랜섬웨어뉴스

(서울=연합뉴스) 오규진 기자 = 랜섬웨어 유포 과정에서 초기 침투를 전문으로 수행하는 해커그룹이 올해 들어 기승을 부리고 있는 것으로 나타났다.

6일 보안업계에 따르면 네트워크 접속 권한을 거래하는 '초기 액세스 브로커'들의 판매 활동은 지난해 같은 기간과 비교했을 때 2배 넘게 증가했다.

초기 액세스 브로커는 피싱이나 보안 취약점 공격 등으로 액세스 권한을 탈취한 뒤, 검색 엔진으로 찾을 수 없는 웹페이지나 포럼 등에서 이를 판매한다.

주로 러시아 등지에서 활동하면서 가상사설망(VPN)이나 원격 데스크톱 프로토콜(RDP) 접근 권한 등을 거래하고 있으며, 이 가운데 일부는 보안 담당자와 직접 협상하기도 한다.

다만 이들은 데이터 유출, 암호화, 삭제 등에는 관여하지 않는다.

지난해 기준으로 약 300∼400여 곳이 활동하고 있는 것으로 알려졌다.

또 미국 정보기술(IT) 업체 브이엠웨어의 가상화 플랫폼 'ESXi'에서 발생한 대규모 랜섬웨어 공격과도 연관된 것으로 파악됐다.

업계에선 서비스형 랜섬웨어 시장이 활성화되면서 초기 침투도 하나의 '서비스'처럼 자리 잡고 있다고 평가했다. 서비스형 랜섬웨어는 전문 대행업자가 의뢰인의 주문을 받아 대신 제작한 랜섬웨어를 지칭한다.

아울러 랜섬웨어 해커그룹이 조직 유지를 위해 초기 액세스 브로커와 협업하는 사례도 등장하고 있다.

콘티, 클롭, 블랙캣, 락빗 등 유명 랜섬웨어 해커그룹들은 이들을 계열사 형태로 두거나 제휴 관계를 형성하고 있으며, 신생 랜섬웨어 그룹인 '블러디 갱'(Bl00dy Gang)은 초기 액세스 브로커를 모집하는 게시글을 직접 올리기도 했다.

이호석 SK쉴더스 이큐스트(EQST)랩 담당은 "초기 침투를 서비스로 제공하는 시장 흐름에 따라 전문적인 지식 없이도 손쉽게 침투 및 공격을 시도하고 금전적 이득을 취할 수 있는 생태계가 확립되고 있다"고 말했다.

그는 접속 권한 유출 피해를 방지하기 위해 "피싱 메일을 주의하고, 온라인에 개인정보를 올리는 행위 등은 가급적 자제해야 한다"면서 "운영체제, 백신, 프로그램 등도 주기적으로 업데이트한 뒤 사용하라"고 당부했다. 

[ 연합뉴스 ] 요규진 기자원문보기