특정 맬웨어 유형의 구체적인 배포 모델인 Ransomware as a Service(RaaS)는 사이버 보안에 대한 심각한 위협입니다. 이 연계형 수법을 통해 더 많은 잠재적 사이버 범죄자가 필요한 기술적 프로그래밍 전문성 없이도 공격을 감행할 기회를 얻을 수 있기 때문에 랜섬웨어 공격이 더욱 만연해집니다.
랜섬웨어가 얼마나 큰 손해를 끼치는지 생각해 보면, RaaS가 사이버 보안에 미치는 영향과 랜섬웨어로부터 시스템을 보호하는 것의 중요성을 이해하는 일은 기업에게 특히 중요합니다.
RaaS의 이해
RaaS(Ransomware as a Service)는 특정한 맬웨어 유형인 랜섬웨어에 특화된 비즈니스 모델로, 다크 웹에서 작동합니다. 가장 간단하게 설명하면 Microsoft, Adobe, Shopify, Zoom, Dropbox 등 수많은 주요 기업에서 사용하는 더 오래되고 합법적인 SaaS(Software as a Service) 모델이 악성으로 진화한 것입니다. RaaS 비즈니스 모델에 따르면 운영자가(관련된 전체 생태계를 만드는 경우가 많음) 이를 제3자에게 제공합니다. 사이버 범죄자는 RaaS(Ransomware-as-a-service)를 무료로 '구독'할 수 있습니다. 이러한 프로그램의 파트너가 되고 나면 이들은 공격이 발생한 후에 몸값의 일정 비율을 서비스에 비용으로 지불합니다.
랜섬웨어 공격을 실행하고 싶지만 자체 맬웨어를 개발할 시간과 능력이 부족한 사이버 공격자는 다크 웹에서 RaaS 솔루션을 선택하기만 하면 됩니다. 그러면 이들은 랜섬웨어 및 C2(Command-and-Control) 패널, 빌더(고유한 맬웨어 샘플을 빠르게 만들 수 있는 프로그램), 맬웨어 및 인터페이스 업그레이드, 지원, 지침, 호스팅 등 필요한 모든 구성 요소를 이용할 수 있습니다. 그러면 이제 개발 작업을 수행하지 않고도 공격을 감행할 수 있습니다. 따라서 악의적인 행위자는 이러한 유형의 맬웨어 개발에 대한 지식이나 경험이 없어도 일련의 정교한 랜섬웨어 공격을 실행할 수 있게 됩니다.
보통은 RaaS를 제공하는 운영자가 맬웨어와 관련된 전체 제품군을 개발합니다. 여기에는 커뮤니티 포럼, 전략적 공격에 대한 플레이북, 고객 지원과 같은 다양한 서비스가 포함됩니다. 이는 특히 사이버 공격을 실행해 본 경험이 없는 잠재적 공격자에게 유용합니다. 추가적인 RaaS 서비스로는 다음이 포함될 수 있습니다.
- 정교하게 표적화된 공격을 위한 맞춤형 도구
- 데이터 유출용 프로그램과 같은 추가적인 도구
- 조언과 토론을 위한 커뮤니티 포럼
- 전략적 공격을 위한 플레이북
- 패널 및 제품 설정을 위한 지침
- 공격자를 위한 도구, 전술, 기법 설명이 포함된 공격 관련 매뉴얼
공격자가 사용하기로 선택하는 RaaS 유형이 무엇이든 최종 목표는 항상 같습니다. 개인 또는 조직의 네트워크를 공격하여 데이터를 훔치거나 복호화한 다음 표적이 몸값을 지불하게 만드는 것입니다.
맬웨어, 랜섬웨어, RaaS 간의 차이점
맬웨어는 IT 시스템이나 전자 장비에 대한 무단 액세스 권한을 획득하는 데 사용하는 모든 유형의 악성 소프트웨어를 가리키는 일반적인 용어입니다. 데이터 도난, 시스템 중단 등 다양한 목적에 사용할 수 있습니다. 그러나, 랜섬웨어는 표적의 시스템을 감염시킨 후 데이터를 암호화하거나 파괴하는 데 사용되는 맬웨어입니다. 공격자가 정보를 일반에 공개하지 않도록 저지하거나 복호화 키를 받아 암호화된 데이터를 복구하려면 이름 그대로 표적에게 몸값을 지불해야 할 수도 있습니다.
RaaS(Ransomware as a Service)의 법적 의미는 무엇인가요?
RaaS가 특정 유형의 사이버 범죄를 지원하고 다크 웹에서 작동한다는 점을 고려하면 이 비즈니스 모델 전체가 불법임이 분명합니다. 운영자든 제휴자("구독자")든 어떤 형태로든 이 산업에 참여하는 것은 불법입니다. 여기에는 RaaS를 판매하거나 랜섬웨어 공격 실행, 네트워크 침해, 데이터 암호화 또는 몸값 갈취 등의 의도를 가지고 RaaS를 구매하는 행위가 포함됩니다.
