10억 달러 규모의 사업 부문

연구 회사인 Chainalysis의 데이터에 따르면, 2023년에 공개적으로 공개된 몸값 지불액은 거의 두 배로 늘어나 10억 달러를 넘어섰으며, 작년은 인터넷 강탈에 있어서 역대 최대 규모를 기록했습니다.

모든 피해자가 자신의 사건을 공개적으로 밝히는 것은 아니기 때문에 실제 피해 규모는 훨씬 더 클 것입니다. 하지만 드물게 긍정적인 점은 연말이 다가오면서 몸값 지불액이 감소하고 있다는 것입니다. 이는 사이버 방어 역량 강화 노력과 해커들이 도난당한 데이터를 삭제하거나 반환하겠다는 약속을 지킨다는 피해자들의 인식이 높아진 데 따른 결과입니다.

기록적인 몸값

랜섬웨어 피해자들이 몸값 지불을 거부하는 경우가 점점 늘어나는 가운데, 사이버범죄 조직들은 타깃으로 삼는 피해자 수를 늘려 이러한 감소 추세를 메꾸고 있습니다.

돈을 움켜쥐다 브라이스.jpg
악성 소프트웨어 공격은 기업과 사업체에 문제가 되고 있습니다.

MOVEit 해킹 사건을 예로 들어보겠습니다. Clop 랜섬웨어 그룹은 널리 사용되는 MOVEit Transfer 소프트웨어의 이전에 알려지지 않은 일련의 취약점을 악용하여 2,700명 이상의 피해자 시스템에서 데이터를 훔쳤습니다. 많은 조직이 민감한 데이터 공개를 막기 위해 몸값을 지불해야 했습니다.

Chainalysis에 따르면 Clop 그룹은 1억 달러 이상의 몸값을 받았는데, 이는 2023년 6월과 7월 기간 동안 랜섬웨어 사건 전체 가치의 거의 절반에 해당합니다.

9월에는 카지노 및 엔터테인먼트 대기업 시저스(Caesars)가 해커들의 고객 데이터 유출을 막기 위해 약 1,500만 달러를 지불했습니다. 특히 8월에 발생한 시저스 공격은 보고되지 않았습니다.

여기서 멈추지 않고, 대형 리조트 호텔 그룹인 MGM 리조트 역시 몸값 지불을 거부한 후 "회복"하는 데 1억 달러 이상을 지출해야 했습니다. MGM의 몸값 지불 거부로 이름, 사회보장번호, 여권 정보 등 민감한 고객 데이터가 온라인으로 유출되었습니다.

위험 증가

시저스(Caesars)와 같은 많은 조직에게 몸값을 지불하는 것은 홍보 위기에 대처하는 것보다 쉬운 선택입니다. 하지만 피해자들이 몸값 지불을 거부하는 경우가 늘어나면서, 사이버 범죄 조직들은 더욱 극단적인 수법을 사용하고 있습니다.

예를 들어, 작년 12월, 해커들은 암 환자를 치료하는 한 병원을 표적으로 삼았습니다. 더 교묘하게는, 해커 그룹 Alphv(BlackCat으로도 알려짐)가 미국 정부 의 사이버 사고 공개 규정을 이용하여 메리디안링크를 협박하며, 회사가 "고객 데이터 및 운영 정보의 심각한 유출"을 통보하지 않았다고 비난했습니다.

몸값 지불을 금지해야 할까, 금지하지 말아야 할까?

사이버 협박 사건 전문 업체인 코브웨어(Coveware)는 미국이나 다른 국가가 몸값 지불 금지 조치를 취할 경우, 기업들이 당국에 사건 보고를 중단하고 피해자 단체와 법 집행 기관 간의 협력 절차를 뒤집을 가능성이 매우 높다고 분석했습니다. 뿐만 아니라, 이러한 금지 정책은 불법 몸값 지불 시장을 활성화할 것입니다.

한편, 일부 업계 전문가들은 기업이 해커에게 돈을 지불하는 것을 금지하는 것이 단기적으로는 맬웨어 공격이 증가할 수 있지만, 장기적인 해결책이 될 것이라고 믿고 있습니다.

리코디드 퓨처(Recorded Future)의 위협 분석가 앨런 리스카는 몸값 지불이 합법화되는 한 이러한 관행은 계속될 것이라고 말했습니다. "저는 몸값 지불 금지에 반대했지만, 상황이 바뀌고 있습니다."라고 리스카는 말했습니다. "강탈은 공격 건수뿐만 아니라 공격의 성격과 배후 조직 측면에서도 증가하고 있습니다."

(테크크런치에 따르면)

2024년에는 스마트폰 사용자를 표적으로 삼는 새로운 맬웨어가 많이 등장할 것으로 예상됩니다. 2024년에는 스마트폰 사용자들이 Android 및 iOS 운영 체제를 실행하는 기기를 포함하여 휴대전화에 침투하고, 취약점을 악용하고, 휴대전화를 제어할 수 있는 새로운 유형의 맬웨어에 더 많이 노출될 것으로 예상됩니다.