10억 달러 규모의 사업

시장조사 기업 Chainalysis의 데이터에 따르면, 2023년에 공개된 몸값 지불액은 거의 두 배로 늘어나 10억 달러를 돌파했으며, 작년은 인터넷 협박이 돌아온 획기적인 한 해가 되었습니다.

모든 피해자가 자신의 사건을 대중에게 공개하는 것은 아니므로 실제 숫자는 훨씬 더 많을 것입니다. 그러나 희소한 희망은 연말이 다가오면서 몸값 금액이 감소했다는 것입니다. 이는 사이버 방어 역량을 개선하려는 노력과, 해커가 도난당한 데이터를 삭제하거나 반환하겠다는 약속을 지킨다는 사실에 대한 피해자들의 인식이 높아진 데 따른 결과입니다.

기록적인 몸값

랜섬웨어 피해자들이 몸값 지불을 거부하는 경우가 점점 늘어나고 있지만, 사이버 범죄 조직은 타깃으로 삼는 피해자 수를 늘리는 방식으로 감소 추세를 메꾸고 있습니다.

돈을 잡아라 브라이스.jpg
악성 소프트웨어 공격은 회사와 사업체에 문제가 되고 있습니다.

예를 들어 MOVEit 해킹 사건을 살펴보면, Clop 랜섬웨어 그룹은 널리 사용되는 MOVEit Transfer 소프트웨어의 이전에 발견되지 않았던 일련의 취약점을 악용하여 2,700명이 넘는 피해자의 시스템에서 데이터를 훔쳤습니다. 많은 조직에서는 민감한 데이터를 공개하지 못하도록 몸값을 지불해야 했습니다.

Chainalysis에 따르면 Clop 그룹은 1억 달러 이상의 몸값을 받았는데, 이는 2023년 6월부터 7월까지의 랜섬웨어 공격 총 가치의 거의 절반에 해당합니다.

그러다가 9월에는 카지노 및 엔터테인먼트 대기업인 시저스가 해커들이 고객 데이터를 공개하는 것을 막기 위해 약 1,500만 달러를 지불했습니다. 주목할 점은 8월에 있었던 카이사르에 대한 공격이 보도되지 않았다는 것입니다.

거기서 멈추지 않고, 대형 리조트 호텔 그룹인 MGM 리조트도 몸값 지불을 거부한 후 "회수"하기 위해 1억 달러 이상을 지출해야 했습니다. MGM이 지불을 거부함에 따라 이름, 사회보장번호, 여권 정보 등 고객의 민감한 데이터가 온라인으로 유출되었습니다.

증가된 위험

Caesars와 같은 많은 조직의 경우, 몸값을 지불하는 것이 미디어 위기를 처리하는 것보다 더 쉬운 선택입니다. 그러나 피해자가 지불을 거부하는 경우가 늘어나면서 사이버범죄 조직들은 더 극단적인 전략을 택하고 있다.

예를 들어, 작년 12월 해커들은 암 환자를 치료하는 병원을 공격했습니다. 또는 더 정교하게 말하면, 해커 그룹 Alphv(BlackCat으로도 알려짐)는 미국 정부의 사이버 사고 공개 규정을 사용하여 MeridianLink를 협박하여 해당 회사가 "고객 데이터와 운영 정보에 대한 심각한 침해"에 대해 통보하지 않았다고 비난했습니다.

몸값 지불을 금지해야 할까, 금지하지 말아야 할까?

사이버 랜섬웨어 사례를 전문으로 처리하는 회사인 코브웨어(Coveware)에 따르면, 미국이나 다른 나라에서 몸값 지불을 금지하면 기업들은 당국에 사고를 보고하지 않을 가능성이 크고 피해 조직과 법 집행 기관 간의 협력도 방해받을 가능성이 큽니다. 그뿐만 아니라 금지 정책은 불법적인 몸값 지불 시장을 촉진할 것입니다.

한편, 일부 업계 전문가들은 기업이 해커에게 돈을 지불하는 것을 금지하는 것이 단기적으로 맬웨어 공격이 증가할 수 있지만, 장기적인 해결책이 될 것이라고 믿고 있습니다.

Recorded Future의 위협 분석가인 앨런 리스카는 몸값 지불이 여전히 합법으로 간주되는 한 이러한 상황은 계속될 것이라고 말했습니다. 리스카는 "저는 몸값 지불 금지라는 아이디어에 반대했지만, 이제 상황이 바뀌고 있습니다"라고 말했습니다. "강탈은 공격의 수뿐만 아니라 공격의 성격과 그 배후에 있는 갱단 측면에서도 증가하고 있습니다."

(TechCrunch에 따르면)

2024년에는 스마트폰 사용자를 표적으로 삼는 새로운 맬웨어가 많이 등장할 것으로 예상됩니다. 2024년에는 스마트폰 사용자들이 Android와 iOS 운영 체제를 탑재한 기기를 포함해 휴대전화에 침투하고, 취약점을 악용하고, 휴대전화를 제어할 수 있는 새로운 유형의 맬웨어에 더 많이 노출될 것으로 예상됩니다.