​분업·협업하는 해커, '사이버범죄 공유경제' 확대된다

블랙베리 2022 연간 위협 보고서 발간

지난해 아웃소싱 통한 랜섬웨어 공격 늘어

보안 취약한 중소기업 노리는 공격도 증가

[사진=게티이미지뱅크]

앞으로 해커 사이에 분업·협력을 통한 '사이버범죄 공유경제'가 확대되고, 중소기업을 대상으로 하는 범죄가 늘어날 전망이다.

블랙베리가 17일 발간한 '2022 블랙베리 연간 위협 보고서'에 따르면 지난해 발생한 대규모 공격은 외주용역(아웃소싱)을 통한 결과물일 가능성이 크다. 블랙베리는 여러 사건에서 발견된 악성코드 실행 절차(플레이북)을 통해 사이버공격자를 식별한 결과, 랜섬웨어를 제작한 개발자가 직접 공격을 수행하지 않았다고 밝혔다. 이는 다크웹 등 지하세계에서 발생하는 사이버범죄 공유경제가 확대되고 있다는 의미다.

지난해 3월, 경찰청 사이버수사국은 갠드크랩 랜섬웨어를 국내 유포한 피의자를 국제 공조수사로 검거했으며, 랜섬웨어를 개발한 용의자를 인터폴과 함께 추적하고 있다고 밝혔다. 실제로 다크웹 등에서는 랜섬웨어 개발 조직과 침투 조직의 분업화를 볼 수 있다. 보안 업계에 따르면 개발자는 서비스형 랜섬웨어(RaaS)를 공급하고, 침투·공격자는 이를 통해 발생한 수익을 개발자와 나눈다. 공격자는 시기별로 새로운 악성코드와 공격기법을 사용해 공격 성공률을 높일 수 있으며, 개발자는 자신의 정체를 숨기면서 범죄 수익을 얻을 수 있다. 때문에 이러한 동향은 2022년에도 이어질 전망이다.

보고서는 또, 중소기업이 사이버 공격의 대상이 되는 경우가 증가하고 있다고 밝혔다. 중소기업은 기기당 하루 최대 11회 이상의 사이버위협을 경험하며, 계속해서 사이버 범죄의 중심이 될 것으로 보인다. 이러한 동향은 사이버범죄자의 협력에 따라 더 빠르게 늘어날 전망이다.

과학기술정보통신부에 따르면 2021년 발생한 랜섬웨어 피해 신고 건수는 223건으로, 전년대비 76% 증가했다. 특히 피해 기업 중 92%는 상대적으로 보안 투자 여력이 부족한 중소기업에서 발생한 것으로 나타났다. 이에 따라 정부는 올해 중소기업 보안 제품 도입 지원사업을 확대하고, 공공 데이터 백업 서비스(데이터 금고)도 실시할 계획이다.

보안이 갖춰지지 않은 퍼블릭 클라우드 플랫폼은 악성코드 유포지가 될 전망이다. 오늘날 더 많은 악성 페이로드가 퍼블릭 클라우드 플랫폼에 수용되고 있으며, 대부분은 매우 유연하고 저렴하게 맞춤 제작이 가능하다. 특히 보고서는 북미지역에서는 코발트 스트라이크를 비롯한 악성 페이로드의 호스팅이 급격하게 나타났다고 설명했다. 

또한, 과거 유행했던 사이버공격 유형도 다시 등장하고 있다. 인터넷에 접속할 수 있는 기기가 늘어나고, 일상에서 이용하는 인터넷 서비스가 늘어나면서 피싱이나 워터링홀 같은 기존 공격이 다시 주류로 떠오르는 추세다. 가장 큰 이유는 확장성이다. 메타버스와 가상·증강현실 콘텐가 오늘날 디지털 플랫폼으로 새롭게 떠오르면서, 인터넷을 기반으로 한 구식 공격이 다시 성행할 전망이다.

에릭 밀람(Eric Milam) 블랙베리 리서치 앤 인텔리전스 부사장은 "사이버범죄는 대중을 더 잘 속이기 위한 방법을 연구하고 있으며, 더욱 시기적절하고 개인화된 수법으로 진화하고 있다"며 "이러한 인프라는 위협 그룹을 통해 악성 프로그램을 공유하고 협력함으로써 대규모 공격을 가능케 하는 범죄 공유경제를 육성했다"고 말했다.