RaaS는 어떻게 작동하나요?
RaaS는 조직적 위계 구조에서 작동합니다. 사다리 위쪽에는 운영자가 있는데, 보통은 랜섬웨어를 개발하여 판매하는 그룹입니다. 운영자는 기본적으로 관리자의 역할을 수행하며, 인프라 및 사용자 인터페이스의 관리 등 RaaS 비즈니스 운영의 모든 측면을 감독합니다. 보통 운영자는 몸값 지불을 처리하고 돈을 지불한 피해자에게 복호화 키를 건네는 일도 담당합니다. 운영자 그룹 내에는 관리자, 개발자, 테스팅 팀 등 더 작은 규모로 지정된 역할도 있을 수 있습니다.
RaaS 제휴자, 즉 “고객”은 운영자의 랜섬웨어를 공격에 사용하기 위해 RaaS에 대한 액세스 권한을 구매합니다. 이들은 공격의 기회를 식별하고 공격을 감행합니다. 제휴자의 역할은 표적을 파악해 랜섬웨어를 실행하고, 몸값을 설정하고, 공격 후 커뮤니케이션을 관리하고, 몸값이 지불되면 복호화 키를 보내는 것입니다.
최근 발간된 Kaspersky의 Anti-Ransomware Day 2023에서는 2022년에 있었던 랜섬웨어 공격의 주요 초기 벡터가 공개되었습니다. 이 보고서에 따르면 기업의 40% 이상이 지난 해 한 건 이상의 랜섬웨어 공격을 경험했으며, 중소규모 비즈니스의 경우 복구를 위해 평균 6,500달러, 대기업의 경우 무려 98,000달러를 지불한 것으로 나타났습니다. 이 연구에서는 대중 대상 애플리케이션 공격(43%), 유출된 사용자 계정(24%), 악성 이메일(12%) 등을 주요 공격 진입점으로 지적했습니다.
랜섬웨어가 시스템에 다운로드되면 엔드포인트 보안 소프트웨어를 비활성화하려고 시도합니다. 공격자가 액세스 권한을 확보하면 도구와 맬웨어를 다시 설치할 수 있습니다. 그 결과 공격자는 네트워크를 돌아다니며 랜섬웨어를 전파할 수 있게 됩니다. 그러고 나면 파일을 암호화하고 몸값을 요구하는 메시지를 보냅니다. 일반적으로 이 메시지는 피해자의 컴퓨터에 TXT 파일로 나타나는데, 시스템이 침해되었으며, 통제권을 다시 확보하기 위해 복호화 키를 받으려면 몸값을 지불해야 한다고 알려 줍니다.
RaaS는 어떻게 수익을 창출하나요?
사이버 범죄자는 RaaS(Ransomware-as-a-service)를 무료로 '구독'할 수 있습니다. 이 프로그램의 파트너가 되면 공격을 감행한 후에 서비스에 비용을 지불합니다. 결제 금액은 피해자가 지불하는 몸값의 일정 비율로 정해지며, 일반적으로 거래당 10~40퍼센트 정도입니다. 그러나 엄격한 요구사항을 충족해야 하기 때문에 프로그램에 가입하는 것은 간단한 일이 아닙니다.
알아 두어야 할 RaaS의 예
사이버 범죄자는 랜섬웨어 서비스를 능수능란하게 발전시키기 때문에 RaaS를 구매하는 “고객”의 요구사항을 항상 충족할 수 있습니다. 다크 웹에서는 다양한 RaaS 프로그램이 제공되고 있으므로 이러한 종류를 간략하게 살펴보면 이것이 어떻게, 왜 위협이 되는지를 이해하는 데 도움이 될 것입니다. 최근 널리 퍼진 RaaS의 몇 가지 예는 다음과 같습니다.
- LockBit: 이 특정 랜섬웨어는 서버 메시지 블록(SMB)과 Microsoft의 PowerShell 자동화 및 구성 관리 프로그램을 공격하여 많은 조직의 네트워크를 침해했습니다.
- BlackCat: Rust 프로그래밍을 사용하는 이 랜섬웨어는 맞춤설정이 간편하기 때문에 여러 시스템 아키텍처에 배포할 수 있습니다.
- Hive: 특히 범죄의 성격이 짙은 RaaS인 Hive는 표적을 심하게 압박하는데, 시스템 침해의 세부 내용을 공개하여 몸값을 지불하도록 강요하고 보통은 훔친 정보가 유출되기까지 시간을 재는 경우가 많습니다.
