서비스형 랜섬웨어(RaaS)란?

서비스형 랜섬웨어(RaaS)를 사용하면 숙련된 공격자와 숙련되지 않은 공격자 모두 랜섬웨어 도구를 임대하여 공격을 실행할 수 있습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 서비스형 랜섬웨어(RaaS)의 정의
  • RaaS 비즈니스 모델 이해
  • RaaS 공격을 방어하는 방법 알아보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

서비스형 랜섬웨어(RaaS)란?

서비스형 랜섬웨어(RaaS)는 누구나 가입하여 랜섬웨어 공격을 수행하기 위한 도구를 사용할 수 있는 범죄 기업의 비즈니스 모델입니다.서비스형 소프트웨어(SaaS) 또는 서비스형 플랫폼(PaaS) 등의 다른 서비스형 모델과 마찬가지로 RaaS 고객은 기존 소프트웨어 배포 모델에서처럼 랜섬웨어 서비스를 소유하는 것이 아니라 임대합니다.

랜섬웨어는 맬웨어로, 보통 암호화를 통해 피해자의 시스템이나 파일을 잠급니다.피해자는 랜섬웨어 공격 배후에 있는 당사자에게 랜섬을 지급해야만 데이터에 대한 액세스 권한을 되찾을 수 있습니다.랜섬웨어는 연간 수십억 달러에 달하는 지하 범죄 세계의 주요 산업이 되었습니다.

많은 사람이 랜섬웨어와 같은 사이버 공격의 배후에 고도로 숙련된 프로그래머가 있다고 생각하지만, 많은 공격자는 코드를 직접 작성하지 않으며 심지어 작성 방법조차 모를 수도 있습니다. 코딩 기술을 갖춘 사이버 범죄자는 자신이 개발한 익스플로잇을 직접 사용하지 않고 판매하거나 대여하는 경우가 많습니다.

랜섬웨어는 "서비스형" 모델을 사용하는 사이버 범죄 산업의 한 분야일 뿐입니다.공격자는 DDoS 도구를 임대하거나, 도난당한 자격 증명 목록에 가입하거나, 봇넷을 고용하거나, 뱅킹 트로이 목마를 임대할 수도 있습니다.

서비스형 랜섬웨어는 어떻게 작동할까요?

RaaS 서비스는 다양한 수익 모델을 사용합니다. 공급자는 월 정액제 구독료를 청구하거나, 고객 수익의 일정 비율을 가져가거나, 이 두 가지 모델을 혼합하여 사용하거나, 일회성 라이선스 요금을 청구할 수 있습니다. RaaS 고객은 계정을 생성하고 첫 결제(보통 비트코인)를 하면 사용하려는 맬웨어 유형을 선택할 수 있습니다.

결제가 완료되면 공격자는 맬웨어를 배포하고 피해자를 감염시키는 캠페인을 시작합니다. 랜섬웨어 공격자는 대부분 피싱 또는 소셜 엔지니어링 캠페인을 사용하여 사용자를 속여 맬웨어를 실행하도록 유도합니다. (이러한 방법은 제로데이 익스플로잇이나 백도어 액세스를 구매하는 것과 비교하면 상당히 저렴합니다.) 맬웨어가 실행되면 피해자의 컴퓨터가 암호화되어 사용할 수 없게 되고, 공격자는 랜섬을 어디로 보내야 하는지에 대한 지침이 포함된 메시지를 표시합니다.

RaaS 공급자는 맬웨어가 제대로 작동하지 않거나 문제가 발생하는 공격자를 위해 연중무휴 24시간 고객 지원을 제공하는 경우가 많습니다. 대부분의 공급자는 고객이 질문하고 아이디어를 교환할 수 있는 커뮤니티 포럼을 운영합니다. 또한 많은 도구의 경우 랜섬웨어 공격을 실행하는 방법에 대한 단계별 가이드가 제공됩니다.

누가 RaaS를 사용할까요?

일부 RaaS 공급자는 소프트웨어를 판매하는 대상에 대해 상당히 까다로운 기준을 적용합니다. 대규모 대상을 공략할 고도로 숙련된 고객을 원할 수 있으며, 이는 서비스에 대한 좋은 홍보가 될 수 있습니다. 특정 언어를 구사하거나 서비스 사용을 시작하고 즉시 랜섬웨어 수익을 창출할 수 있는 능력 등 다른 요구 사항이 있을 수 있습니다.

