Group-IB, ‘사이버에서 고조되는 위협’ 전 세계에서 치솟고 있는 범죄 보고서 발표

2021-12-06 18:04 출처: Group-IB

Group-IB가 전 세계에서 치솟고 있는 범죄에 대한 보고서를 발표했다

싱가포르--(뉴스와이어)--사이버 보안 업계를 선도하는 글로벌 기업인 Group-IB가 전 세계 사이버 현장에서의 위협을 다룬 연구 결과물인 하이테크 범죄 동향 2021/2022(Hi-Tech Crime Trends 2021/2022)를 연례 동향 추적 및 정보 공유 행사인 21년도 사이버 범죄 콘퍼런스(CyberCrimeCon)에서 선보였다고 밝혔다.

Group-IB의 연구진은 2020년 하반기와 2021년 상반기의 사이버 범죄 전개 양상을 탐구한 내용이 담긴 해당 보고서를 통해 전 세계 사이버 범죄 위협 판도가 나날이 복잡한 양상을 띄고 있다는 분석을 내렸으며 특히 범죄를 시도하는 이들 사이의 연합이 중요한 요소라는 점을 강조한다. 이 같은 추세는 서비스형 랜섬웨어(Ransomware-as-a-Service) 모델 하에서 랜섬웨어 운영자들과 초기 액세스 브로커 사이의 파트너십에서 명확히 드러난다. 사기 행각을 벌이는 이들 또한 사기 활동을 자동화하고 간소화하기 위해 무리를 이뤄 결속한다. 주목할 점은 신용카드 이용 사기(carding)과 같은 개별적인 사이버 범죄가 역대 처음으로 감소세를 보였다는 점이다.

하이테크 범죄 동향 보고서는 10년 연속 사이버 범죄 분야가 운영되는 양상을 다양한 측면에서 분석한 내용과 함께 사이버 공격을 조사하는 방법과 다양한 경제 분야를 위협할 것으로 예상되는 사이버 범죄에 대한 예측을 담았다. 이번 보고서는 최초로 주제에 따른 다섯 가지 주요 단원으로 나누어졌으며 그 단원은 각각 랜섬웨어와 기업 네트워크 접근권 판매, 사이버 공간에서의 전쟁, 금융 부문에서 위협, 피싱 및 사기 행위이다. 하이테크 범죄 동향 2020-2021 보고서에 기술된 예측과 권고안은 전 세계 기업의 손해 및 업무 마비 상황을 방지하는 것에 목적을 두고 있다.

기업 네트워크 접근권 판매: 아시아-태평양 지역 기업 사이에서 증가

2020년 하반기와 2021년 상반기에 기업 네트워크 접근권 판매 시장은 지속적으로 성장해 전 세계적으로 716만5387불 규모를 기록했는데 이는 일년 전에 비해 16% 증가한 수치다. 주목할 부분은 일부 판매자들이 자신들이 제공하는 대상의 비용을 상세하게 기술하지 않아 해당 시장의 실질적인 규모를 평가하는 데 한계가 있다는 점이다.

아시아-태평양 지역만 놓고 본다면 지하 경제에서 거래되는 역내 기업 접근권의 총 비용은 검토 대상 기간 330만7210불에 달했으며 이는 전년 동기 대비 7배가량 증가한 수준이다. 판매되는 접근권의 대부분은 호주(36%) 기업과 인도(23%) 기업, 중국(14%) 기업이 그 대상이었다.

호주와 인도의 경우 기업 네트워크 접근권 판매 부문에서 전 세계 상위 5개 국가에 이름을 올렸다. 이들 국가에서 거래된 접근권의 대상이 되는 기업들은 주로 지하 경제에서 포착된 것으로 각각 4%와 3%의 비중을 차지했다. 이들 국가보다 앞선 순위에 이름을 올린 국가는 영국(4%)과 프랑스(5%), 미국(30%)이다.

