[파이낸셜뉴스]   랜섬웨어 공격이 급증하고 있다. 랜섬웨어 공격 트렌드에 맞춘 보안 전략이 필요하다는 주장에 무게가 실린다.  19일 SK쉴더스가 발표한 2023년 4·4분기 KARA 랜섬웨어 동향 보고서에 따르면 이 기간 랜섬웨어 공격은 총 1266건이 발생했다. 이는 전년 동기 대비 65.4% 상승한 수치다. 4·4분기에는 핵티비즘을 내세운 다수의 랜섬웨어 그룹들의 공격이 활발하게 발생한 것으로 조사됐다. 핵티비즘이란 해커와 행동주의의 합성어로 정치적, 이념적 방향에 목적을 둔 해킹 활동을 일컫는다. 이스라엘- 하마스 전쟁 등의 영향으로 이스라엘 기업을 타깃으로 한 공격이 다수 진행됐다.  챗GPT를 활용한 랜섬웨어 공격도 발생해 눈길을 끌었다. 중국 정부는 모 기업에 랜섬웨어 공격을 수행한 혐의로 4명을 체포했다고 밝혔다. 이들은 랜섬웨어 개발과 기능 개선, 공격 수행에 ChatGPT를 악용했다. 최근 랜섬웨어 공격자들이 WormGPT, FraudGPT 등 사이버공격을 수행하기 위해 생성형 인공지능(AI) 모델을 적극적으로 활용하고 있는 것으로 나타나고 있어 이에 대한 각별한 주의가 필요하다.  이처럼 최근 랜섬웨어 공격자들이 생성형 AI 모델 악용, 삼중협박 등 고도화된 전략을 사용하고 있어 이에 대한 철저한 대비가 요구되고 있다. SK쉴더스와 KARA에서는 랜섬웨어 그룹별 맞춤형 대응 방안과 전반적인 랜섬웨어 대응 프로세스를 점검해야 한다고 강조했다. 우선, 초기 침투 경로를 차단하기 위해서는 모의 훈련, 보안 정책 평가 등의 서비스를 도입해야 한다. 이후 공격 위협이 탐지되었을 때는 내부로 확산되지 않도록 위협 요소를 제거하고 공격을 차단할 수 있는 관제, MDR 서비스 등을 고려해볼 수 있다. 대응 및 복구 단계에서는 보안 백업을 통해 시스템을 정상화하고 원인 분석을 통해 재발 방지 대책을 수립하는 등의 조치가 필요하다.  김병무 SK쉴더스 정보보안사업부장은 “범죄에 특화된 생성형 AI를 활용한 랜섬웨어 공격이 본격화되고 있는 만큼 랜섬웨어 공격 대응 방안 점검과 기업의 정보보호 활동이 강화돼야 한다”며 “민간에서 유일하게 랜섬웨어 원스톱 서비스를 제공하고 있는 만큼 급변하는 랜섬웨어 공격 트렌드에 맞춘 보안 전략을 선보이겠다”고 강조했다.  kjw@fnnews.com 강재웅 기자

[파이낸셜뉴스]   신변종 랜섬웨어 공격이 증가세를 보이고 있다.  8일 국내 최대 사이버보안 서비스 기업 SK쉴더스가 2023년 3·4분기 KARA 랜섬웨어 동향 보고서에 따르면, 3·4분기 동안 랜섬웨어 공격은 총 1384건이 발생했다. 특히 9월에만 496건의 공격이 집중됐다.  이번 보고서에는 지난 3·4분기 가장 활발하게 활동한 랜섬웨어 공격 그룹의 동향과 공격 전략을 상세히 다뤘다. 이는 클롭(Clop), 락빗(LockBit) 등 유명 랜섬웨어 그룹의 대규모 공격뿐만 아니라, 신규 랜섬웨어 그룹의 등장으로 인한 것으로 파악됐다. 신규 랜섬웨어의 공격 비중은 전체 공격의 17.6%나 차지했다.  특히, 지난 9월에는 락빗이 국내 한 대기업의 데이터 800GB를 탈취하고 업무 관련 문서, 데이터베이스 관련 파일 등 데이터 100GB를 공개해 파장이 일었다. 