사이버 보안 도구의 발전과 인식 캠페인의 증가에도 불구하고, 전 세계 조직들은 여전히 랜섬웨어 공격자에게 높은 비율로 굴복하고 있다. 루브릭 제로 랩스(Rubrik Zero Labs)의 연구에 따르면, 지난 1년간 사이버 공격을 당한 전 세계 조직의 86%가 몸값 요구에 응했다고 인정했다. 이 수치는 복구 단계에서 방어 체계가 무너지고 있는 현실을 보여준다.
이 결과는 루브릭의 2025년 보고서 데이터 보안의 현황: 분산된 위기’(The State of Data Security: A Distributed Crisis)에 담겼다. 미국, 영국, 프랑스, 독일, 인도, 싱가포르 등 10개국에서 1,600명 이상의 IT 및 보안 리더를 대상으로 조사한 결과를 담은 이번 보고서는 기업들이 하이브리드 및 멀티 클라우드 인프라를 도입해 유연성을 높이고 있지만, 많은 기업에서 랜섬웨어에 대응할 준비가 근본적으로 부족하다는 점을 드러낸다.
백업 시스템 공격
이번 보고서의 주요 통찰 중 하나는 백업 및 복구 인프라에 대한 표적 공격이다. 74%의 조직이 부분적으로 침해되었다고 응답했으며, 35%는 완전한 침해를 보고했다. 즉 복구 시스템에 대한 표적 공격이 현대 랜섬웨어 캠페인의 특징으로 자리 잡았다.
루브릭 제로 랩스의 조 흘라딕 책임자는 “공격자들이 암호화에 앞서 백업 인프라를 무력화하는 데 점점 더 집중하고 있다. 미미캐츠(imikatz) 등의 도구를 활용한 자격 증명 도용 및 권한 상승, 노출된 인터페이스를 통해 평문 자격 증명을 추출하는 방법이 활용된다”라고 말했다.
흘라딕은 이어 위협 행위자들이 합법적인 백업 소프트웨어 API를 악용해 스냅샷을 삭제하거나 수정하는 경우도 있다고 덧붙였다. 이는 FIN7과 ALPHV와 같은 그룹의 캠페인에서 관찰된 기술이다.
그는 “자동화된 정찰 활동도 점점 더 일반화되고 있다. 공격자들은 액티브 디렉토리 열거 및 샤프하운드(SharpHound)와 같은 도구를 사용해 백업 환경을 매핑하고, 복구 시스템을 무력화하는 것을 우선순위로 삼는다”라고 말했다.
몸값이 여전히 지불되는 이유
사이버 복원력 솔루션(불변 백업, 에어갭 저장소, 자동 복구 등)을 확보한 조직조차도 많은 경우 공격 상황에 대해 제대로 대응하지 못한다.흘라딕에 따르면 기술적 이유가 전부가 아니다.
그는 “랜섬웨어와 관련해 좌절스러운 현실이다. 백업본이 존재할지라도 보존 정책, 액세스 제어에 문제가 있는 경우가 흔하다. 오프라인 복사본의 상실이나 최신성 문제가 존재하기도 한다. 백업이 있더라도 느리거나 복잡한 복구 프로세스는 허용할 수 없는 다운타임을 초래해 경영진이 몸값 지불을 선택하게 된다”라고 말했다.
그는 또한 공격자들이 민감한 데이터를 유출하고 랜섬을 지불하지 않으면 공개적으로 유출하겠다고 위협하는 이중 갈취 전술의 증가를 언급했다. “이 때문에 조직은 복원력 확보가 단순히 적절한 도구를 갖추는 것 이상의 문제임을 인식해야 한다. 압박 상황에서도 이를 사용할 수 있는 운영 준비성이 필요하다. 테이블톱 연습과 SLA 기반 복구 검증은 정기적인 실천 사항이 되어야 한다”라고 흘라딕은 말했다.
관련 질문 탐색
루브릭이 자체적으로 몸값 금액을 측정하지는 않는다. 그러나 흘라딕은 여러 최신 산업 연구를 인용해 전 세계 평균 랜섬 지불액이 약 47만 9,000달러이며 중간값은 20만 달러라고 전했다. 몸값은 특히 의료 및 금융 서비스와 같은 고위험 산업에서 급격히 상승하는 경향을 보인다.
