RaaS 패권 노리는 '락빗' 랜섬웨어…"올해 1Q 46%"

[아이뉴스24 김혜경 기자] 올해 1분기 전 세계에서 가장 광범위하게 배포된 랜섬웨어는 '락빗(LockBit) 2.0'이라는 조사 결과가 나왔다. 이른바 탑 티어 서비스형 랜섬웨어(RaaS)로 불리는 '다크사이드(DarkSide)', '레빌(REvil)' 등의 활동이 주춤해진 틈을 타 존재감을 과시하고 있다는 분석이다.

국내에서는 '비너스락커(VenusLocker)' 조직이 RaaS 형태의 락빗 랜섬웨어를 최근까지 유포하고 있는 가운데 기업‧기관들의 주의가 요구된다.

13일 국내 정보보안업계에 따르면 비너스락커가 유포 중인 락빗 랜섬웨어는 이날 오전에도 탐지됐다. 문종현 이스트시큐리티 이사는 "국내에서는 Hwp 문서 아이콘으로 위장돼 유포되고 있다"며 "이들은 랜섬웨어를 변경하면서 지속적으로 활동을 이어나가고 있다"고 말했다.

비너스락커는 2017년부터 국내에서 탐지된 바 있다. 기존에는 '마콥(Makop)' 랜섬웨어를 유포했지만 최근에는 락빗 랜섬웨어를 유포한 정황도 포착되고 있는 것.

RaaS는 일종의 랜섬웨어 주문 제작 대행 서비스다. 특정 집단이나 개인이 랜섬웨어를 제작해 범죄조직에 공급하고 수익을 공유하는 형태다. 다크 웹(Dark Web) 등을 통해 암호화폐로 거래되므로 익명성이 보장된다는 점과 전문지식이 없는 일반인도 접근 가능하다는 점이 특징이다.

RaaS 제작자는 일정액을 수수료로 받거나 범죄 수익을 배분해 이득을 취한다. 특정 RaaS의 경우 한 번 배포하고 끝나는 것이 아닌 업데이트를 지속 제공하는 것으로도 알려졌다.

랜섬웨어 제작자와 유포자가 다를 수 있으므로 범죄 분석을 어렵게 만든다는 점도 특징이다. 문 이사는 "RaaS 기반으로 배포될 경우 원 제작자를 검거하기 전까지는 누가 실제 제작자인지 규명하는 작업은 결코 쉽지 않다"며 "국내에서 유포되고 있는 것은 Hwp 문서 아이콘으로 위장된 형태이기 때문에 '국내 맞춤형'으로 볼 수 있지만 반드시 국내에서 제작했다고는 보기 어렵다"고 설명했다.

지난주 팔토알토 네트웍스가 발표한 보고서에 따르면 ‘락빗 2.0’은 올해 1분기 가장 많이 배포된 랜섬웨어 변종으로 나타났다. 지난말 기준 락빗 2.0은 전체 랜섬웨어 관련 침해사고 중 46%를 자치한 것으로 집계됐다. 이어 ▲콘티(Conti) 17% ▲블랙캣(BlackCat) 10% ▲스톰어스(Stormous) 10% 순으로 나타났다. 락빗은 현재까지 총 1만2천125개 기업에 몸값을 요구했다고 주장하고 있다.

국가별로는 지난해 6월 락빗 2.0 RaaS 탐지 이후 ▲미국 49.6% ▲이탈리아 9.6% ▲독일 7.9% ▲캐나다 6.6% 등에 본사를 둔 기업 순으로 피해를 많이 받은 것으로 조사됐다. 업종별로는 ▲법률 등 전문 서비스 45.6% ▲건설 12.8% ▲도‧소매 제조 11.3% ▲제조 10.2% 등의 순으로 나타났다.

팔로알토는 보고서를 통해 "지난해 다크사이드, 레빌 등과 연계된 몇몇 RaaS는 사라졌지만 락빗 2.0은 지속적으로 유포돼 가장 활발한 움직임을 보였다"며 "2021년 한 해 동안 가장 광범위하게 배포된 랜섬웨어는 콘티로 분석됐지만 올해 1분기 동안 가장 막강한 영향력을 보인 것은 락빗 2.0"이라고 전했다.

이달 초 맨디언트도 보고서를 통해 러시아 연계 공격자 그룹인 '에빌코프(Evil Corp)'가 미국 재무부의 수사망에서 벗어나기 위해 락빗 2.0 랜섬웨어로 전환했다는 내용을 발표한 바 있다.

문 이사는 "어떤 해커가 락빗과 전혀 관련이 없는데도 해당 랜섬웨어가 잘 팔리니까 모방 제작할 수도 있다"며 "원 제작자가 만든 RaaS에 이어 다른 제작자가 새로운 버전을 유포할 수도 있으므로 실제 제작자를 검거하기 전까지 복수의 공격자 그룹이 서로 관련이 있는지 여부도 신중하게 접근해야 할 필요가 있다"고 말했다.

김혜경 기자의 다른 기사 보기

• 'RaaS'로 누구나 랜섬웨어 공격자가 된다

• 1분기 국내 랜섬웨어 공격 18만 건…KISA "이중 갈취 활개"