랜섬웨어에 감염된 화면이 대형 스크린에 등장한 모습. AFP=연합뉴스

해킹이 ‘전문가만의 영역’에서 '누구나 접근 가능한 영역'으로 확장하고 있다. 랜섬웨어(컴퓨터·스마트폰 등을 감염시켜 사용자 데이터를 암호화하고, 해제를 위한 금전을 요구하는 수법) 프로그램이 클릭 몇번으로 쓸 수 있는 서비스형 소프트웨어로 진화하면서다.

1일 위협 분석 보안 기업 사이버인트에 따르면 지난해 랜섬웨어 피해 기관·기업은 5104곳으로 2023년(4368곳)에 비해 16.8% 증가했다. 보안 업계에선 피해 사례 중 70~90% 가 서비스형랜섬웨어(RaaS) 확산에 따른 영향인 것으로 추정하고 있다. RaaS는 랜섬웨어 공격에 필요한 도구와 인프라를 마치 구독형 서비스처럼 빌려주는 범죄 비즈니스 모델이다. RaaS 운영자는 플랫폼을 제공하고, 공격자는 이를 빌려 기업을 공격해 성공 시 수익을 나눈다. 사이버 보안기업 SK쉴더스 관계자는 “전문적인 지식 없이도 이용 가능한 RaaS가 사이버 위협 유형 중 가장 큰 관심사로 부상하고 있다”고 말했다.

보안 업계에 따르면 보통 RaaS를 쓰는 조직은 자신들이 해킹한 사실을 알리기 위해 데이터 유출 사이트(DLS)를 운영하거나, 해커들이 모이는 포럼에서 활동 흔적을 남기는 특징이 있다. 최근 발생한 예스24 전산 마비 사태 또한 랜섬웨어 때문에 발생했지만, 현재까지는 RaaS의 특징은 없는 것으로 알려져 있다.

랜섬웨어 공격자들은 주로 암호화폐로 몸값을 주고 받는다. AFP=연합뉴스

RaaS라는 개념이 등장한 건 수년 전이다. 허나, 최근엔 AI 기술 발달로 노코드(코딩 없이 자연어로 소프트웨어를 만들거나 실행할 수 있게 해주는 도구) 방식이 확산하면서, 해킹 문턱이 더 낮아졌다. “나는 ○○ 기업을 공격하고 싶어”라고 말만 해도 사이버 공격을 실행할 수 있는 환경이 조성되고 있다. 사이버 보안 기업 이로운앤컴퍼니 윤두식 대표는 “해킹 공격이 매우 쉬워졌다”며 “과거에는 랜섬웨어 공격을 위해 코딩, 취약점 공격 지식, 심지어 비트코인 거래 방식까지 알아야 했지만, 이제는 이 모든 것을 하나의 플랫폼에서 제공해주기 때문”이라고 말했다.

RaaS를 제공하는 그룹들은 기업형 범죄 플랫폼으로 진화하고 있다. 이들은 단순히 해킹 툴을 쉽게 제공하는걸 넘어 고객 지원, 기술 문의 대응 등 고객 관리(CS) 부문까지 갖추는 추세다. 줌이나 슬랙 같은 서비스형소프트웨어(SaaS)의 운영 구조를 모방해 진화하고 있는 것. 특히 일부 조직은 피해자와 협상을 위한 법률 자문까지 종합 서비스를 제공하기도 한다. RaaS 조직과 연계된 변호사가 탈취한 데이터가 얼마나 민감하고 법적으로 문제가 될 수 있는지, 정보 탈취 사실이 알려지면 이 기업이 법적으로 어떤 책임을 질 수 있는지 등에 대한 법률 조언을 제공해준다. SK쉴더스 관계자는 “랜섬웨어 그룹 킬린(Qilin)은 최근 러시아 해킹 포럼에서 피해자 압박 관련 법적 자문을 해줄 변호사를 연결해주는 서비스를 추가해 홍보했다”고 말했다.

사이버 보안 회사들은 랜섬웨어 방어를 위해 각기 다른 접근법을 택하고 있다. SK쉴더스는 실시간으로 이상 징후를 감지하고, 즉각 대응이 가능한 MDR(Managed Detection and Response) 서비스를 중심으로 대응 체계를 강화하고 있다. MDR은 전문가가 실시간으로 지켜보고 대응해주는 외부 보안 관제 서비스다. S2W는 공격이 일어나기 전에 다크웹(해커들이 주로 활동하는 익명 인터넷 공간)에서 해커들의 흔적을 찾아 미리 위협을 감지할 수 있는 시스템을 만들었다.

100% 막기 어려운 만큼, 피해가 발생했을 때 신속한 조치를 통해 피해를 최소화하는 게 중요하다. 랜섬웨어 피해를 입으면 숨기려고 하는게 일반적인데, 그럴수록 피해가 더 커질 우려가 있어서다. 윤두식 대표는 “업체들이 피해 사실을 더 빨리 한국인터넷진흥원(KISA) 등 관계 기관에 알리게 유도해야 한다”며 “일찍 신고하고 협조한 기업은 책임을 조금이라도 경감해주는 방식이 필요하다”고 말했다.