아카마이테크놀로지스(아카마이코리아 대표 이경준)는 랜섬웨어 캠페인을 통해 공격자들이 새로운 4중 갈취 전술을 사용하고 있다고 4일 밝혔다. 

아시아·태평양(APAC, 이하 아태) 지역에서 발생한 전체 데이터 유출 사건 절반 이상이 랜섬웨어로 인한 것이었던 만큼, 아태 지역 기업들은 사이버 보안 체계를 강화하고 취약점을 최소화하여 비즈니스 회복탄력성을 확보해야 한다. 이와 관련 아카마이는 새로운 인터넷 현황 보고서 ‘랜섬웨어 보고서: 불안정한 위협 환경 속 회복탄력성 구축’을 발표했다. 

이에 따르면 최근 새롭게 등장한 4중 갈취 트렌드는 분산서비스거부(DDoS) 공격과 고객, 파트너, 미디어 등 제3자를 압박해 피해자에게 더 큰 압력을 가하는 행위를 포함한다. 이는 공격자가 피해자 데이터를 암호화한 뒤, 랜섬을 지불하지 않으면 공개적으로 유출하겠다고 위협하는 기존 이중 갈취 랜섬웨어 방식을 기반으로 한다.

보고서는 락빗(LockBit), BlackCat/ALPHV, CL0P와 같은 주요 랜섬웨어 그룹이 여전히 아태 지역에서 활발히 활동하고 있지만, 아비스락커(Abyss Locker)와 아키라(Akira)와 같은 신규 그룹도 빠르게 세력을 넓히고 있다고 분석했다. 

이 그룹들은 의료에서 법률 서비스까지 아태 지역의 핵심 산업 분야를 정밀하게 표적화하고 있다. 주요 사건으로는 호주 노인 요양 시설 재단에서 아비스락커 공격으로 1.5TB 민감한 데이터가 유출된 사례와 싱가포르 소재 법률 사무소가 아키라 공격 후 1900만달러 몸값을 지불한 사례가 있다.

하이브리드 랜섬웨어 활동 그룹도 점점 세력을 넓히고 있다. 랜섬허브(RansomHub), 플레이(Play), 아누비스(Anubis) 등은 서비스형 랜섬웨어(RaaS) 플랫폼을 활용해 아태 지역 중소기업, 의료 기관, 교육 기관을 표적으로 삼고 있다. 최근 호주 체외수정 클리닉과 여러 의료 기관이 이러한 신흥 그룹으로부터 공격을 받기도 했다.

아태 지역에서는 컴플라이언스 체계가 세분화돼 있고 규제 성숙도에도 격차가 있어, 랜섬웨어 그룹이 규제 갈취 기법을 더 활용하게 만들고 있다. 예를 들어, 싱가포르에서는 개인정보보호법(Personal Data Protection Act, PDPA) 위반 시 연간 매출의 최대 10%에 달하는 벌금이 부과될 수 있고, 인도는 잠재적인 형사 처벌까지 가능하다. 일본의 경우, 현재 컴플라이언스 위반에 대한 공식적인 금전적 처벌 규정이 없다. 

이처럼 일관되지 않은 규제 환경으로 인해 다국적 기업이 각국의 상이한 규제를 준수하는 과정에서 어려움을 겪게 되고, 그 결과 보고 지연이나 공격자가 악용할 수 있는 사각지대가 발생할 수 있다.

아카마이는 이번 보고서에서 오늘날 랜섬웨어 전술에 맞서기 위한 핵심적인 방어 수단으로서 제로 트러스트와 마이크로세그멘테이션의 중요성이 높아지고 있다고 강조했다. 아태 지역 한 컨설팅 기업은 소프트웨어 정의 방식의 마이크로세그멘테이션을 활용해 제로 트러스트 액세스 제어를 적용함으로써 내부 공격 표면을 줄이고 피해가 확산되기 전에 수평 이동을 차단한 바 있다.

루벤 코(Reuben Koh) 아카마이 아태지역 보안 기술 및 전략 부문 디렉터는 “아태 지역 디지털 경제는 빠른 혁신 속도를 바탕으로 세계에서 가장 빠르게 성장하고 있으나 기업 보안 팀은 지속적으로 확장되는 공격 표면에 대응하는 데 어려움을 겪고 있다”며 “랜섬웨어 공격은 주로 이러한 취약점을 노리고 있기 때문에 기업은 보안 체계를 재점검하고 사이버 회복탄력성을 강화에 더욱 매진해야 한다”고 말했다.

이어 “검증된 액세스와 마이크로세그멘테이션을 중심으로 한 제로 트러스트 아키텍처를 도입하는 것은 랜섬웨어 공격의 영향을 최소화하는 효과적인 방법”이라며 “정기적인 복구 훈련과 사고 대응 시뮬레이션을 비롯한 이러한 조치는 랜섬웨어와 같은 공격에 대한 사이버 회복탄력성을 높이는 핵심 요소로 자리 잡을 것”이라고 설명했다.