이들은 기업을 대상으로 데이터 탈취뿐만 아니라 데이터 공개를 빌미로 금전을 요구하는 이중 협박 전략을 쓰고 있어 기업의 피해가 커지고 있다.  랜섬웨어 공격 시 초기 침투를 전문으로 하는 IAB와의 협업은 더욱 강화되고 있는 것으로 조사됐다. 대형 랜섬웨어 그룹들이 초기 침투 경로를 IAB에게 구매해 공격을 수행한 뒤 얻은 암호화폐 수익을 숨기는 ‘믹싱 서비스’를 이용하는 등 체계화된 공격 전략을 보이고 있기 때문이다. 이 밖에도, 초기 침투 방법으로 취약점을 악용한 전문적인 공격 방법과 비교적 공격이 쉬운 피싱, 스팸 메일, 사회공학기법을 이용한 상반된 전략이 모두 발견되고 있는 것으로 조사됐다.  김병무 SK쉴더스 인포섹의 클라우드보안사업본부장은 “특색 있는 신규 랜섬웨어들이 계속 발견되고 매분기 공격 건수가 늘어나는 만큼 공격자의 관점에서 전략과 기법을 사전에 파악해 선제적이고 능동적인 조치가 필요한 시점”이라며 “이번 복호화 도구 무료 제공을 계기로 랜섬웨어 예방에서부터 사후 조치까지 기업 환경에 맞는 맞춤형 대응 방안을 지속적으로 제시할 것”이라고 말했다. kjw@fnnews.com 강재웅 기자

한화큐셀 중국법인이 최근 랜섬웨어 공격을 받은 것으로 확인됐다. 랜섬웨어 공격은 개인용 컴퓨터(PC)에 있는 데이터를 인질로 몸값을 요구하는 사이버 보안 공격이다. 12일 관련 업계에 따르면 한화큐셀 중국법인은 지난 2일 랜섬웨어 공격을 받아 현재 피해 규모 등을 조사 중이다. 한화큐셀 관계자는 "중국 법인에서 일어난 일이 맞다"며 "아직 국내 법인 피해는 확인 안됐으며 현재 내부적으로 조사하고 있다"고 말했다. 그러면서 "중국 법인 일부 정보는 빠져나갔으나 정확히 어떤 정보인지는 파악 중"이라며 "생산라인이 멈춘 것은 아니다"고 덧붙였다. 권준호 기자

[파이낸셜뉴스] 기아 미국 조지아공장 협력사와 한화솔루션 큐셀부문 중국법인이 잇따라 랜섬웨어 공격을 받았다.  12일 업계에 따르면 미국 내 기아의 현지 협력업체가 랜섬웨어 공격을 당해 부품공급에 차질을 겪으면서 조지아주 웨스트포인트에 있는 기아 조지아 공장이 지난 6일(현지시간) 생산을 일시 중단했다. 부품사에 랜섬웨어 피해가 발생한 시기는 정확히 확인되지 않았다. 조지아 공장 조업은 7일 오전 재개됐다고 기아 측은 전했다. 랜섬웨어 공격은 사용자 PC에 있는 데이터를 인질로 삼아 몸값을 요구하는 사이버 보안 공격이다. 최근 수년간 글로벌 주요 기업의 공급망을 타깃으로 한 랜섬웨어 공격이 잇따라 보고되고 있다. 지난해 초엔 도요타 1차 협력업체가 랜섬웨어 해킹을 당하면서, 도요타 생산라인 전체가 하루 동안 가동 중지된 바 있다. 대기업에 비해 계열사나 납품업체들이 상대적으로 보안이 취약하다는 점을 악용, 사이버 공격을 가하고 있다는 분석이 나온다. 기아와 현대자동차 북미법인은 지난 2021년에도 사이버 공격을 당했었다. 태양광 셀 모듈을 생산하는 한화큐셀 중국법인도 지난 2일 랜섬웨어 공격을 받은 것으로 확인돼 피해 규모 등을 조사 중이다. 다만 공장 가동에는 문제가 없는 것으로 알려졌다.  ehcho@fnnews.com 조은효 권준호 기자

