SK쉴더스는 사이버 위협 분석 보고서 'EQST 인사이트' 6월호를 통해 지난달 전 세계적으로 총 484건의 랜섬웨어 피해가 발생했다고 19일 밝혔다. 이는 4월(550건) 대비 약 12% 감소한 수치다. 다만 주요 랜섬웨어의 소스코드 유출 등으로 변종과 신규 조직의 등장이 잇따르며 공격 위험성은 여전히 크다고 분석했다.

보고서는 진화하는 랜섬웨어 그룹의 공격 양상을 다각도로 분석했다. 특히 5월 초 세계 최대 규모 랜섬웨어 조직 중 하나인 록빗(LockBit)의 다크웹 유출 사이트가 역해킹당하는 사건이 발생했다. 해커는 관리 패널까지 침입해 내부 데이터베이스 일부를 유출했으며 이 안에는 가상자산 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함된 것으로 조사됐다.

눈에 띄는 신규 랜섬웨어 그룹 중 하나는 데브맨(Devman)이다. 지난 4월 처음 등장한 이들은 케냐 공공 연금 기구인 'NSSF 케냐'를 공격해 2.5테라바이트(TB) 규모의 데이터를 탈취했다고 주장했다. 필리핀 언론사 'GMA 네트워크'에도 서버를 암호화하는 등의 피해를 입혔다. 이들은 X(옛 트위터)를 통해 스크린샷과 협박 메시지를 공개하고 450만달러(약 61억원)에 달하는 몸값을 요구하는 등 협상 방식도 점차 고도화하고 있다.

지난달 가장 활발하게 활동한 랜섬웨어 그룹은 SafePay다. 총 72건의 공격이 발견됐다. 이들은 체코 공립 고등학교와 호주 법률회사를 공격해 각각 30기가바이트(GB), 200기가바이트(GB) 규모의 민감 데이터를 유출했다. 학생 정보와 법률 문서, 고객 자료 등이 다크웹에 공개됐다.

이외에도 보고서는 ▲JGroup ▲Imncrew ▲WorldLeaks ▲Direwolf ▲DataCarry ▲Cyberex 등 신규 랜섬웨어 그룹 8곳의 활동도 함께 다뤘다. 이 중 Cyberex는 기존 다크웹 사이트 대신 일반 채팅 플랫폼을 활용해 몸값 협상을 진행하는 이례적인 방식을 사용했다. 신규 조직인 Injection Team은 러시아 해킹 포럼에서 해킹·디도스·피싱 서비스를 홍보하는 등 활동 반경을 넓히고 있다.

SK쉴더스 관계자는 "최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다"며 "국내 기업과 기관을 겨냥한 랜섬웨어 위협이 지속되는 상황에서 실시간 탐지와 대응이 가능한 SK쉴더스의 MDR 서비스가 효과적인 대응 수단으로 권장된다"고 말했다.

임경호 기자 lim@techm.kr