전달해둔 상태라고 밝혔다. 이 외에도 지난 9일 랜섬웨어 공격으로 대한산업보건협회 산하 한마음혈액원에서 전산 장애가 발생하는 등 국민 생명과 직결되는 기관에 대한 랜섬웨어 공격도 식별됐다. 위협 행위자들이 국내 기업을 노리는 형국에 랜섬웨어에 대한 각별한 주의가 요구된다. 특히 보안이 취약한 해외 지사나 협력사를 통한 랜섬웨어 공격을 경계해야 한다. 이용준 극동대 해킹보안학과 교수는 "한국 본사 대비 보안이 취약한 해외 지사와 같은 곳이 먼저 뚫려 표적이 되는 경우가 있다"며 "한국을 원래 공격하지 않던 랜섬웨어 그룹도 한국 데이터가 돈이 되겠다 싶으면 한국 기업을 대상으로 한 공격을 시도할 수 있으니 주의해야 한다"고 설명했다.

2025.11.19 17:49김기찬 기자

랜섬웨어 아키라, 소닉월 취약점 악용해 공격

전 세계를 대상으로 수많은 랜섬웨어 공격을 시도하고 있는 랜섬웨어 공격 그룹 '아키라(akira)'가 최근 과거 발견됐던 취약점을 다시 악용한 공격을 시도하는 것으로 나타났다. 14일 보안 외신 블리핑컴퓨터에 따르면 아키라 랜섬웨어 그룹은 지난해 발견된 치명적인 접근 제어 취약점인 CVE-2024-40766을 다시 악용하며 미국의 네트워크 보안 전문 기업 소닉월(SonicWall) 장비에 무단으로 접근하고 있는 것으로 확인됐다. 랜섬웨어 추적 사이트인 랜섬웨어닷라이브에 따르면 아키라는 올해 들어 누적 공격 건수가 496건으로, 가장 많은 공격을 시도한 랜섬웨어 그룹 '킬린(Qilin·499건)'과 함께 가장 위협적인 랜섬웨어 그룹으로 꼽히고 있다. 아키라는 해당 보안 취약점을 활용해 패치되지 않은 소닉월이 제공하는 SSL VPN의 엔드포인트를 통해 대상 네트워크에 침투하는 것으로 확인됐다. 실제로 아키라는 2024년 9월부터 이 취약점을 가장 먼저 악용한 랜섬웨어 그룹 중 하나로 알려졌다. 앞서 소닉월은 CVE-2024-40766 취약점에 대해 지난해 8월 이미 보안 패치를 배포한 바 있다. 배포 당시에도 이 취약점은 인가되지 않은 리소스 접근을 허용하며, 방화벽이 다운(crash) 되는 원인이 될 수 있으며, 취약점이 실제로 악용되고 있다고 경고했다. 이후 소닉월은 로컬 계정 기반의 SSLVPN 사용자들에게 비밀번호를 반드시 변경할 것을 강하게 권고했다. 만약 패치 이후 비밀번호를 변경하지 않으면, 공격자가 이미 탈취된 계정을 통해 MFA(다중 인증) 또는 TOTP(일회용 비밀번호) 설정을 구성해 탐지되기 어려운 방식으로 접근할 수 있기 때문이다. 이에 가장 활발히 활동하고 있는 랜섬웨어 공격이 과거 문제가 됐던 VPN 장비에 대한 취약점을 다시금 악용하고 있는 만큼 빠른 대응이 필요해 보인다. 블리핑컴퓨터는 시스템 관리자들이 소닉월에서 제공한 보안 공지를 참고해 ▲펌웨어를 버전 7.3.0 이상으로 업데이트 ▲소닉월 계정의 비밀번호 재설정 ▲다중 인증(MFA) 활성화 ▲SSLVPN 기본 그룹(Default Group)의 위험 요소 완화 등 즉시 보안 점검을 수행해야 한다고 주문했다.

2025.09.14 09:27김기찬 기자