[디지털데일리 김보민기자] 러시아계 랜섬웨어 그룹의 위협 행보가 거세지고 있는 것으로 나타났다. 한국은 물론, 국가를 가리지 않고 공격을 가하는 것으로 알려지면서 최신 보안 패치와 백업 체계로 대응해야 한다는 의견이 제기된다.

29일 시스코 탈로스(Cisco Talos) 분석에 따르면, 랜섬웨어 그룹 '킬린(이하 Qilin·퀼린 혹은 치린이라고도 불림)'은 위협 대상 국가를 넓히고 있다. 대표적인 국가는 일본이다. 탈로스는 "지난해만 하더라도 일본에서 피해를 입힌 사실이 보고되지 않았지만, 올해 상반기 가장 활발한 랜섬웨어 그룹으로 떠올랐다"고 소개했다. 조사 결과, 이 기간 일본에서 Qilin 위협으로 피해를 입은 기관은 8곳에 달한다.

한국도 예외가 아니다. SK쉴더스 KARA(Korean Anti Ransomware Alliance)는 지난 2분기 전 세계 랜섬웨어 피해 건수가 1556건에 달한다고 밝혔는데, 특히 Qilin 랜섬웨어 그룹의 활동이 두드러지고 있다고 분석했다. 활동을 중단한 랜섬허브의 일부 공격자가 Qilin에 합류하면서 위협 난도가 높아졌다는 설명이다. 랜섬허브는 한국 기업 및 기관의 정보를 탈취했다고 주장하며 활동을 이어온 그룹으로, 특히 지난해 공격 건수를 늘리며 주목을 받았다.

Qilin의 공격이 "거세다"는 평가를 받은 것은 이번이 처음이 아니다. 2022년 10월 활동에 돌입한 Qilin은 이듬해 서비스형랜섬웨어(RaaS) 시장에 뛰어들었고, 자체 공격은 물론 랜섬웨어 파트너 사업을 기반으로 수익을 올리고 있다. 보안업계에 따르면 Qilin은 RaaS 사업을 통해, 몸값(랜섬)의 약 15~20%를 수수료로 받고 있다.

수익 구조를 꾸린 뒤, Qilin의 행보는 과감해지기 시작했다는 평가도 나온다. 일례로 Qilin은 지난해 6월 영국의 의료회사 시노비스(Synnovis)를 침투해, 약 400GB 수준의 의료 데이터가 노출되는 것을 막으려면 5000만달러의 몸값을 지불하라고 요구했다. 이러한 행보를 이어간 결과, 지난해 11월 랜섬웨어 피해자 중 5%는 Qilin의 위협을 받은 것으로 나타났다.

한국에서는 올해 대형 기업을 겨냥한 Qilin 공격을 주의해야 한다는 경고가 이어졌고, 지난 4월 SK그룹 미국법인 'SK아메리카스'가 협박을 받았다는 소식이 떠올랐다. 당시 Qilin은 다크웹을 통해 SK그룹 서버에서 1TB 규모의 파일을 빼돌렸다고 주장한 바 있다. 이달에는 웰컴금융그룹의 내부 자료를 확보했다며 샘플 자료를 공개하기도 했다.

보안업계는 Qilin 랜섬웨어의 특징을 고려해, 이에 맞는 보안 대책이 필요하다고 이야기한다. Qilin의 경우 다른 랜섬웨어와 마찬가지로, 초기 접근(액세스) 권한을 얻은 뒤 민감 데이터를 찾아내기 위해 측면 이동을 하기 시작한다. 취약점이 있는 시스템에 접근할 경우, 방어를 회피하기 위해 원격모니터링 등 도구를 악용하기도 한다. 이중 갈취 기법은 물론, 의료와 교육 등 대형 기관을 노린 공격도 거세지고 있다.

체크포인트소프트웨어테크놀로지스(이하 체크포인트)는 "격리 인프라를 활용해 민감 데이터를 백업하고, 최신 보안 소프트웨어(SW)를 실행할 수 있도록 패치 관리 프로세스를 갖추는 것이 중요하다"며 "일반적인 작업 외 의심스러운 활동에 대한 네트워크 트래픽을 모니터링하고, (MFA 등) 다중인증을 기반으로 인증 절차를 강화하는 것도 방법"이라고 제언했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -