랜섬웨어 조직, 데이터 유출 빌미로 ‘이중 갈취’ 전략 펼쳐

[아이티데일리] 데이터 암호화와 함께 외부 유출 협박으로 피해자에게 금전을 요구하는 ‘이중 갈취(Double Extortion)’ 전략이 랜섬웨어 공격자들 사이에서 성행하고 있다. 이뿐 아니라 분산 서비스 공격(DDoS)을 가하거나 이해관계자에게 공격 사실을 알리는 등 삼중, 사중으로 협박의 강도를 올리고 있다.

아카마이 테크놀로지스(이하 아카마이)는 4일 이 같은 내용이 담긴 ‘랜섬웨어 보고서(Ransomware Report) 2025’를 발표했다.

이번 보고서는 아카마이에서 2024년 1월 1일부터 2025년 5월 31일까지 17개월간(2025년 4월 제외) 고객으로부터 수집한 데이터를 토대로 만들어졌다.

보고서에 따르면, 공격자들은 이중 갈취 전략으로 협박 수위를 높였다. 이중 갈취란 공격자가 암호화와 유출을 병행함으로써 피해자를 강하게 압박하는 전략이다.

본래 랜섬웨어 조직은 데이터를 암호화한 뒤 이를 볼모로 금전을 요구했다. 하지만 백업을 갖춘 조직에서는 협박에 응하지 않고 데이터를 복원할 수 있었다. 이에 공격자는 데이터를 외부로 유출하겠다고 협박함으로써 피해자를 더욱 옥죄고 있다.

아카마이의 조사 결과, 펑크섹(FunkSec)과 랜섬허브(RansomHub) 등 랜섬웨어 조직 17곳에서 이중 갈취 전략을 펼치고 있는 것으로 나타났다. 특히 아키라(Akira), 메두사(Medusa), 클롭(CLOP) 등은 삼중, 심하면 사중으로 협박 전략을 고도화하고 있다. 이들 조직은 DDoS로 시스템을 중단시키거나, 고객에게 정보를 유출한다는 내용으로 피해자를 괴롭혔다.

아카마이 스티브 윈터펠드(Steve WinterFeld) 자문 CISO는 “오늘날 랜섬웨어 공격자들은 도난당한 데이터, 대외 노출, 서비스 중단 등을 활용해 피해자에게 압력을 가하고 있다”며 “이러한 공격은 기업을 심각한 위기에 빠뜨릴 수 있으며, 기존 대응 체계를 전면 재검토하게끔 만든다”고 설명했다.

특히 몇몇 조직은 법, 규제 위반으로 인한 벌금을 빌미로 피해자를 압박했다. 실제로 2024년 등장한 신생 랜섬웨어 ‘아누비스(Anubis)’는 엄격한 규제가 적용되는 미국, 유럽 등지의 의료 기업을 공격한 뒤에 해당 사실을 소셜 미디어 등을 통해 알리는 전략을 펼쳤다.

서비스형 랜섬웨어(RaaS)는 제휴한 공격자가 피해자에게 압력을 가할 수 있도록 규제 관련 처벌 내용을 공유했다. 랜섬허브는 공격자에게 △유럽연합(EU) ‘일반정보보호 규정(GDPR)’ △ 중국 ‘개인정보 보호법(PIPL)’ △사우디아라비아 ‘개인 데이터 보호법(PDPL)’ 등을 안내했다. 정보를 알게 된 이들은 “데이터가 유출되면 소송으로 더 큰 비용을 치르게 될 것”이라고 협박해 협상에서 우위를 점했다.

아카마이에서는 오늘날 정교화된 랜섬웨어 전술에 맞서는 방법으로 사이버 회복탄력성(Resilience)을 강조했다. 랜섬웨어 공격은 가능한 한 많은 부분을 암호화하고자 시도하기에 이를 위한 다층 보안이 필요하다는 지적이다. 또한 내부 공격 표면을 줄이기 위한 ‘마이크로 세그멘테이션(Micro Segmentation)’도 필요하다고 조언했다.

루벤 코(Reuben Koh) 아시아태평양 지역 보안 기술 및 전략 부문 디렉터는 “아태 지역 기업 보안 팀은 확장되는 공격 표면에 대응하는 데 어려움을 겪고 있다”며 “랜섬웨어 공격은 주로 이러한 취약점을 노리기에 기업은 보안 체계를 재검검하고 사이버 회복탄력성을 강화에 매진해야 한다”고 밝혔다.

이어 그는 “검증된 액세스와 마이크로 세그멘테이션을 중심으로 한 제로 트러스트 아키텍처를 도입하는 것은 랜섬웨어 영향을 최소화하는 효과적인 방법”이라고 덧붙였다.