흘라딕은 “인도만 놓고 보면 평균 랜섬 금액은 480만 달러에 달했으며, 사건의 62%에서 100 달러를 초과하는 요구가 있었다. 이는 공격자들이 지리적 위치, 산업 분야, 그리고 인식된 긴급성에 따라 요구사항을 맞춤형으로 조정하고 있음을 명확히 보여준다”라고 말했다.
복구 일정과 리더십 압력
보고서에 따르면 빠른 복구 필요성이 몸값 지불 결정에 큰 영향을 미친다. 아울러 대응 지연이 공격자가 시스템 통제권을 확대에 결정적인 요인이 된다. 흘라딕은 “많은 산업에서 평균 체류 시간은 여전히 높다. 종종 10일을 초과해 공격자가 방어 시스템을 무력화하고 백업 작업을 중단할 충분한 시간을 확보한다”라고 말했다.
이러한 지연은 특히 다운타임이 규제 조사, 명성 손상, 또는 리더십 변경으로 이어질 수 있는 산업에서 치명적이다. 루브릭 보고서에 따르면 일부 지역에서는 공격 발생 이후 C레벨 임원 교체나 이사회가 사이버 보안 결정에 개입하는 패턴이 드러났다.
신원이 주요 공격 벡터로 부상
이 밖에 보고서는 공격자의 행동 변화도 강조하면서, 신원 침해가 랜섬웨어 사건의 주요 침투 경로로 부상했다고 지적했다. 루브릭의 측정값에 따르면 신원 기반 전략이 전체 침해의 약 80%를 관련성을 가진다. 공격자들은 도난된 자격 증명을 사용하여 접근 권한을 획득하고, 권한을 상승시키며, 하이브리드 환경에서 수평 이동을 수행한다.
이 트렌드는 루브릭 인도 지사 매니징 디렉터인 아시시 굽타의 설명과 일치한다. 그는 신원 시스템, 특히 액티브 디렉토리의 레거시 구현이 주요 공격 대상이 되었다고 강조했다.
굽타는 “인도 대부분의 대기업이 마이크로소프트 액티브 디렉토리에 크게 의존하고 있다. 단순히 인증을 위한 것이 아니라 DNS, DHCP, PKI 등에도 사용되기 때문이다. 이렇듯 깊은 통합은 AD를 필수적 요소로 만들며, 신원 정보 유출이 공격자에게 광범위한 공격 표면을 제공하기 때문에 종종 첫 번째 공격 대상이 된다”라고 말했다.
그에 따르면 전 세계적으로 공격자들은 구형 신원 시스템에 대한 의존성을 악용해 구성 오류와 업데이트 지연을 신속히 탐지하고 공격을 수행하고 있다.
회복 준비를 위한 전략적 전환
루브릭 조사 결과에 따르면, 랜섬웨어 지불액을 줄이는 방법은 단순히 더 많은 도구를 도입하는 것이 아니라 더 나은 준비에 있다. 백업 시스템을 도메인 액세스에서 격리하고, API를 보호하며, 행동 이상 탐지 시스템을 구현하고, 정기적인 위협 기반 복구 훈련을 수행하는 것 등이다.
흘라딕은 “백업 API를 보호하고 권한 상승 경로를 제한해야 한다. 또한 암호화 시작 전에 백업 액세스 행동의 이상을 모니터링해야 한다”라고 말했다.
굽타는 기술적 부채와 더불어 경영진의 마인드셋이 중요하다고 언급했다. 그는 “보안 우선 인프라와 제로 트러스트 원칙에 기반한 소프트웨어에의 투자가 성과를 낳는다는 믿음을 경영진이 가지지 못하기 때문”이라며, ”실제로 이러한 격차가 비즈니스에 존재적 위협을 초래한다”라고 말했다.
두 전문가 모두 장기적 해법은 단순히 새로운 기술의 구매가 아니라 복구 과정에 대한 신뢰를 재건하는 것이라고 강조했다. 이는 불변의 에어갭 백업 구현, API 보안 강화, 백업 액세스에서의 이상 탐지, 그리고 무엇보다도 실제 환경에서의 연습을 통해 복구 과정의 모든 측면을 검증하는 것을 의미한다.
[email protected]
Read More from This Article: 고급 백업 도구 있어도 기업 86%가 랜셈웨어 몸값 지불 중
Source: News