[파이낸셜뉴스] 올해 들어 랜섬웨어를 활용한 가상자산 범죄가 늘어나고 있다. 랜섬웨어를 비롯한 스캠, 해킹 등 여러 가상자산 범죄 유형에 대응하기 위해 국가 간 공조를 위한 표준화 된 협업 방식이 필요하다는 제언이다.  가상자산 분석업체 체이널리시스의 알렉 지브릭 아태지역 수사 총괄 매니저는 12일 바이낸스 주최로 서울 중구에서 열린 ‘건전한 가상자산 산업의 미래 컴플라이언스와 민관 협력’ 포럼에서 "지난해와 비교해 올해 가상자산 관련 스캠(온라인 사기)이나 해킹 범죄 규모는 각각 45.2%, 23.5% 줄어들었지만, 랜섬웨어 범죄 규모는 10.3% 증가했다"고 밝혔다.  랜섬웨어는 데이터 복구를 조건으로 거액을 요구하는 유형이다. 올 들어 지난 6월까지 랜섬웨어 공격을 통한 가상자산 탈취 금액은 4억달러(5300억원)에 달한다. 이는 역대 2번째로 큰 규모다.  랜섬웨어 범죄가 늘어나는 이유로는 공격 대상이 개인에서 기관으로 넓어지고 있는 점이 꼽힌다. 지브릭 매니저는 "랜섬웨어 공격 대상이 대규모 자금력을 갖춘 기관을 주로 노리는 것으로 바뀌었다"며 "기업 등 자금이 충분한 단체를 노려 거액을 뜯어내는 경우와 소액을 노린 랜섬웨어 공격이 동시에 증가하는 추세"라고 설명했다. 그는 "랜섬웨어 공격이 이제는 가상자산 탈취 뿐 만 아니라 스파이 첩보 등을 목적으로도 같이 활용되고 있다"고 부연했다.  이같은 가상자산 범죄에 효과적으로 대응하기 위해서는 공조를 위한 표준화 된 협업 방식이 도입돼야 한다는 진단이다. 블록체인에 국경이 없는 만큼 다자 간 글로벌 협업 프레임을 구축할 필요가 있다는 뜻이다.  이수평 경찰청 국가수사본부 사이버수사연구분석계 수사관은 "현재 표준화 된 협업 체계가 없다”며 “글로벌 거래소와 여러 국가 사법기관이 체계를 맞춘다면 국내 거래소에도 통일된 체계를 도입하고 수사에 도움이 될 것 같다"고 전했다.  지브릭 매니저는 "가상자산 범죄엔 국경이 따로 없다"며 "수많은 나라 중 내부 통제가 취약한 국가와 기업이 범죄 대상이 되기 때문에 국가 간 협업에서 표준화 된 국제 공조가 마련돼야 한다"고 강조했다.  가상자산 거래소의 공조 역할도 중요하다는 의견이 나왔다. 대표적으로 세계 최대 가상자산 거래소인 바이낸스는 체이널리시스와 협력해 스캠·랜섬웨어 등 범죄에 관련돼 있을 가능성이 큰 거래 내역을 파악하고, 해당 계좌를 정지하는 등 각국 수사기관, 사법기관에 적극적으로 협조하고 있다.  야렉 야쿠벡 바이낸스 법집행기관 트레이닝 책임은 "바이낸스는 미국 연방수사국(FBI) 등 수사기관의 협조 요청이 들어오면 적극적으로 정보를 제공하고 있다"며 "단순히 정보 제공에 머무는 것이 아니라, 실제 범죄에 연루된 것으로 의심되는 계좌에 대해 동결 조치를 취하기도 한다"고 설명했다.  그는 "바이낸스는 한국의 수사당국과도 긴밀하게 협조하고 있다"며 "각국 수사 당국과의 효율적인 협력을 위해, 관련 수사관들에게 70종 이상의 연수(트레이닝) 프로그램을 제공하고 있다"고 강조했다.  zoom@fnnews.com 이주미 기자

[파이낸셜뉴스] 한화큐셀 중국법인이 최근 랜섬웨어 공격을 받은 것으로 확인됐다. 랜섬웨어 공격은 개인용 컴퓨터(PC)에 있는 데이터를 인질로 몸값을 요구하는 사이버 보안 공격이다. 12일 관련 업계에 따르면 한화큐셀 중국법인은 지난 2일 랜섬웨어 공격을 받아 현재 피해 규모 등을 조사 중이다. 한화큐셀 관계자는 "중국 법인에서 일어난 일이 맞다"며 "아직 국내 법인 피해는 확인 안됐으며 현재 내부적으로 조사하고 있다"고 말했다. 그러면서 "중국 법인 일부 정보는 빠져나갔으나 정확히 어떤 정보인지는 파악 중"이라며 "생산라인이 멈춘 것은 아니다"고 덧붙였다. kjh0109@fnnews.com 권준호 기자

