[블록체인투데이 한지혜 기자] 블록체인 데이터 플랫폼 기업 체이널리시스(chainalysis, 한국지사장 백용기)는 오늘 가상자산 범죄를 분석한 ‘2022 가상자산 범죄 보고서’의 일부인 ‘랜섬웨어’를 4일 발표했다.
보고서에 따르면, 2021년 랜섬웨어 피해액은 약 6억 200만 달러이며, 우크라이나와 러시아의 충돌 등 지정학적 갈등으로 인한 랜섬웨어도 발생했다.
체이널리시스는 현재까지 파악된 2021년 랜섬웨어 피해액은 약 6억 200만 달러로, 파악되지 않은 피해를 고려하면 더 많은 피해액이 집계될 것이라고 분석했다. 2020년 피해액은 2022년 1월 기준으로 약 6억 9,200만 달러이며, 이는 작년 가상자산 범죄 보고서에서 발표된 금액보다 약 2배 증가한 수치이다.
2021년 가장 많은 피해액을 일으킨 랜섬웨어는 1억 8,000만 달러 이상을 갈취한 콘티(Conti)이며, 그 다음은 콜로니얼 파이프라인(Colonial Pipeline) 송유관을 공격한 다크사이드(DarkSide)다. 2021년 활동한 랜섬웨어 종류는 최소 140개로, 2019년 79개, 2020년 119개보다 증가하여 계속되는 랜섬웨어의 성장세를 확인할 수 있다.
랜섬웨어 피해액 규모는 계속 증가하고 있다. 2021년 평균 랜섬웨어 피해액 규모는 118,000달러로, 2019년 25,000달러, 2020년 88,000달러에서 증가한 수치이다. 이는 랜섬웨어 공격자들이 대규모 조직을 집중 표적 공격(highly-targeted attack)의 대상으로 여기고 있으며, 제 3자가 제공하는 대여용 인프라, 해킹 툴, 도용 데이터 등의 툴을 이용해 공격의 효과를 높였기 때문이다.
또한, 대부분의 랜섬웨어는 피해액을 중앙화 거래소로 보내 자금을 세탁했다. 체이널리시스는 2020년부터 랜섬웨어 주소에서 전송된 자금 중 56%가 가상자산 기업 6곳으로 이동했고, 이를 통해 랜섬웨어의 생태계가 생각보다 작은 수준임을 알 수 있다고 분석했다.
랜섬웨어 공격은 대부분 재정적 동기에 의해 발생하지만, 지정학적 목적을 가진 공격도 있다. 이는 기만, 간첩 행위, 명예훼손, 적국 정보의 국정운영 교란에 초점을 맞춘 랜섬웨어 공격이다. 체이널리시스는 작년 한 해 동안 이란과 연루된 랜섬웨어의 수가 크게 증가했다고 분석했다. 또한 지난 1월 러시아 정부와 연계된 해커들이 우크라이나 정부 기관을 상대로한 랜섬웨어 공격을 통해서도 지정학적 목적을 가진 랜섬웨어 공격을 확인할 수 있다.
한편, 체이널리시스는 2021년 랜섬웨어의 평균 활동 기간이 급격히 줄었고, 그 이유 중 하나로 리브랜딩을 분석했다. 리브랜딩은 랜섬웨어 공격자들이 운영을 공개적으로 중단한 후 새로운 이름으로 다시 운영하는 것을 의미한다. 특히 러시아를 기반으로 한 사이버범죄 조직인 에빌 코프(Evil Corp)는 피닉스 크립토락커(Phoenix Cryptolocker), 그리프(Grief) 등 많은 랜섬웨어를 리브랜딩했다.
백용기 체이널리시스 한국 지사장은 “랜섬웨어는 가장 역동적이면서 끊임없이 변화하는 가상자산 기반 범죄”라며, “법집행기관과 사이버보안 전문가들은 모네로(Monero)같은 다크코인이나 프라이버시 강화 기능을 갖춘 다른 프로토콜과 연계된 자산을 요구하는 랜섬웨어를 계속 주시해야 하고, 상황에 맞춰 수사 방식을 바꿔야 한다”고 전했다.
hjh@blockchaintoday.co.kr
