백업과 복구서버부터 공격… “진화하는 랜섬웨어 방식에 대응력 갖춰야”

RaaS 모델로 공격 수법 고도화 “체계화된 스토리지 기술로 대응” 최근 랜섬웨어 공격이 인공지능(AI) 기반으로 지능화해 고도의 대응이 요구된다. 해커들이 백업 서버와 복구 시스템부터 겨냥하거나, 내부 정보 탈취와 협박을 병행하는 이중·삼중 갈취 수법을 쓰고 있다. 특히 해커집단들이 해킹 과정에서 역할을 분담하고 수익을 공유하는 공격이 새로운 위협으로 떠올랐다. 업계에서는 백업 데이터를 분리해 안전하게 보관하면서 ‘사이버 회복력’을 확보하기 위한 체계적인 전략이 필요하다고 말한다. 8일 정보보안 업계에 따르면 랜섬웨어 공격은 단순한 해킹 수법 중 하나가 아닌, 사이버 범죄 산업으로 부상했다. 랜섬웨어 공격의 진입 장벽을 낮추는 ‘서비스형 랜섬웨어’(RaaS) 모델 활용이 확산하면서다. 최근 해커 집단들은 공격에 필요한 악성코드를 직접 개발하지 않고 대행자에게 필요한 공격 인프라를 구매한 후 금전 탈취 등 수익이 발생하면 대행자와 나눠 갖는다. 다크웹 등에서 역할 별 대행자를 물색한 후 수익을 배분하는 새로운 비즈니스 모델이다. 이런 협력 구조는 사이버 리스크를 한층 높인다는 설명이다. 업계 한 관계자는 “공격자들이 일종의 구독형 모델인 RaaS 기반으로 고도화된 공격을 하고 있다”며 “일반 랜섬웨어가 보통 파일을 한 번만 암호화하는 것과 달리, RaaS 기반으로 한 공격자들은 리눅스 환경에서 동일 파일을 세 번 암호화하거나 백업 삭제와 복구 방해까지 한다”고 말했다. 국가적 대응력을 높이면서 대형 랜섬웨어 그룹이 다소 위축된 듯 보였지만, RaaS 기반의 공격은 빠르게 회복하는 모양새다. 지난해 4월 악명 높았던 Raas 기반의 랜섬허브(RansomHub)가 공격 중단을 선언한 후에도 제휴자들이 킬린(Qilin) 및 드래곤포스(DragonForce) 등으로 이동해 활동을 이어가고 있다. 북한 해킹조직 안다리엘(Andariel)과 문스톤 슬리트(Moonstone Sleet)가 킬린 랜섬웨어를 배포하면서 국가 지원 공격 그룹들이 RaaS에 편입돼 덩치를 키우는 모습도 보였다. 전문가들은 데이터 유출 협박에서 고객과 파트너까지 압박하는 삼중 갈취 수법으로 진화하고 있어, 제로 트러스트와 다중 인증(MFA) 기반의 모니터링 등 다층적 방어 체계를 갖춰야 한다고 제언한다. 엔드포인트 탐지·대응(EDR)과 확장형 탐지·대응(XDR) 기반의 조기 탐지 대응과 함께 데이터 백업의 불변성을 확보하며 신속한 복구 훈련을 통해 사이버 복원력도 강화해야 한다고 강조한다. 곽진 아주대 정보보안학과 교수는 “AI 에이전트가 자동화된 방식으로 24시간 동안 취약점을 노리고 생성형 AI를 악용해 백신 탐지를 우회하는 ‘변종 악성코드’를 실시간으로 만들어내는 등 공격 수법이 진화하고 있다”며 “RaaS 기반의 공격으로 백업 파일을 암호화하는 기법도 고도화하는 만큼, 예상치 못한 변경과 수정을 차단해 데이터의 원본을 보호하고 안전성을 높여주는 스토리지 기술 등으로 빠른 복구할 수 있도록 대비해야 한다”고 제언했다. 임성원 기자 sone@dt.co.kr