한국인터넷진흥원(KISA)과 과학기술정보통신부는 국내 이용자와 기업의 랜섬웨어 피해를 예방하고 대응하기 위한 가이드라인 개정본을 배포한다고 3일 밝혔다. 개정된 '랜섬웨어 대응 가이드라인'은 △최신 랜섬웨어 유형과 피해사례 △랜섬웨어 사전 예방을 위한 수칙 △랜섬웨어 감염 시 대응 절차를 상세히 다루고 있다. 특히 기업에서 랜섬웨어 피해 예방을 위해 어떠한 사항들을 점검해야 하는지 구체적으로 제시했다. KISA는 이번 가이드라인 개정을 위해 과거 국내에서 발생했던 주요 랜섬웨어 피해 사례를 종합적으로 분석했다. 이를 통해 해커가 기업에 침투할 때 사용하는 주요 공격 방식 3가지(홈페이지 취약점 공격, 중앙관리솔루션 침투, 관리자 PC 감염)를 도출했다. 이에 KISA는 기업의 비즈니스 연속성에 문제가 발생하지 않도록 백업 및 재해 복구 계획을 마련하고 정기적으로 훈련하는 것이 매우 중요함을 강조했다. 개정된 ‘랜섬웨어 대응 가이드라인’은 KISA 보호나라 누리집에서 다운로드 받을 수 있다. 이 외에도 KISA는 국민들이 랜섬웨어 예방방법, 복구방법을 원클릭으로 확인하고 신고까지 할 수 있도록 STOP랜섬웨어 대응 페이지를 제공하고 있다. KISA 박용규 침해사고분석단장은 “기업이 랜섬웨어 사고를 인지했을 때는 이미 기업의 중요 데이터가 암호화된 이후이기 때문에 적지 않은 피해 손실이 발생할 수 있다"며 "이번 가이드를 적극 활용해 랜섬웨어 피해 예방을 위해 할 수 있는 조치들을 적극적으로 취해주길 바란다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] #. 붕어빵 노점상을 운영하는 40대 A씨는 현금 없는 손님들에게 입금 받을 때 쓰던 은행계좌가 보이스피싱에 연루됐다며 갑자기 지급정지를 당했다. 사기범으로부터 지급정지를 풀어줄테니 200만원을 보내라는 연락을 받은 A씨는 당장 영업을 하기 위해 현금을 입금했지만 지급정지가 풀리지 않아 돈을 날리고 장사도 쉬어야 했다. 멀쩡한 계좌를 지급정지 상태로 만든 후 "계좌를 풀어주겠다"며 돈을 뜯어내는 신종 보이스피싱이 성행하고 있다. PC를 마비시킨 후 정상화시켜주겠다며 송금을 요구하는 '랜섬웨어'와도 유사하다. 특히 현장에서 현금 없는 손님들에게 카드결제 대신 계좌입금을 받아오던 소상공인들의 계좌도 이같은 신종 보이스피싱의 타깃이 되고 있다. 18일 금융위원회에 따르면 시중은행 사기이용계좌 지급정지 요청건수는 2020년 3만3730건에서 2021년 4만5321건으로 1년새 34% 증가했다. 지난해 1~3분기 지급정지 요청건수는 4만1414건으로 증가 추세를 이어갈 것으로 예상된다. 통장협박 관련 직접적인 통계는 없지만 금융업계는 사기이용계좌 지급정지 건수를 통해 통장협박이 급증하고 있다고 보고 있다. 