해당 기업 대부분은 제조 및 교육, 금융서비스, 보건, 상업 분야에 속하는 기업이었다. 검토 기간에 초기 액세스 브로커로부터 피해를 입은 업체 수는 20개에서 35개로 75% 급증했다. 이는 사이버 범죄자들이 잠재적으로 다양한 이들을 목표대상으로 삼기 시작했다는 점을 보여준다. 뿐만 아니라 기업 네트워크 접근권 판매자의 영향을 받은 국가의 수가 42개에서 68개로 62% 증가했다는 사실도 해당 보고서를 통해 알 수 있다. 아시아-태평양 지역에서 사이버 공격을 당한 국가는 10개에서 15개로 50% 증가했으며 싱가포르와 인도네시아, 말레이시아, 대한민국이 이에 해당한다.

초기 액세스 브로커의 수 또한 지속적으로 증가해 2020년 하반기부터 2021년 상반기까지 262명에 달했다. 그 중 229명은 시장에 새로 진입한 브로커이다. 비교하자면 직전 검토 기간 동안 활동했던 판매자의 수는 총 86명이었다. 거래를 통해 판매되는 기업 네트워크 접근권은 총 1,099개이며 1년 전에는 362개였다.

기업 네트워크 접근권을 구매하는 사이버 범죄자들은 서비스형 랜섬웨어 연계 프로그램의 도움을 받아 그 접근권을 주로 현금화한다. Group-IB의 분석가 팀은 랜섬웨어에 대한 수요가 증가함에 따라 새로운 초기 액세스 브로커들이 등장할 뿐만 아니라 판매되는 접근권이 전반적으로 증가할 것으로 전망한다.

기업 랜섬: 피해자들과 서비스형 랜섬웨어를 압박하는 도구

검토 기간 동안 Group-IB의 분석가 팀은 신규 서비스형 랜섬웨어(RaaS) 프로그램 21개를 탐지했는데 이는 이전 기간에 비해 19% 상승한 수치이다. 검토 기간 동안 사이버 범죄자들은 피해자의 데이터를 공개하겠다는 협박을 통해 피해자가 대가를 지불하도록 압박하는 또 다른 방법으로써 데이터 유출 사이트(DLS)를 활용하는 법을 완벽하게 습득했다. 하지만 실제로 피해자가 랜섬 비용을 지불하더라도 자신의 데이터가 유출될 수 있다. 새로운 DLS 숫자는 해당 검토 기간 2배 이상 급증해 28개에 달했으며 이는 2019년 하반기와 2020년 상반기 13개와 비교되는 수치다. 검토 기간 동안 총 2371개 기업의 데이터가 DLS 웹사이트를 통해 유출됐다. 직전 검토 기간 동안 데이터가 유출된 피해자가 229명이었음을 고려하면 935%라는 전례 없는 증가세를 기록한 셈이다.

주목할 점은 올해 1~3분기 동안 랜섬웨어 운영자들이 유출한 데이터 양은 2020년 한 해 분량보다 47% 많았다는 사실이다. 사이버 범죄자들이 피해자 데이터 중 10%만 유포한다는 점을 감안하면 실제 랜섬웨어 피해자 숫자는 수 십 배에 달할 것으로 보인다. 랜섬 비용을 지불하기로 결정한 기업의 수는 30%를 기록할 것으로 예상된다.

DLS 출처 데이터에 따르면 2020년과 2021년 사이버 공격을 받은 기업 수는 아시아-태평양 지역이 유럽과 북미 지역에 이어 3위를 차지했다. 올해 1~3분기까지 아시아-태평양 지역의 비중은 6.1%에서 9.1%로 증가했다. 올해 아시아-태평양 지역에서 드러난 랜섬웨어 피해자 대부분은 호주(41명)와 인도(24명), 일본(16명), 대만(16명), 인도네시아(12명) 지역이다.

전 세계적으로 올 한 해 랜섬웨어 공격을 받은 기업들 중에는 미국(49.2%)과 캐나다(5.6%), 프랑스(5.2%)의 기업이 많았으며, 이들 중 대부분은 제조업(9.6%)과 부동산(9.5%), 교통 (8.2%) 분야 기업들이었다.