고객이 대금을 지급하거나 랜섬 형태로 수익을 창출할 수만 있다면 거의 모든 사람에게 서비스를 판매할 수 있는 업체도 있습니다. 일부 고객은 충분히 정교하지 않아 적발될 수 있으므로 RaaS 공급자에게는 약간의 위험이 따릅니다.

최근 몇 년 동안 많은 RaaS 공급자는 고객에게 타겟팅하도록 허용할 수 있는 업종에 대해 더욱 신중을 기하고 있습니다. 예를 들어, 중요한 인프라나 의료 시설에 대한 공격은 사람의 건강에 부정적인 영향을 미치거나 심지어 사망에 이를 수 있으므로 RaaS 이를 공급자가 금지할 수 있습니다. 이러한 극단적인 사건은 RaaS 시장에 대한 과도한 관심을 불러일으키며, RaaS 공급자는 은행 계좌가 아닌 다른 사람의 신체적 건강에도 영향을 미치는 것에 대해서는 도덕적으로 반대할 수 있습니다.

서비스형 랜섬웨어 공격의 예로는 어떤 것이 있을까요?

최근 몇 년 동안 RaaS를 사용하는 공격이 일반화되었습니다. 몇 가지 예를 들어보겠습니다.

  • 다크사이드는 RaaS를 판매하는 랜섬웨어 그룹입니다. 2021년에 있었던 콜로니얼 파이프라인 공격은 다크사이드의 소행으로 밝혀졌습니다.
  • REvil은 RaaS로 판매됩니다. 2021년 IT 제공업체 카세야에 대한 랜섬웨어 공격은 REvil 랜섬웨어를 사용했습니다.
  • Dharma 랜섬웨어는 서비스로 판매되며 2016년부터 수백 건은 아니더라도 수십 건의 공격에 사용되었습니다.

RaaS는 컴퓨터와 인터넷 연결만 있으면 누구나 랜섬웨어 공격을 수행할 수 있는 이 수익성 높은 사이버 범죄의 진입 장벽을 크게 낮추었습니다. 이러한 이유로 RaaS 공격은 앞으로도 계속 확산될 가능성이 높습니다.

범죄자들은 어디에서 서비스형 랜섬웨어를 구매할까요?

클라우드 서비스와 마찬가지로 RaaS 서비스는 인터넷에서 매매됩니다.RaaS는 일반적으로 다크웹의 맬웨어 포럼을 통해 배포됩니다.("다크 웹"은 인터넷의 일부로, 사용자의 위치와 IP 주소를 숨겨주는 Tor 브라우저를 통해서만 액세스할 수 있습니다.)

서비스형 랜섬웨어 공급자는 어떻게 서비스를 마케팅할까요?

RaaS도 다른 산업과 마찬가지로 경쟁이 치열하며 많은 공급자가 공격적으로 서비스를 마케팅합니다. RaaS 공급자는 트위터 계정, 웹 사이트, 동영상 콘텐츠 등의 마케팅 자산을 보유합니다. 이들은 비즈니스를 활성화하기 위해 마케팅 캠페인을 진행하는 경우가 많습니다. 대부분의 RaaS 도구에는 사용자 리뷰와 커뮤니티 포럼도 포함됩니다.

서비스형 랜섬웨어 공격을 방어하는 방법

조직에서는 여러 보안 조치를 통해 서비스형 랜섬웨어 공격과 일반적인 맬웨어 공격 모두로부터 스스로를 방어할 수 있습니다.

  • 사용자 보안 교육: 직원, 계약자, 기타 사용자에게 피싱 공격과 소셜 엔지니어링 공격을 인식하도록 교육하면 RaaS 공격의 성공 가능성을 줄일 수 있습니다.
  • 이메일 보안: 대부분의 랜섬웨어 공격은 감염된 이메일 첨부 파일에서 시작됩니다.이메일에서 맬웨어를 검사하고, 신뢰할 수 없는 출처의 이메일 첨부 파일을 차단하면 공격 벡터를 제거하는 데 도움이 될 수 있습니다.
  • 자주 데이터 백업: 랜섬웨어로 인해 조직에서는 데이터에 액세스할 수 없거나 사용할 수 없게 됩니다.그러나 많은 경우 조직에서는 랜섬을 지급하고 암호를 해독하거나 모든 IT 인프라를 처음부터 다시 구축하는 대신 백업을 이용하여 데이터를 복원할 수 있습니다.

RaaS 공격 방어에 대해 자세히 알아보려면 랜섬웨어 예방 방법을 참조하세요.