이는 보이스피싱 피해 금액이 꾸준히 감소하는 흐름과 대비된다. 2019년 보이스피싱 피해 금액은 6720억원으로 최대를 기록한 후 매년 감소해 지난해 1451억원으로 줄어든 반면 지급정지 요청 건수는 매년 늘고 있어서다. 이른바 '통장협박'으로 불리는 신종 보이스피싱은 법의 허점을 이용해 멀쩡한 계좌를 정지시킨다. 보이스피싱 조직은 피해자를 유인해 특정 소상공인 계좌로 돈을 보내도록 한다. 이 피해자가 사기를 당했다며 해당 계좌를 수사당국에 신고하면 그 계좌는 지급정지상태가 된다. 이후 보이스피싱 조직이 계좌주인인 소상공인에게 "지급정지를 해제해주겠다"며 돈을 요구하는 방식이다. 통장협박은 최근 소상공인 계좌를 주요 표적으로 삼고 있다. 과거 온라인 불법 도박 사이트 이용자들이 사용하는 대포통장을 대상으로 삼았던 데서 양상이 변화한 셈이다. 지급정지 신청자 외에는 해제 신청을 할 수 없음에도 당장 영업이 시급한 소상공인의 어려운 상황을 노린 것이다. 당국은 해당 계좌가 피해금 갈취에 이용된 계좌가 아니라고 판단되면 피해금액을 제외하고 거래를 허용하는 방안을 추진하고 있다. 기존에 사기이용계좌에서 피해금이 빠져나가는 것을 막기 위해 계좌 전체에 대해 지급정지가 실행되는 데 따른 피해를 최소화하기 위해서다. 정치권에선 통장협박 범죄를 방지하기 위한 법안을 연달아 쏟아내고 있다. 국회 정무위원회 소속 윤창현 국민의힘 의원은 19일 ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 일부개정법률안’(통신사기피해환급법)을 대표 발의했다. ‘통장협박’ 이나 ‘간편송금’ 등 보이스피싱  수법을 막기 위한 조치다. 지난 3월 박재호 더불어민주당 의원이 대표발의한 통신사기피해환급법 개정안도 정무위에 상정돼 절차를 밟고 있다. 보이스피싱 범죄에 활용되는 대포통장 유통을 막기 위한 보완책도 추진된다. 동부지검 보이스피싱 범죄 정부합동수사단이 최근 검거한 대포통장 유통조직은 유령 법인 42개를 설립한 뒤 법인 명의로 190개의 계좌를 개설해 보이스피싱 조직 등에 대여한 혐의를 받고 있다. 합수단 관계자는 "법인 실존 여부를 증빙할 수 있는 서류 등 검증을 강화하고 다수의 계좌 지급정지 이력이 있는 법인 관련자의 추가 개설 신청에 대한 모니터링 등 금융기관 내부 통제 방안을 마련할 필요가 있다"고 말했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스] 한국산업기술보호협회, 한국랜섬웨어침해대응센터 등 유관기관들이 성명을 내고 첨단 산업기술 보유 기업들이 랜섬웨어로 인한 피해를 받지 않도록 전용백신 설치 등 예방에 나서줄 것을 호소했다. 산업기술보호협회는 28일 한국랜섬웨어침해대응센터, 한국산업보안연구학회, 한국국가안보국민안전학회 등과 해킹형 랜섬웨어로 인한 공장가동 중단 및 기술탈취 피해 예방과 보안 경각심을 고취시키기 위한 '첨단 산업기술 보유기업 대표님께 드리는 랜섬웨어 피해 예방 긴급 호소문'을 발표했다. 이번 호소문 발표는 최근 첨단 산업기술을 보유한 기업들이 내부 기술유출 뿐만 아니라 해킹형 랜섬웨어 공격으로 인한 기술자료 탈취와 전산망 마비 등 보안이 상대적으로 취약하다는 판단에 따른 것이다. 협회는 호소문을 통해 최근 급증하고 있는 해킹형 랜섬웨어 대응을 위해 랜섬웨어 전용백신 설치, 보안백업 등의 예방조치를 취해야 한다고 강조했다. 