Group-IB는 2021년 랜섬웨어 DLS를 분석한 결과, 361명의 피해자 정보를 유출한 콘티(Conti DLS를 통해 유출된 정보 16.5%)를 가장 공격적인 랜섬웨어 집단으로 꼽았다. 그 뒤를 이어 락빗(Lockbit, 피해자 251명)과 아밧돈(Avaddon, 피해자 164명), 리빌(Revil, 피해자 155명), 파이자(Pysa, 피해자 118명)가 공격적인 랜섬웨어 집단이었다. 지난해 상위 5개 랜섬웨어 집단은 메이즈(Maze, 피해자 259명)와 에그리고르(Egregor, 피해자 204명), 콘티(피해자 173명), 리빌(피해자 141명), 파이자(피해자 123명)였다.

신용 카드 사기 다소 감소

검토 기간 신용 카드 사기 시장은 이전 기간에 비해 19억불 규모에서 14억불 규모로 26% 감소하는 모습을 보였다. 이 같은 감소세는 판매 대상이 된 덤프(은행 카드 마그네틱에 저장된 데이터)의 규모가 줄어들었기 때문이다. 거래 물량으로 시장에 나온 덤프 수량은 최대 카드 사이트인 조커스 스타시(Joker's Stash)의 영업 중단으로 7000만 건에서 5800만 건으로 17% 급감했다. 한편 은행 카드 덤프의 평균가는 21.88불에서 13.84불로 하락한 반면 최고가는 500불에서 750불로 급등했다.

은행 신용 카드 데이터(은행 카드 번호, 유효기간, 소유주 성명, 주소, CVV) 판매 시장은 완전히 반대되는 동향을 보였다. 해당 데이터 기록 수는 2800만 건에서 3800만 건까지 36% 급증했다. 이는 코로나19 사태가 이어지는 동안 유명 브랜드를 모방한 피싱 웹사이트의 수가 증가하고 있다는 점을 통해서도 알 수 있다. 문자 데이터의 평균가는 12.78불에서 15.2불로 상승했고, 최고가는 7배 늘면서 150불에서 전례 없는 수준인 1000불까지 급등했다.

아시아-태평양 지역에서는 특히 신용 카드 사기 시장의 규모가 검토 기간 동안 3억2870만불에서 2억9150만불로 축소되는 모습을 보였다. 뿐만 아니라 신용 카드 데이터의 평균가는 14.23불에서 20.26불로 상승했고 덤프 가격은 75.17불에서 39.57불로 급감했다.

피싱 및 사기(Scammer) 파트너 프로그램

검토 기간 동안 활발하게 파트너십을 맺은 또 하나의 사이버 범죄 집단으로는 스캐머가 있었다. 지난 몇 년간 피싱 및 사기 관련 프로그램이 널리 확산됐다. Group-iIB에서 수행한 연구 결과에 따르면, 피싱 및 사기 관련 프로그램은 70개 이상이다. 이런 프로그램에 가담하는 이들은 금전뿐만 아니라 개인 데이터, 지불 데이터까지 목표로 삼고 있다. 보고 기간 동안 그와 같은 수법에 가담한 범죄자들은 최소 1000만불의 돈을 가로챘다. 사기 관련 프로그램 피해자가 잃은 돈은 평균 83불가량인 것으로 추정된다.

이러한 연계된 사기 프로그램에는 상당한 수의 인원이 가담하고 있을 뿐만 아니라 엄격한 위계 질서를 갖추고 있으며 사기 행각을 자동화하기 위한 복잡한 기술적 인프라도 활용한다. 이는 피싱 활동의 범위가 넓어지도록 하며 은행과 유명 이메일 서비스, 마켓플레이스, 물류 회사 등의 특징에 맞춰 피싱 활동을 구성하도록 돕는다. 피싱 및 사기 관련 프로그램은 초기에는 러시아와 기타 구소련 국가들에 치중됐으나 최근에는 온라인을 통해 유럽과 미주, 아시아, 중동으로 초점이 옮겨가기 시작했다. 그 대표적인 예가 바로 클래시스캠(Classiscam)이다. Group-IB는 관련 프로그램 구성원들이 사칭한 브랜드가 36개국, 최소 71개 브랜드로 파악하고 있다.

