APJ 지역의 랜섬웨어 공격 트렌드 자세히 보기

코로나19 팬데믹이 시작된 이후 아시아 태평양 및 일본(APJ) 지역에서 사이버 공격이 급증했습니다. 아시아가 작년에 가장 많은 공격을 받은 지역이었고 랜섬웨어 공격이 가장 많이 일어난 공격 종류였습니다. APJ 지역 기업의 80% 이상이 지난 5년 동안 적어도 1회 이상 랜섬웨어 공격을 받았으며, 그중 32%만이 인시던트를 공개했습니다. 

Akamai 연구원들은 RaaS(Ransomware as a Service) 공급업체를 연구 분석해 공격을 성공으로 이끈 기본 메커니즘을 밝혔습니다. 

Akamai는 최근 가장 많은 RaaS 공급업체 중 하나인 Conti를 심도 있게 분석한 2022년 상반기 APJ 랜섬웨어 위협 심층 분석 보고서를 발표했습니다. Conti RaaS 그룹은 2021년 랜섬(몸값, ransom)으로 1억 8천만 달러를 벌어들였다고 알려졌습니다. 하지만 2022년 5월 Conti 그룹이 해체해 사법망을 피하기 위해 작은 랜섬웨어 그룹들에 합류했다는 소식이 전해졌습니다. 

Conti 공격을 받은 APJ 지역의 국가 

APJ 지역에서 Conti의 사이버 공격을 가장 많이 받은 5대 국가는 호주, 인도, 인도네시아, 뉴질랜드, 중국입니다. 호주가 45%로 가장 많은 공격을 받았고 인도와 인도네시아가 뒤를 이었습니다. 

인도와 인도네시아에서는 사이버 공격이 상당히 증가하고 있었기 때문에 이들 국가가 순위에 든 것은 놀라운 일이 아닙니다. 예를 들어 인도 내 기업에 대한 사이버 공격 건수는 작년 대비 25% 증가했습니다. 반면 인도네시아는 2022년 1분기에만 1100만여 건의 사이버 공격을 받았습니다. 

APJ 지역은 전 세계 Conti 랜섬웨어 피해 중 약 5%를 차지했습니다. 이는 Conti 그룹이 유럽, 중동, 아프리카(EMEA), 북미를 집중 공략하는 데 부분적인 원인이 있습니다. 하지만 APJ 지역의 총 공격 건수는 적지만, 공격별 영향은 다를 수 있다는 점에 주목해야 합니다. 또한 다른 RaaS 그룹은 Conti와는 다른 공격 패턴을 보일 수 있습니다. 따라서 APJ 지역의 기업은 항상 경계 태세를 유지하면서 최신 보안 리스크를 놓치지 않고 파악해야 합니다. 

Conti 사이버 공격의 업계 분포

비즈니스 서비스

공격 업계 분포를 분석한 결과 APJ에서 가장 큰 피해를 입은 업계는 비즈니스 서비스로 나타났습니다. 이 업계에 대한 공격이 성공했다는 점이 우려되는 것은 공급망에 대한 사이버 공격 리스크 때문입니다. 사이버 범죄자는 비즈니스 서비스 기업과 같은 써드파티에 침투하면 고부가가치 표적에 접근할 수 있습니다. 

한 예로 하이엔드 자동차 제조업체와 소비자 가전 기업의 공급업체이자 계약업체인 한 대만 회사가 2022년 Conti 공격을 받았습니다. 해당 사이버 공격이 중요하지 않은 시스템에만 영향을 미친 것으로 보고되었더라도, 써드파티 기업이 해당 계열사에 잠재적으로 야기할 수 있는 보안 리스크를 강조해야 합니다. 

핵심 인프라

또한 APJ 지역은 중요 인프라에 대한 Conti 공격이 다른 지역보다 훨씬 많은 비중(13.6%)을 차지하고 있습니다. 인프라 업계에 대한 공격은 실질적이고 치명적인 피해를 줄 수 있습니다. 

대표적인 사례로 2021년 호주의 대형 전기 공급업체가 Conti 공격을 당했습니다. 사이버 공격으로 서비스가 중단되지는 않았지만, 만약 서비스가 중단됐다면 치명적인 결과로 이어졌을 것입니다. 

리테일과 호텔 및 관광업

APJ에서 두 번째로 공격을 많이 받은 업계는 리테일과 호텔 및 관광업이었습니다. 이 업계는 개인 식별 정보(PII)나 신용카드 번호 등 방대한 기밀 정보를 보유하고 있으므로 수익성이 높은 표적입니다. 

랜섬웨어 공격의 파급 효과

랜섬웨어 공격으로 2021년 전 세계적으로 200억 달러의 피해가 발생했습니다. 이 비용은 2031년까지 매년 약 2650억 달러로 증가할 것으로 예상됩니다. 기업이 랜섬웨어 공격을 당하면 다운타임이 발생해 생산성 저하, 브랜드 평판 실추, 문제 해결 및 복구 비용, 법적 비용 등의 문제가 발생할 수 있습니다. 

랜섬웨어 공격의 피해는 개별 기업에 대한 영향보다 훨씬 클 수 있다는 점에 주목해야 합니다. 앞서 아시아 지역의 기업 중 65% 이상이 랜섬웨어 공격을 당한 경우 이를 공개하지 않았다고 언급했습니다. 공개하지 않는 두 가지 주요 이유는 다시 공격을 받고 평판이 훼손될 수 있다는 두려움과 그로 인해 고객 및 재정적 손실이 발생할 수 있다는 것입니다. 

Conti 공격을 당한 SMB

Conti 공격으로 피해를 입은 기업의 매출 범위도 면밀히 살펴보았습니다. 피해 기업 40% 이상의 매출이 최대 5000만 달러였습니다. Conti 그룹은 랜섬을 지불할 능력은 있지만, 대기업과 같은 리소스 및 사이버 보안 기술은 없는 중소기업을 표적으로 삼는다고 추측할 수 있습니다. 

또 다른 흥미로운 트렌드는 APJ 지역에서 영향을 받은 기업의 18%가 10억 달러 규모의 매출을 기록하고 있다는 것입니다. 이 매출 규모를 대상으로 하는 공격 비율이 상대적으로 낮은 글로벌 트렌드와는 대조적입니다. 

이중 갈취 기법

랜섬웨어는 대부분 금전적인 동기를 바탕으로 한 공격 기법의 한 종류입니다. 기업은 규모와 관계없이 고객 정보와 영업 비밀, 독점 정보 등 기밀 데이터를 보유하고 있으므로 얼마든지 표적이 될 수 있습니다. 

Conti 같은 RaaS 그룹은 파일을 암호화하고 기밀 데이터를 유출하는 이중 갈취 기법으로 잘 알려져 있습니다. 따라서 피해 기업은 백업 데이터를 가지고 있더라도 랜섬을 지불해야 할 수 있습니다. 그렇지 않으면 공격자들이 탈취한 정보를 다른 공격자에게 높은 가격으로 판매하거나 다른 사이버 공격에 사용할 수 있습니다. 

요약

Conti 그룹이 사용하는 기법, 기술, 절차(TTP)는 참신하지는 않지만, 여전히 매우 효과적입니다. Conti 그룹이 활동을 중단한 것처럼 보이더라도 Conti의 공격 TTP에 대한 Akamai의 인사이트와 분석은 보안 실무자들이 유사한 공격으로부터 네트워크와 데이터를 보호하는 데 도움이 될 수 있습니다.