대담해진 랜섬웨어 공격…옥죄는 자금 협박에 국내외 기업 골머리

대만 'TSMC' 록비트 공격 받아…916억원 자금 협상 진행 중

데이터 암호화 더해 유출 협박…암호화폐 계좌로 송금 요구

전 세계 100개 조직 이상 추정…국내 제약·바이오 등 업체도 당해

[사진=게티이미지뱅크]

랜섬웨어 공격 조직의 협박에 기업들이 속수무책으로 당하고 있다. 훔친 기밀 자료를 경쟁사로 전송한다거나 임직원 자택 주소로 살인 청부업자를 보낸다는 등 협박 수위도 갈수록 높아지고 있다.

3일 보안 업계 및 외신에 따르면 세계 선도 반도체 위탁 생산(파운드리) 업체인 대만 TSMC가 최근 랜섬웨어 해커 '록비트(LockBit)'의 공격을 받았다. 록비트는 손에 쥔 일부 데이터를 외부에 공개하지 않는 조건으로 TSMC에 7000만 달러(약 916억원)를 요구하고 있다. TSMC는 애플, 앤비디아 등 유수 업체를 주 고객사로 하는 반도체칩 생산기업이다.

원래 랜섬웨어는 해커가 사내 시스템에 침투해 데이터를 암호화하고 이를 풀어주는 대가로 돈을 요구하는 사이버 공격 방식을 말한다. 랜섬웨어 해커들은 과거 이러한 방법을 고수하다 암호화폐가 등장한 지난 2019년께부터 자금 갈취를 위해 협박 수위를 높였다. 암호화폐는 송금 시 계좌 추적이 어렵다는 점에서 해커들의 대규모 자금 거래 수단으로 낙점됐다.

해커들의 협박 수준은 갈수록 높아지고 있다. 공격을 받은 국내외 기업은 자포자기로 암호화폐를 해커에게 송금해야 하는 처지다. 랜섬웨어 조직인 '블러디(Bl00dy)' '마케토(Marketo)' 등 공격 사례가 대표적이다. 블러디는 기존 자금 전달 등 협상에 임하지 않은 러시아 등 소재 업체들에 살인 청부업자를 보내겠다며 자금을 요구했다. 또 마케토의 경우 일본 중장비 기업 '고마츠(Komatsu)' 내부에 침투해 기밀 자료를 확보한 뒤 이를 경쟁사에 전송하겠다고 압박한 바 있다.

이와 관련, 한 보안 업계 관계자는 "당초 (랜섬웨어 공격 조직으로 불리는 해커들은) 데이터 암호화와 탈취를 동시에 하는 2중 공격 수법을 써왔지만, 최근에는 데이터 암호화 과정 자체가 복잡하고 시간이 오래 걸리자 이를 생략하고 데이터 유출 협박만 진행하는 흐름을 보이고 있다"고 설명했다.

상대적으로 최근 결성된 '알에이(RA)그룹'은 국내 의료·제약·바이오 업체를 겨냥한 공격으로 유명세를 떨쳤다. 인공지능(AI) 의료 1세대인 딥노이드는 지난달 중순 RA그룹의 공격을 받아 사내 주요 자료로 추정되는 정보가 다크웹 등에 유출됐다. 백신 제조사 아이진도 비슷한 기간 RA그룹 공격으로 지난달 정부과제 평가 결과와 계획서와 백신 전문 기술 등으로 추정되는 문서가 노출됐다. 해당 두 개 기업이 해커와 자금 협상을 했는지 여부는 확인되지 않았다.

보안 업계는 데이터 유출 등으로 추가 협박을 하는 랜섬웨어 조직 수가 두 자릿수를 넘어선 것으로 파악하고 있다. 또 다른 보안 업계 관계자는 "앞선 2019년 당시 스내치(snatch) 랜섬웨어 조직을 비롯해 데이터 암호화 및 유출을 결합한 형태의 공격이 나오기 시작했다"며 "현재는 데이터 유출 협박까지 감행하는 랜섬웨어 공격 조직이 100개를 넘어섰다. 협박 기술이 나날이 발전하고 있는 만큼 기업들의 주의가 필요하다"고 강조했다.