“복구도 막는다”…신종 랜섬웨어, 데이터 파괴까지 확대

정교해진 랜섬웨어 기술이 글로벌 사이버 보안 산업의 긴장을 높이고 있다. 이스트시큐리티는 올해 2분기만 5만8575건의 랜섬웨어 공격을 알약 보안 솔루션으로 사전 차단했다고 밝혔다. 이러한 신종 위협은 기존 데이터 암호화에서 한발 더 나아가 복구 자체를 원천적으로 막거나, 데이터를 유출해 이중 갈취하는 등 피해 양상이 다양해지는 추세다. 업계는 최신 랜섬웨어 공격을 ‘사이버 범죄 생태계 진화의 분기점’으로 본다.

이스트시큐리티 분석에 따르면, 올해 2분기 건라(Gunra), 사일런트(Silent), 다이어울프(DireWolf) 등 새로운 랜섬웨어 그룹들이 가시권에 들어왔다. 특히 건라는 윈도우 관리 도구인 WMI(Windows Management Instrumentation)를 통해 백업 파일인 섀도 복사본을 삭제, 복구 가능성을 원천 차단한다. 여기에 암호화 파일의 공개 협박, 대량 데이터 유출을 동시에 노리는 이중 갈취(Double Extortion) 방식을 택해 병원 등 주요 기관을 압박한다. 단순 암호화 외에 아누비스(Anubis)와 같은 와이퍼(Wiper)형 랜섬웨어는 파일 자체를 영구 파괴해 ‘복구 불가’ 상황을 만든다. 탈취-암호화-협박의 단계적 시나리오도 일반화되고 있다.

기술 구현 원리도 고도화돼 시스템관리 도구, 오픈소스 프로그램 위장, 가짜 인증 화면(인터록 방식)까지 다양한 사회공학적 공격이 동원된다. IT 담당자는 물론 일상 사용자까지 타깃이 확대되고 있다. 특히 SafePay, Fog 등은 민감 정보 선별 탈취, 자동 확산 등 맞춤형 공격을 지원한다.

시장 현장에서는 의료·금융 등 민감 정보가 몰린 기관 중심으로 파괴적 피해 사례가 급증했다. 건라, JGroup, IMN Crew 등 신규 집단은 글로벌 병원과 보험사, 제조사를 공격해 수백테라바이트(TB) 단위 파일 유출, 서비스 중단 사태를 야기했다. 암호화 해제 비용도 증가세로, 실제 피해자는 한번 공격에 수억 원에서 수십억 원의 손실을 입는 것으로 집계된다.

글로벌 비교에서는 유로폴, 유로저스트 등 국제수사기관 간 협력이 본격화되고 있다. 5월 유럽 주도의 ‘엔드게임 2차 작전’은 다나봇(DanaBot), 콕봇(Qakbot) 등 주요 악성코드 공급 서버 300여 대를 압수하는 성과를 냈다. 다나봇은 인프라의 광범위한 차단으로 재가동까지 긴 시간이 필요할 전망이다. 미국, 영국 등에서도 랜섬웨어 대응을 위한 정보 공유와 기술 협력이 강화되는 상황이다.

입법·정책 환경도 변화 중이다. 국내외 사이버보안법, 데이터 보호 규정이 보안 솔루션 업체뿐 아니라 병원, 금융사 등 실수요자의 대응 프로세스 강화를 요구하고 있다. 다만, 랜섬웨어 집단의 조직화·탈중앙화가 빠르게 이뤄지고 있어 정책적 틈새를 노린 신종 공격이 반복되는 구조적 한계도 지적된다.

전문가들은 “랜섬웨어가 기존 암호화 위주 피해에서 영구 데이터 파괴, 이중 정보 유출 등 초고도 복합 피해로 진화하고 있어, 다계층 대응 전략이 필요하다”고 분석한다. 이스트시큐리티는 보안 최신화, 사용자 권한관리, 정기 교육과 모니터링 등 일상적 대응이 필수라고 강조했다.  

산업계는 이번 기술이 실제 시장에 안착할 수 있을지 주시하고 있다.