Group-IB 개요

Group-IB는 사이버 공간에서의 공격을 탐지 및 방지하며 온라인 사기를 파악해 고도의 기술 기반 범죄 및 지적재산권 보호를 조사하기 위한 솔루션을 제공하는 주요 기업으로써 싱가포르에 본사를 두고 있다. Group-IB에서 제공하는 사이버 범죄 위협 정보와 연구 센터는 중동(두바이)와 아시아-태평양(싱가포르), 유럽(암스테르담), 러시아(모스크바)에 위치해 있다. 이 같은 사이버 위협 정보와 속성 정의 시스템은 가트너(Gartner)와 포레스터(Forrester), IDC 등으로부터 동급 최강의 시스템이라는 평가를 받고 있다. Group-IB의 범죄 위협 gjsxld 프레임워크(이전에는 TDS로 알려짐)는 복잡하며 기존에 잘 알려지지 않았던 사이버 범죄 시도를 대상으로 적극적인 헌팅 및 보호 조치를 취하기 위해 구성된 것으로, 유수의 유럽 분석 기관인 KuppingerCole Analysts AG으로부터 네트워크 탐지 및 대응(Network Detection and Response) 분야의 리더로 평가 받고 있다. Group-IB 자체만으로도 상품 및 혁신 분야의 선두주자로 인식돼 왔다. 가트너 측은 Group-IB를 두고 사기 행위 헌팅 플랫폼을 활용해 온라인 사기 탐지 활동을 수행하는 대표적인 공급업체라고 밝혔다. 또한 Group-IB는 디지털 위험 보호(Digital Risk Protection) 분야에서 프로스트 앤 설리번(Frost & Sullivan)에서 수여하는 혁신 우수상을 수상했다. 이 활동은 디지털 리스크를 파악 및 완화하고 특허 기술을 중심으로 구성한 브랜드 오남용 공격에 대응하기 위한 AI 기반 플랫폼을 의미한다. Group-IB의 기술적 리더십과 연구개발 역량은 전 세계적인 사이버 범죄 조사 실무 경력 18년뿐만 아니라 우수한 포렌식 연구소와 하이테크 범죄 조사 부서, 24시간 운영되는 CERT-GIB에서 축적된 사이버 보안 사건 대응 경력(7만 시간 이상)을 바탕으로 이뤄진 성과에 해당한다. Group-IB는 유로폴과 인터폴 등의 국제 수사기관이 이끄는 글로벌 조사 활동에 활발히 협조하고 있다. Group-IB는 또한 유로폴의 유럽 사이버 범죄 센터(EC3)에서 인터넷 보안에 대한 자문 그룹으로 참여하고 있으며 이는 유로폴과 유수의 비사법기관 파트너들 사이의 긴밀한 협력을 촉진하기 위해 노력하고 있다. Group-IB가 사이버 범죄 위협 포착 및 사이버 범죄 정보 수집을 통해 쌓아온 경험은 사이버 상의 공격을 감시 및 파악, 방지하기 위해 개발된 정교한 소프트웨어 및 하드웨어 솔루션 생태계에 포함돼 있다. Group-IB의 목표는 고객사를 사이버 공간에서 보호하고 고객사의 각각의 비지니스 목표를 이룰 수 있도록 지원하는 동시에 하이테크 기반 범죄에 맞서는 것이다. 이를 위해 Group-IB의 직원들은 사이버 범죄 위협을 분석하고 그런 내용을 감시하기 위한 자체 인프라를 개발하며 범죄 발생 시 이에 대응할 뿐만 아니라 신기술 기반의 복잡한 범죄를 조사하고 주적에게 대응하기 위한 고유의 기술 및 솔루션, 서비스를 제공한다. 자세한 사항은 홈페이지, 블로그, 트위터, 링크트인, 페이스북, 인스타그램에서 확인하면 된다.

이 뉴스는 기업·기관·단체가 뉴스와이어를 통해 배포한 보도자료입니다. 배포 안내 >
뉴스와이어 제공