최근 누구나 랜섬웨어 서비스를 구매해서 사이버 공격을 할 수 있는 일종의 랜섬웨어 주문 제작 대행 서비스인 ‘서비스형 랜섬웨어(RaaS·Ransomware-as-a-Service)’가 기승을 부리고 있다. 특히 비전문가라도 누구나 일반 정보기술(IT) 서비스를 구매하듯이 랜섬웨어 서비스를 구매해 자신이 원하는 대상에게 사이버 공격을 할 수 있게 됐다는 점에서 사이버보안의 중요성이 커지고 있다.
10일 보안업계에 따르면 RaaS는 전문 대행업자가 의뢰인의 주문을 받아 대신 제작하는 랜섬웨어로 대행업자들은 피해자가 ‘몸값’을 지불하면 수익의 일부를 가져가거나 의뢰인으로부터 정해진 비율의 수수료를 받는 방식으로 수익을 배분한다. 개발자는 다크웹(특정 프로그램을 통해서만 접속할 수 있는 웹사이트)을 통해 의뢰인을 모집하고 모든 거래는 가상자산으로 이뤄지며, 자금 세탁자와 초기 접근 브로커도 가담한다. 누구나 전문 지식이 없어도 대행 해킹업체의 도움을 받아 랜섬웨어를 제작해 특정 대상을 공격할 수 있는 구조다.
글로벌 보안업체 아카마이는 7일(현지 시각) 글로벌 사이버보안 컨퍼런스 ‘RSAC 2022′에서 사이버보안 위협에 대한 연구 결과를 발표하면서 RaaS의 위협을 강조했다. 아카마이는 ‘콘티’ 등 랜섬웨어 조직의 RaaS 공격이 증가하고 있다며, 이들은 매출액 1000만(약 125억원)~2억5000만달러(약3135억원)의 중소기업을 주된 표적으로 삼고 공급망 중단과 중요 인프라 위협 등 사이버 공격을 한다고 밝혔다.
SK쉴더스도 지난 5월 발표한 ‘2022 KARA 랜섬웨어 대응 보고서’를 통해 “2020년 말부터 RaaS는 폭발적으로 증가하기 시작했으며, 수사기관의 감시가 집중되거나 운영이 어렵다고 판단되면 공격자 그룹의 수사를 회피하기 위한 랜섬웨어 리브랜딩까지 공격자들은 진화된 형태의 공격을 시도하고 있다”라고 했다. 리브랜딩은 랜섬웨어 공격자들이 운영을 공개적으로 중단한 후 새로운 이름으로 다시 운영하는 것을 의미한다.
최근 국내에서 활동 조짐이 포착된 랜섬웨어 조직 ‘블랙캣(BlackCat)’ 역시 RaaS를 제작하고 배포하고 있는데, 보고서에 따르면 이 조직 역시 과거 비슷한 활동을 하던 조직이 수사를 피해 리브랜딩 한 것으로 추정된다. 미국 최대 송유관 업체인 콜로니얼 파이프라인을 공격해 미국 정부가 1000만달러(약 125억원)의 현상금을 걸었던 해커조직 ‘다크사이드(DarkSide)’는 감시를 피해 지난해 ‘블랙매터(BlackMatter)’라는 이름으로 리브랜딩한 것으로 추정된다. 전문가들은 이 조직이 정부와 수사기관의 압력으로 운영이 중단된 이후 ‘블랙캣’으로 또다시 리브랜딩한 것으로 보고 있다.
보안업계 관계자는 “해커 조직이 발전하면서 RaaS를 통해 일반인도 누구나 공격하고 싶은 특정 인터넷 주소를 해커 조직에 보내고 돈만 내면, 조직이 대신 바로 그 사이트를 자신들이 보유한 기술로 해킹해주는 세상이 됐다”라며 “마치 IT 솔루션을 구매할 때 플랜 A, B, C가 있어 금액대별로 서비스 유효 기간과 세부 사항이 다르듯이, RaaS도 의뢰자가 원하는 사이트를 뚫릴 때까지 해킹을 무제한으로 해주는 서비스와 한 달만 해주는 서비스 등 세분돼서 판매될 정도로 고도화됐다”라고 했다.
또 다른 보안업계 관계자는 “고급 서비스부터 저렴한 서비스까지 RaaS가 세분되면서 다양한 자금을 가진 사람이 자신이 원하는 방식으로 랜섬웨어 공격을 할 수 있게 돼, 해킹이 더 보편화됐다”라며 “이러한 조직들이 이름만 바꿔가면서 계속 활동하고 있어 주의가 필요하다”라고 했다.
☞랜섬웨어(ransomware)
몸값(ransom)과 악성코드(malware)를 합친 말이다. 컴퓨터 내의 모든 데이터를 암호화해 못 쓰게 만든 다음, 원상 복구 대가로 돈을 요구하는 사이버 범죄에 쓰인다. 비트코인처럼 익명 거래가 가능한 가상 화폐를 주로 요구한다.