또한 4대 중장기 보안 예방조치로 △회사 정보시스템 보안 취약점 점검 △해킹 발생시 회사 피해 범위와 법적 문제 시뮬레이션 △전사 데이터 거버넌스 정책수립 △새로운 해킹기법에 대응하는 제로트러스트 기반 보안 신기술 도입 등을 촉구했다. 이와 관련 랜섬웨어침해대응센터, 산업기술보호협회, 산업보안연구학회, 국가안보국민안전학회는 '산업기술보호 얼라이언스'를 구성하기로 했다. 해킹형 랜섬웨어 대응 활동과 피해 발생 기업에 대해 긴급 무료 가이드를 실시해 최단 시간 내에 재가동될 수 있도록 지원한다. 이형택 한국랜섬웨어침해대응센터 센터장은 "기업의 최종 보안책임자는 최고경영자"라면서 "해킹형 랜섬웨어 대비책을 사전에 철저하게 강구해 소중한 첨단 기술자산, 주주 재산권, 임직원 일터, 공급망 체계를 지켜주실 것을 간곡히 호소드린다"고 말했다. 한편 산업기술보호협회는 중소기업기술지킴센터를 통해 2018년도부터 중소벤처기업부의 지원을 받아 중소기업의 랜섬웨어 피해 예방을 위한 솔루션 지원 및 보안관제 등을 지원하고 있다. 이 사업을 통해 현재까지 1700여개 기업을 지원했고, 매년 3000여건 이상의 랜섬웨어 공격을 탐지해 랜섬웨어 피해를 사전에 예방하고 있다. kim091@fnnews.com 김영권 기자

메가존클라우드는 최근 미국의 랜섬웨어 암호 해독 분야 혁신 기업인 누베바와 전략적 파트너 계약을 체결하고 랜섬웨어 무력화 솔루션을 본격 출시했다고 10일 밝혔다. 이번 계약으로 메가존클라우드는 누베바가 독자 기술로 특허를 획득한 랜섬웨어 암호 해독 기술을 메가존클라우드의 멀티 클라우드 통합 보안체계에 결합할 수 있게 됐다. 이에 따라 메가존클라우드 고객사들은 랜섬웨어 공격을 받더라도 시스템 정지 시간을 최소화하고 비즈니스 연속성을 보장받을 수 있게 됐다. 누베바의 랜섬웨어 무력화 솔루션은 랜섬웨어가 작동하는 순간 이를 감지해 암호화 키를 추출한 뒤 감염된 데이터를 복원하는 기술이다. 랜섬웨어에 의해 암호화돼 읽을 수 없게 된 파일을 원상회복하는 방식이어서 손쉽고 빠르게 피해 복구가 가능하다는 게 가장 큰 특징이다. 백업시스템을 통한 복구방식은 최근에 입력된 데이터까지 모두 복구하지 못하는 데다 복구에 오랜 시간이 걸리는 한계가 있다. 특히 누베바의 랜섬웨어 무력화 솔루션은 30MB 미만의 경량화된 센서로 CPU 점유율이 1% 미만이어서 업무에 부담을 주지 않으면서도 실시간 랜섬웨어 대응이 가능하다. 해독 가능한 랜섬웨어도 140여개군에 달한다. 누베바 최고마케팅책임자 스티브 퍼킨슨은 “신뢰할 수 있는 보안 프레임워크를 구축하고 있는 메가존클라우드와 아시아·태평양 지역 최초 파트너 계약을 맺게 돼 기쁘다”며 “메가존클라우드의 5000여 고객들이 랜섬웨어 위협에서 안전하게 비즈니스를 펼칠 수 있도록 메가존클라우드와 지속적으로 협력해 나갈 것”이라고 말했다. 메가존클라우드 이주완 대표는 “누베바의 기술이 메가존클라우드 고객의 데이터 보호 및 비즈니스 복원력 강화라는 요구에 완벽하게 부합한다고 판단해 도입을 결정했다”며 ”랜섬웨어 공격에 따른 고객들의 피해를 더 빠르고 효율적으로 복원해 보다 안전한 환경이 마련될 수 있도록 협력해 나가겠다”고 밝혔다. solidkjy@fnnews.com 구자윤 기자