'록빗 주의보' 떴다… 활개치는 정보 협박범에 '촉각'

2개월 만에 랜섬웨어 피해 1개 분기 수준 육박
최대·최악 랜섬웨어 '록빗'…버전 업데이트 정황
"주기적 백업 중요… 의심 메일 확인 절대 금지"

록빗 3.0 다크웹 유출 사이트 캡처./사진=SK쉴더스 — 기업 및 기관으로부터 탈취한 정보를 사이트에 게시하고, 금전을 요구하는 정보 협박범이 기승을 부림에 따라 각별한 주의가 필요한 상황이다. 사진은 록빗 3.0 다크웹 유출 사이트를 캡처한 것. /사진=SK쉴더스

[인더스트리뉴스 김기찬 기자] 정보를 탈취한 뒤 이를 인질 삼아 금전을 요구하는 '정보 협박범'들이 활개를 치고 있다. 최근 2개월 만에 지난해 1개 분기 수준의 랜섬웨어 피해 사례가 발견됐을 정도로 피해사례가 잇따르고 있는 것으로 나타났다.

3일 SK쉴더스 산하 화이트해커 그룹 EQST가 최근 발표한 보고서에 따르면 올해 1~2월 랜섬웨어 피해 사례는 1789건(1월 722건 · 2월 1067건)으로 집계됐다.

이는 지난해 4분기(1889건)에 발생한 랜섬웨어 피해 사례 건수에 육박하는 수준이다. 2개월 만에 1개 분기 수준의 랜섬웨어 피해가 발생한 셈이다. 심지어 지난해 4분기에도 랜섬웨어 피해 사례는 2023년 동기 대비 38% 증가한 바 있다.

이처럼 랜섬웨어 피해가 급증한 이유로 EQST는 클롭(Clop) 등 신흥 랜섬웨어 조직이 파일 전송 솔루션 취약점을 악용해 피해 사례를 공개했기 때문으로 분석했다.

특히 세계 최대 랜섬웨어 공격집단인 '록빗'(Lockbit)이 최근 업데이트를 진행하며 활동을 재개한 영향 탓이라는 점도 일부 확인됐다.

록빗은 최근 애플 등 글로벌 기업 뿐 아니라 국내 기관 및 국내 유명 기업에 랜섬웨어 공격을 시도한 것으로 알려져 있다.

문제는 록빗이 최근 기존 3.0 버전에서 4.0 버전으로 업데이트한 정황이 확인됐다는 사실이다. 실제로 록빗 4.0으로 인한 피해 사례도 EQST 보고서에서 확인되고 있다.

록빗은 지난 2019년 등장한 이래 전세계 기관 및 기업에 랜섬웨어 공격을 시도하고 이를 인질로 금전을 요구하는 집단으로 악명을 떨치며 몸집을 키워왔다. 랜섬웨어 파트너와 이용자를 모집해 '서비스형 랜섬웨어'(Raas)를 배포하는 것이 이들의 핵심 수법이었다.

다만 지난해 2월 국제 공조를 통해 록빗의 주요 멤버들이 검거됐고, 인프라를 압수당해 랜섬웨어 시장에서 영향력이 점차 약화되는 상황이었다.

이런 와중에 록빗이 다시 버전을 업데이트하며 활동을 재개하려는 수상한 움직임이 포착된 것이다. 록빗은 지난해 말 4.0 버전을 업데이트하며 파트너 가입을 유도하는 다크웹 페이지 인터넷 주소(URL) 5개를 공개한데 이어 파트너 가입을 유도하는 게시글을 올린 바 있다.

이에 EQST는 보고서에서 "홍보글 게시 이후 록빗 4.0으로 추정되는 랜섬웨어가 다수 발견됐다"며 "실제 피해 사례도 확인됐다"고 밝혔다.

록빗 4.0은 크게 두 종류로 분류되는데, 록빗 블랙(Black) 4.0과 록빗 그린(Green) 4.0이다. 두 랜섬웨어 모두 탈취한 데이터의 크기에 따라 부분 암호화를 진행하는 것으로 파악되고 있다.

록빗 블랙 4.0의 경우 기존 버전인 록빗 블랙 3.0과 81%가량 유사한 것으로 나타났다. 특히 주의할 대목은 악성 스크립트를 파일 형태로 저장하는 것이 아니라 메모리에 로드한 뒤 '파일리스 방식'으로 랜섬웨어를 실행한다는 점이다. 록빗 블랙 4.0은 512KB(킬로바이트)가 넘는 파일부터 부분 암호화를 진행한다. 파일리스 방식은 파일을 감염시키지 않고도 작동하는 방식을 의미한다.

록빗 그린 4.0은 1MiB(약 1.04858메가바이트) 이하의 파일은 전체 암호화를 진행하고, 1MiB 초과 파일은 전체 파일 크기의 27%만 암호화하는 것으로 확인됐다.

보고서는 랜섬웨어 피해를 최소화하기 위해 공격자가 사용하는 특정 프로세스와 실행 가능한 프로세스를 차단하는 보호 기능(ASR)을 활성화할 것을 주문하고 있다. 또한 백업 파일 역시 랜섬웨어 위험에 노출될 수 있으므로, 별도 네트워크나 저장소에 분산 저장할 것을 당부했다.

뿐만 아니라 록빗 블랙 4.0의 경우 랜섬웨어 실행 스크립트를 활용하고, 랜섬웨어를 시작 프로그램으로 등록하기 때문에 비정상적인 프로세스를 차단할 수 있는 행위 기반 탐지 솔루션을 사용할 것을 권장하고 있다.

이별 CIS 대표는 "파일리스 랜섬웨어의 경우 사용하고 있는 시스템에서 취약점이 발견되고 메모리에 로드돼야 실행되는 구조인데, 대부분 패치가 완료됐기 때문에 정말 취약한 시스템이 아니라면 탐지가 가능할 것"이라며 "록빗이 주로 사칭 메일 등을 통해 랜섬웨어 실행을 유도하는 전략을 구사했던 만큼 이에 대한 대비가 필요하다"고 조언했다.

이 대표는 특히 "주요 정보들의 경우 주기적으로 백업해야 하고, 의심되는 메일 등을 열어보지 않는 것이 랜섬웨어 대비의 시작"이라고 강조했다.