SK쉴더스 '이큐스트 인사이트' 6월호 발간
데브맨 그룹 발견…케냐·필리핀 기관 등 피해

[이데일리 최연두 기자] 지난달 전 세계 랜섬웨어 감염 피해가 총 484건 발생한 것으로 조사됐다. 랜섬웨어 변종이 잇따라 등장하면서 피해 우려가 커지고 있다는 분석이다.

SK쉴더스가 19일 공개한 EQST 인사이트 6월호 내 그래프(사진=SK쉴더스)

SK쉴더스는 19일 사이버 위협 분석 보고서 ‘이큐스트(EQST) 인사이트’ 6월호를 공개하고 올해 5월 한 달간 전 세계적으로 총 484건의 랜섬웨어 피해가 발생했다고 밝혔다. 이는 전월(550건) 대비 약 12% 줄어든 수치다.

보고서는 진화하는 랜섬웨어 그룹의 공격 양상을 다각도로 분석했다.

지난달 초에는 랜섬웨어 조직 록빗(LockBit)의 다크웹 유출 사이트가 역해킹당하는 사건이 발생했다. 해커는 관리 패널까지 침입해 내부 데이터베이스(DB) 일부를 유출했으며, 이 안에는 가상화폐 지갑 주소, 랜섬웨어 버전 정보, 제휴사 계정, 채팅 기록 등이 포함된 것으로 확인됐다.

눈에 띄는 신규 랜섬웨어 그룹에는 데브맨(Devman)이 꼽혔다. 지난 4월 등장한 데브맨은 케냐의 공공 연금 기구인 ‘NSSF 케냐’를 공격해 2.5테라바이트(TB) 규모의 데이터를 탈취했다고 주장했다. 필리핀 언론사 ‘GMA 네트워크’의 서버를 암호화하는 피해도 입혔다. 데브맨은 엑스(X) 등의 소셜미디어에서 이들에 스크린샷과 협박 메시지를 전송하고, 450만 달러(약 61억원)에 달하는 몸값을 요구했다.

지난달 가장 활발한 활동을 전개한 조직은 세이프페이(SafePay)로, 총 72건의 공격을 기록했다. 이 조직은 체코의 공립 고등학교와 호주의 법률회사를 공격해 각각 30기가바이트(GB), 200GB 규모의 민감 데이터를 탈취했으며, 학생 정보와 법률 문서, 고객 자료 등이 다크웹에 공개했다.

이번 SK쉴더스 보고서는 제이그룹(JGroup), 임엔크루(Imncrew), 월드리크스(WorldLeaks), 다이어울프(Direwolf), 데이터캐리(DataCarry), 사이버엑스(Cyberex) 등 신규 랜섬웨어 그룹 8곳의 활동도 다뤘다.

이중 사이버엑스는 기존 다크웹 사이트 대신 일반 채팅 플랫폼을 활용해 몸값 협상을 진행하는 이례적인 방식을 사용했다. 신규 조직인 인젝션 팀(Injection Team)은 러시아 해킹 포럼에서 해킹·디도스(DDoS)·피싱 서비스를 홍보하는 등 활동 반경을 넓히고 있다는 분석이다.

SK쉴더스는 고도화된 랜섬웨어 공격에 대응하기 위해, 24시간 이상 징후를 탐지하고 보안 전문가가 즉시 대응하는 관리형 탐지·대응(MDR) 서비스를 운영 중이다. 구독형 형태로 제공되는 MDR 서비스는 내부 보안 인력이 부족한 중소기업이나 기관에서도 부담 없이 도입 가능하다는 것이 특징이다.

한편 SK쉴더스는 2017년부터 랜섬웨어 동향과 보안 대응 전략을 담은 ‘EQST 인사이트’를 매월 발간하고 있다. 해당 보고서는 SK쉴더스 공식 홈페이지에서 무료로 확인 가능하다.

최연두 (yondu@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.