S2W, 국제 사이버범죄 컨퍼런스서 랜섬웨어 동향 발표

[이데일리 한광범 기자] 데이터 인텔리전스 기업 S2W의 위협 인텔리전스센터 ‘탈론’은 세계 사법, 수사기관 컨퍼런스 DCC2024에서 랜섬웨어 동향을 발표했다고 20일 밝혔다.

DCC(Digital Crimes Consortium)는 전세계 사법, 수사기관 및 보안기업들이 참여하여 디지털 범죄에 대한 최신 동향과 정보를 교류하는 컨퍼런스다.

S2W는 이번달 11~14일 일본 도쿄에서 열린 DCC2024에서 ‘2023년 랜섬웨어 동향(Dive into 2023 Ransomware Threatscape & Assessment)’이라는 주제로 발표했다.

S2W는 지난해 활동한 랜섬웨어 그룹의 위험도를 측정해 랜섬웨어 그룹의 활동량, 영향력, 딥다크웹 내에서의 브랜드 지속성, 인프라의 확장성, 그리고 취약점 활용 능력과 같은 5가지 기준을 사용해 스코어링 모델을 구축했다. 또 위험도 스코어링 결과를 바탕으로 유사한 특성을 가진 랜섬웨어 그룹을 5개로 클러스터링하고, 각 유형에 해당되는 랜섬웨어 그룹에 대해 대응 방안을 제시했다.

S2W 탈론에 의하면 2023년에 새롭게 발견된 유출사이트(leak site)를 운영하는 랜섬웨어 그룹은 39개이며, 한 해동안 리크 사이트(leak site)에 기업의 피해 사실을 공개한 랜섬웨어 그룹은 73개이다. 기존에는 Tor Network에 Onion 사이트를 구축해 운영하는 경우가 대부분이지만, 최근에는 Telegram과 Twitter와 같은 SNS 서비스를 추가로 활용하며 영향력을 확산하는 그룹의 수가 증가 중이라고 밝혔다.

공격자가 피해 대상을 선택하는 기준으로 랜섬머니를 다량 확보하기 위해 기업의 자금 규모, 업권의 수익성 그리고 국가 GDP 등을 함께 고려하는 것이 특징이다. 공격 성공 가능성을 높이기 위하여 보안에 취약한 업권을 타겟하는 경향도 나타났다.

또 다수의 랜섬웨어 그룹이 다크웹 포럼에서 활동하며 피해를 확산, 수익을 극대화하기 위해 IAB(Initial Access Broker)와 협력하거나, 최초 침투 과정을 담당하는 Pentester(침투 테스트 전문가)를 모집하는 등 파트너 유치에 힘을 쏟았다.

S2W 위협 인텔리전스센터 탈론은 세계적으로 인정받는 사이버보안 분석 그룹이다. 인터폴 등 글로벌 수사기관과 랜섬웨어 검거 관련 협업한 경험이 있으며, 북한과 중국의 사이버 활동에 대한 차별화된 정보와 분석 노하우를 보유하고 있다.