- Dharma: 이메일은 피싱 공격을 실행하는 가장 일반적인 방법이며, 수백 건의 공격을 지원한 이 RaaS는 이메일 첨부파일을 통해 피해자를 표적화하는 방식으로 이러한 피싱 공격을 흉내냅니다.
- DarkSide: 이 랜섬웨어 그룹의 맬웨어는 2021년 Colonial Pipeline 침해 사건을 일으킨 것으로 알려져 있습니다.
- REvil: 아마 가장 만연한 RaaS 그룹일 이 랜섬웨어는 1,500개 조직에 영향을 미친 2021년 Kaseya 공격과 CAN Financial 공격에 책임이 있습니다.
랜섬웨어로부터 장치를 보호하는 10가지 팁
랜섬웨어는 사람들이 온라인에 있는 동안 인지해야 하는 수많은 위협 중 하나에 불과하며, 복구하기가 까다롭고 비용도 많이 드는 위협이기도 합니다. 이러한 위협을 완전히 중화하는 것은 불가능하지만 RaaS에 대항해 사이버 보안을 강화하고 다양한 디지털 공격을 완화할 수 있는 조치와 모범 사례는 폭넓게 존재합니다. 랜섬웨어로부터 전자 장치를 보호하는 10가지 팁은 다음과 같습니다.
- 별도의 장치에 정기적으로 데이터를 백업합니다. 필요하면 여러 개의 백업을 만듭니다. 조직은 공격에 대비하여 데이터 복구 계획도 마련해 두어야 합니다.
- 잠재적 위협을 정기적으로 검사하고 제거해 주는 강력한 엔드포인트 보호 소프트웨어를 사용합니다.
- 모든 소프트웨어가 최신 상태이고 최신 보안 패치를 실행하고 있는지 확인합니다.
- 가능하면 다단계 인증 또는 생체 인증을 사용합니다.
- 비밀번호 위생을 기억합니다. 믿을 수 있는 비밀번호 관리자를 사용하여 강력한 비밀번호를 생성해 저장하고, 다른 계정에는 다른 로그인 정보를 만드십시오.
- 악성 이메일과 잠재적인 피싱 공격을 잡아내는 강력한 이메일 검사 소프트웨어를 구현합니다.
- 강력한 사이버 보안 정책을 개발하고 유지합니다. 외부 경계에 주의를 기울이고 조직 전체를 포괄하는 종합적인 사이버 보안 정책을 만드십시오. 이러한 정책은 원격 액세스, 제3자 공급업체, 직원에 대한 보안 프로토콜을 다루어야 합니다.
- 도난 당한 자격 증명이 다크 웹에서 판매될 수 있으므로 Kaspersky Digital Footprint Intelligence를 사용해 섀도우 리소스를 모니터링하고 관련된 위협을 즉시 식별합니다.
- 최소 권한의 원칙을 사용하여 관리자 또는 시스템 액세스를 최대한 적은 수의 사람으로 최소화합니다.
- RaaS 사이버 보안 및 기타 잠재적인 위협을 아우르는 보안 인식 교육을 실시합니다.
- 알려져 있고 신뢰할 수 있는 출처가 아니라면 이메일 링크를 클릭하지 않습니다. 의심스럽다면 웹사이트를 브라우저 검색창에 입력해서 직접 페이지를 탐색해 보십시오.
물론 가장 엄격한 보호 조치마저도 항상 랜섬웨어 공격을 방지하는 것은 아닙니다. 최악의 상황이 발생해도 이러한 공격의 피해를 완화할 수 있는 옵션은 몇 가지가 있습니다.
오래 지속되는 RaaS의 위협
랜섬웨어는 그 자체로 사이버 보안 우려사항입니다. 그러나 RaaS 비즈니스 모델은 더 많은 잠재적 사이버 범죄자에게 특정한 전문성이나 지식 없이도 이러한 공격을 실행할 수 있는 능력을 제공하여 이 특정한 맬웨어를 훨씬 큰 위협으로 만들어 버렸습니다. 이러한 공격은 표적이 된 조직 또는 개인에게 심각한 재정적 영향을 미칠 수 있기 때문에 랜섬웨어 공격으로부터 시스템을 보호하는 다양한 방법을 이해하는 것이 중요합니다. 이 중 많은 방법이 기본적인 사이버 보안 모범 사례이지만 조직에서는 보안 교육이나 별도의 시스템에 대한 정기적인 백업 등 추가적인 노력을 고려하는 것이 좋습니다.
Kaspersky Premium과 함께 Kaspersky Safe Kids 1년 무료 이용권도 받으세요. Kaspersky Premium은 최우수 보호, 최고 성능, 가장 빠른 VPN, 입증된 Windows용 자녀 보호, 최고의 Android용 자녀 보호 등으로 AV-TEST에서 다섯 차례나 수상했습니다.
연관 제품 및 서비스: