Home » 정의 » 서비스형 랜섬웨어: 사이버 보안에서의 RaaS 이해

서비스형 랜섬웨어: 사이버 보안에서의 RaaS 이해

by

Min Jae Kim
in ,
해커가 랜섬웨어 도구를 배포하는 서비스형 랜섬웨어 플랫폼으로, 잠긴 파일과 함께 대가를 요구합니다.

서비스형 랜섬웨어(RaaS)는 사이버 보안 환경에서 중요한 위협으로 부상했습니다. 이 모델을 사용하면 숙련된 개발자로부터 사전 개발된 랜섬웨어 도구를 대여하여 기술 전문가가 아닌 사이버 범죄자도 정교한 랜섬웨어 공격을 시작할 수 있습니다. 사이버 범죄의 진입 장벽을 낮춰 전 세계 기업과 개인을 대상으로 하는 랜섬웨어 사고가 급증하고 있기 때문에 RaaS를 이해하는 것은 매우 중요합니다. 이 문서에서는 RaaS의 정의, 배경, 의미에 대해 자세히 살펴보며 사이버 보안 영역을 어떻게 형성하고 있는지에 대한 포괄적인 개요를 제공합니다.

서비스형 랜섬웨어(RaaS)란 무엇인가요?

서비스형 랜섬웨어(RaaS)는 사이버 범죄자들이 사용하는 비즈니스 모델로, 랜섬웨어 개발자가 악성 소프트웨어를 유료로 제공하여 다른 범죄자(계열사)가 랜섬웨어 공격을 시작할 수 있도록 합니다. 이 모델은 합법적인 서비스형 소프트웨어(SaaS) 플랫폼과 유사하게 작동하므로 기술 전문 지식이 없는 사람들도 랜섬웨어에 액세스할 수 있습니다. 일반적으로 제휴사는 몸값의 일정 비율을 개발자와 공유합니다. 사이버 보안 커뮤니티에서는 “플랫폼형 랜섬웨어” 및 “RaaS 운영”을 동의어 또는 변형된 용어로 사용합니다. 이러한 사이버 범죄의 민주화로 인해 랜섬웨어는 오늘날 디지털 세계에서 가장 널리 퍼지고 피해를 입히는 위협 중 하나가 되었습니다.

서비스형 랜섬웨어(RaaS)의 배경

랜섬웨어를 만드는 개발자와 대시보드를 통해 공격을 시작하는 제휴사를 보여주는 서비스형 랜섬웨어 계층 구조입니다.

RaaS는 개발자가 랜섬웨어 변종을 만들어 계열사에 대여하는 계층적 구조를 통해 운영됩니다. 종종 기술력이 부족한 이러한 계열사는 제공된 도구와 인프라를 사용하여 피해자를 공격합니다. RaaS 모델에는 일반적으로 사용자 친화적인 대시보드, 암호화된 통신 채널, 단계별 지침과 같은 기능이 포함되어 있어 제휴사가 공격을 쉽게 실행할 수 있습니다. 결제는 일반적으로 익명성을 유지하기 위해 암호화폐로 처리됩니다.

주요 구성 요소

  • 랜섬웨어 개발자: 이러한 개인 또는 그룹은 랜섬웨어를 만들고 유지 관리하며 계열사에 업데이트 및 고객 지원을 제공합니다.
  • 제휴사: 피싱 이메일, 악성 다운로드 또는 소프트웨어의 취약점을 악용하여 대상을 감염시키는 데 랜섬웨어를 사용합니다.
  • 결제 시스템: 암호화폐 지갑은 몸값을 받는 데 사용되며, 개발자와 제휴사 모두의 익명성을 보장합니다.
  • 지원 서비스: RaaS 플랫폼은 연중무휴 24시간 지원, 기술 안내, 피해자와의 협상까지 제공하는 경우가 많습니다.

사이버 보안에서 주목할 만한 RaaS 사례

  • REvil: 이 악명 높은 RaaS 그룹은 수백만 달러의 몸값을 요구하며 기업을 대상으로 한 유명 공격의 주범입니다.
  • 다크사이드: 콜로니얼 파이프라인 공격으로 잘 알려진 다크사이드의 RaaS 플랫폼은 랜섬웨어 캠페인을 시작하기 위한 도구와 지침을 제휴사에 제공했습니다.

서비스형 랜섬웨어(RaaS)의 기원과 역사

연도마일스톤세부 정보
2010s랜섬웨어의 출현크립토락커와 같은 초기 랜섬웨어 공격은 개인과 소규모 기업을 표적으로 삼기 시작했습니다.
2016최초의 RaaS 플랫폼 등장Cerber 및 Petya와 같은 플랫폼은 제휴사에게 랜섬웨어를 대여하는 개념을 도입했습니다.
2017워너크라이 및 낫페트야 공격이러한 전 세계적인 랜섬웨어 발생은 대규모 공격에서 RaaS의 효율성을 강조했습니다.
2019RaaS 모델의 확산다양한 유형의 랜섬웨어를 제휴사에 제공하는 여러 RaaS 플랫폼이 등장했습니다.
2020주요 위협이 된 RaaS팬데믹 기간 동안 원격 근무와 디지털 의존도가 증가하면서 랜섬웨어 공격이 급증했습니다.
2021RaaS 그룹의 유명한 공격 사례콜로니얼 파이프라인과 카세야에 대한 공격은 RaaS 운영이 점점 더 정교해지고 있음을 강조했습니다.
현재진화와 적응RaaS 플랫폼은 이중 탈취 및 데이터 유출과 같은 새로운 기능을 통합하여 계속 발전하고 있습니다.

서비스형 랜섬웨어(RaaS)의 유형

유형설명예제
퓨어 RaaS 플랫폼개발자는 랜섬웨어를 제작하고 결제 처리 및 지원을 포함한 완전한 서비스로 제공합니다.REvil, DarkSide
제휴 모델제휴사는 랜섬웨어에 대한 액세스 비용을 지불하고 몸값의 일정 비율을 받는 반면, 개발자는 일정 비율을 가져갑니다.Dharma, LockBit
맞춤형 RaaS플랫폼은 제휴사가 대상과 필요에 따라 수정할 수 있는 맞춤형 랜섬웨어 키트를 제공합니다.Cerber
번들 서비스RaaS 제공업체는 피싱 키트, 익스플로잇 도구, 데이터 유출 기능과 같은 추가 서비스를 제공합니다.넷워커, 미로

서비스형 랜섬웨어(RaaS)는 어떻게 작동하나요?

플랫폼 액세스부터 랜섬웨어 지불 및 암호 해독에 이르는 서비스형 랜섬웨어의 단계별 흐름.
  1. 액세스: 제휴사는 구독료를 지불하거나 초대를 통해 가입하여 RaaS 플랫폼에 액세스할 수 있습니다.
  2. 배포: 공격자는 피싱, 소프트웨어 취약점 악용, 악성 링크 배포 등 다양한 방법을 사용하여 피해자의 시스템에 랜섬웨어를 배포합니다.
  3. 감염: 랜섬웨어가 배포되면 피해자의 데이터를 암호화하여 액세스할 수 없게 만듭니다.
  4. 몸값 요구: 암호 해독 키의 대가로 암호화폐를 지불하라는 몸값 요구 메시지가 표시됩니다.
  5. 지불 및 암호 해독: 피해자가 대금을 지불하면 제휴사와 개발자가 몸값을 공유하고 복호화 키를 제공합니다.

장단점

장점단점
사이버 범죄자의 진입 장벽이 낮습니다: RaaS 플랫폼을 사용하면 기술 전문 지식 없이도 누구나 쉽게 공격을 시작할 수 있습니다.랜섬웨어 공격 위험 증가: RaaS의 접근성으로 인해 전 세계적으로 랜섬웨어 사고가 급증하고 있습니다.
수익 공유 모델: 제휴사와 개발자 모두 성공적인 공격으로 수익을 얻습니다.피해자 영향: 랜섬웨어 공격은 피해자에게 심각한 재정적 피해와 평판 손상을 초래할 수 있습니다.
익명성: 암호화폐와 익명화 도구는 사이버 범죄자의 신원을 보호합니다.법적 및 윤리적 문제: RaaS 운영은 윤리적 문제를 야기하고 법 집행 기관에 법적 문제를 제기합니다.

서비스형 랜섬웨어(RaaS)의 표적이 되는 기업

식민지 파이프라인

2021년 5월, 미국의 주요 연료 파이프라인 운영사인 콜로니얼 파이프라인은 다크사이드 RaaS 그룹의 표적이 되어 연료 부족과 440만 달러의 비트코인 몸값 지불로 이어졌습니다.

Kaseya

REvil 그룹은 2021년 7월에 카세야를 공격하여 소프트웨어를 손상시키고 전 세계 1,000개 이상의 비즈니스에 영향을 미쳤습니다. 이 공격은 RaaS가 공급망에 미칠 수 있는 연쇄적인 영향을 강조했습니다.

트래블엑스

외환 환전 회사인 트래블엑스는 2020년에 소디노키비 RaaS 그룹의 공격을 받아 시스템 제어권을 되찾기 위해 230만 달러의 몸값을 지불해야 했습니다.

사이버 보안 분야의 RaaS 제공업체

여러 범죄 조직이 서비스형 랜섬웨어 플랫폼을 운영하며 제휴사에 악성 도구와 서비스를 제공합니다. 다음은 가장 악명 높은 RaaS 그룹 중 일부입니다:

리빌(소디노키비)

  • 서비스: 완벽한 랜섬웨어 키트, 결제 인프라 및 협상 지원. 데이터를 암호화하고 유출하겠다고 협박하는 이중 갈취로 유명합니다.
  • 주목할 만한 공격: JBS 푸드, 카세야.

다크사이드

  • 서비스: 사용자 친화적인 대시보드, 사용자 지정 가능한 랜섬웨어, 공개적인 망신을 주기 위한 ‘프레스 센터’를 제공합니다.
  • 주목할 만한 공격: 식민지 파이프라인.

LockBit

  • 서비스: 빠르게 확산되는 랜섬웨어, 계열사에 대한 높은 수익 배분, 암호화에만 집중.
  • 주목할 만한 공격: 의료 및 제조 분야.

Conti

  • 서비스: 데이터 암호화 및 유출, 제휴사를 위한 기술 지원.
  • 주목할 만한 공격: 의료, 교육, 정부 기관

Dharma(CrySIS)

  • 서비스: 간단한 랜섬웨어 키트, 사용자 지정 옵션, 백엔드 지원 없음.
  • 주목할 만한 공격: 다양한 산업 분야에서 소규모 표적 공격이 발생했습니다.

서비스형 랜섬웨어(RaaS)의 애플리케이션

  • 금융 기관: 은행과 금융 서비스는 데이터의 민감한 특성과 거액의 몸값을 지불할 수 있는 능력으로 인해 주요 공격 대상입니다.
  • 헬스케어: 병원과 의료 서비스 제공업체는 운영 및 데이터의 중요한 특성으로 인해 자주 공격의 대상이 되어 왔습니다.
  • 정부 기관: 공공 부문 기관에 대한 RaaS 공격은 필수 서비스를 중단시키고 민감한 정보를 유출할 수 있습니다.
  • 중소기업(SME): 중소기업은 강력한 사이버 보안 방어가 부족한 경우가 많기 때문에 RaaS 공격의 쉬운 표적이 될 수 있습니다.

리소스

Min Jae Kim

김민재(Min Jae Kim)는 테크24의 사이버 보안 분석가로 활동하고 있습니다. 그는 고려대학교 정보보호학과에서 학사 학위를, 카네기 멜런 대학교에서 정보보호 석사 학위를 취득했습니다. 그의 경력은 다음과 같습니다. 2012년부터 2016년까지 한국인터넷진흥원(KISA)에서 보안 전문가로 활동하며 다양한 사이버 보안 프로젝트를 진행했습니다. 이후 2016년부터 2020년까지 맥아피(McAfee)에서 사이버 보안 분석가로 근무하며 주요 보안 위협을 분석하고 대응 전략을 개발했습니다. 2020년부터 현재까지는 테크24에서 사이버 보안 분석가로 활동하며 최신 보안 동향 및 위협 분석 기사를 작성하고 있습니다. 김민재의 전문 분야는 네트워크 보안, 해킹 및 대응 전략, 데이터 보호 및 암호화 기술입니다. 그는 “2020년 최고의 보안 전문가” 상을 한국정보보호학회로부터 수상했으며, 주요 보안 위협 분석 보고서를 작성하고 국내외 보안 컨퍼런스에서 발표한 경험이 있습니다. 그의 비전은 최신 사이버 보안 동향을 독자들에게 제공하고, 기업 및 개인의 보안 인식을 높이는 데 기여하는 것입니다.