2분기 '정보협박' 6만건 육박…"더욱 정교·파괴적"
이스트시큐리티의 안티 바이러스 소프트웨어(백신) '알약'이 랜섬웨어 행위기반 사전 차단 기능을 통해 6만건에 육박하는 랜섬웨어 공격을 차단한 것으로 확인됐다. 랜섬웨어는 기업·기관의 데이터를 탈취해 암호화하고 이를 인질로 금전을 요구하는 공격 수법을 말한다. 이스트시큐리티는 올해 2분기 랜섬웨어 동향을 발표하며 '알약'이 랜섬웨어 행위기반 차단 건수가 5만8천575건으로 집계됐다고 5일 밝혔다. 이는 일 평균 약 637건의 랜섬웨어 공격이 차단된 셈이다. 아울러 이스트시큐리티는 올해 2분기 주요 랜섬웨어 동향으로 ▲국제 공조 기반 랜섬웨어 소탕 작전 확대 ▲RansomHub 인프라 중단과 DragonForce 급부상 ▲2분기 신규 랜섬웨어 다수 등장 ▲랜섬웨어 공격 방식의 고도화 등을 꼽았다. 우선 2025년 5월 19~22일, 유로폴(Europol)과 유로저스트(Eurojust)주도로 '엔드게임 2.0'을 진행했고, 새롭게 등장한 랜섬웨어 그룹 다나봇(DanaBot), 콕봇(Qakbot), 하이잭로더(HijackLoader), 락트로덱투스 (Lactrodectus), 웜쿠키(WarmCookie) 등을 대상으로 300대 이상의 서버를 압수하고 650개 이상의 도메인을 무력화시켰다. 지난해 초 등장해 1년여간 전 세계를 대상으로 공격을 진행하며 급성장한 서비스형 랜섬웨어(RaaS) 조직 랜섬허브(Ransomhub)가 올해 4월1일 돌연 인프라 중단 및 공식 활동을 종료한 점도 2분기 주요 이슈로 꼽혔다. 랜섬허브가 밝혀지지 않았으나, 경쟁 조직인 드래곤포스(DragonForce)의 적대적 인수 시도에 따른 결과라는 분석이 제기되고 있다. 실제로 랜섬허브의 활동 종료 이후 드래곤포스는 랜섬허브 인프라를 장악했다고 주장하며 랜섬웨어 생태계에 큰 파장을 일으킨 바 있다. 드래곤포스는 2023년 12월 처음 등장한 RaaS 조직이다. 기존 RaaS 모델을 넘어 분산형 생태계를 구축한 것으로 알려졌다. 이트라벨 서비스를 도입해 기존의 단일 브랜드가 아닌 여러 파트너들이 각자의 브랜드와 이름을 사용해 공격할 수 있도록 암호화 모듈, 데이터 유출 사이트, 관리자 대시보드 등 다양한 기술 인프라를 제공하고 있는 것으로 확인됐다. 이런 인프라를 바탕으로 드래곤포스는 영향력을 넓혀나가고 있다. 이 외에도 건라(Gunra) 랜섬웨어가 4월 등장했고, 사일런트(Silent), 제이(J), 다이어울프(DireWolf) 등 다수의 신규 랜섬웨어가 발견됐다. 이스트시큐리티는 랜섬웨어들의 공격방식이 더욱 파괴적이고 정교한 방식으로 진화하고 있다고 경고했다. 아누비스(Anubis) 랜섬웨어 그룹은 몸값을 지불하더라도 복구가 불가능하도록 제작해 피해자와의 협상력 강화를 시도하고 있다. 세이프페이(SafePay) 랜섬웨어는 데이터를 암호화하기 전 선별 탈취 후, 일정 시간이 지나면 민감 데이터를 선공개 하는 형태로 진화하는 추세다. 인터록(Interlock) 랜섬웨어는 가짜 캡차(CAPTCH)와 클릭픽스(ClickFix)기법으로 IT 전문가들까지 공격 대상으로 삼고 있다. 이스트시큐리티 ESRC(시큐리티 대응센터) 관계자는 "랜섬웨어 생태계는 드래곤포스와 같은 분산형 카르텔 모델로 재편되고 있으며, 그 공격 기법이 더욱 정교하고 파괴적으로 고도화되고 있다"면서 "보안 담당자들이 최신 보안 패치를 신속히 적용하고, 사용자 접근 권한을 철저히 관리하며, 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방 및 대응 체계를 강화해야 한다"고 당부했다.
