랜섬웨어, 데이터 협박으로 진화…양자암호까지 손댔다

카스퍼스키 랜섬웨어 동향 보고서 랜섬웨어 공격이 시스템을 잠그는 방식에서 벗어나 민감 정보를 빼낸 뒤 이를 빌미로 돈을 요구하는 방식으로 발전하고 있다. 공격자들이 양자컴퓨터 시대에도 풀기 어려운 암호기술까지 끌어들이며 위협 수준이 높아지는 양상이다. 4일 카스퍼스키 ‘랜섬웨어 동향 보고서’에 따르면 지난해 랜섬웨어는 파일을 암호화하는 전통적 방식에서 민감 정보를 빼낸 뒤 공개를 빌미로 협박하는 ‘데이터 협박’형으로 빠르게 옮겨가고 있다. 이밖에 지난해 랜섬웨어의 주요 특징으로는 포스트 양자 암호(PQC) 도입, 텔레그램 거래 채널 지속 활용 등이 꼽혔다. 특히 일부 그룹이 양자컴퓨터로도 해독하기 어려운 암호 방식을 채택해 향후 위협을 키울 요인으로 지목됐다. 보안 솔루션을 사전에 무력화하는 엔드포인트 탐지 및 대응(EDR) 킬러 도구가 공격의 표준 절차로 자리잡았고, 침해된 기업 접근 권한을 사고파는 초기 접근 권한 중개자(IAB)의 역할도 커졌다. 데이터 유출 사이트 기준 가장 활발한 활동을 보인 그룹은 킬린(Qilin)이었다. 이들은 랜섬허브 운영 중단 이후 대표적인 서비스형 랜섬웨어 운영자로 올라섰고, 이어 클롭(Clop), 아키라(Akira) 순으로 나타났다. 올해 새로운 위협으로 부상할 기업으로는 데이터 중심 협박과 체계적 운영을 앞세운 젠틀맨(Gentlemen)을 꼽았다. 이효은 카스퍼스키 한국지사장은 “한국의 공공기관과 기업도 시스템 암호화 중심에서 데이터 탈취, 평판 협박형으로 바뀌는 공격에 직면해 있다”며 “금융과 헬스케어 등 주요 산업의 위험이 커지고 있다”고 진단했다.