REvil 랜섬웨어란 무엇인가요?

REvil이란 ‘서비스형 랜섬웨어(ransomeware-as-a-service)’를 제공하는 조직의 이름으로, REvil은 강력한 랜섬웨어를 개발하고 다크 웹에서 판매하고 있습니다. 이러한 랜섬웨어를 REvil 랜섬웨어(REvil ransomware)라고 하며, 주로 해커가 사이버 공격을 수행하는 데 사용되고 있습니다.

REvil은 다른 해커에게 강력한 랜섬웨어와 지원을 제공하는 대신 랜섬웨어로 얻은 수익의 40%를 요구하고 있습니다. 또한 조사 결과 랜섬웨어에 백도어를 설치해 피해자가 공격을 수행한 해커 대신 REvil 측에 직접 비용을 지불하도록 유도하는 것으로 나타났습니다.

일부 보고서에서는 2022년 초 러시아 연방보안국이 REvil 조직을 검거했다고 설명하고 있으며, 많은 애널리스트는 REvil 랜섬웨어를 관리하는 조직이 러시아인으로 구성된 러시아 기반 조직이라고 판단하고 있습니다. 그러나 러시아에서 검거된 조직은 REvil의 하위 조직에 불과할 가능성이 높습니다. 검거 이후 글로벌 공격 빈도가 줄어들기는 했지만 REvil 랜섬웨어 공격은 지속되고 있기 때문입니다.

REvil 랜섬웨어는 대부분의 랜섬웨어와 비슷한 방식으로 공격을 진행합니다. REvil 랜섬웨어는 피해자의 장치에서 해커만이 알 수 있는 키로 파일을 암호화합니다. 그리고 피해자에게 파일을 복구하기 위한 비용을 요구하게 됩니다.

REvil과 워너크라이 등의 랜섬웨어는 피싱 이메일 등을 통해 전파되며, 감염된 장치에서 이메일, 마이크로소프트 오피스 프로그램, 브라우저, 백업 프로그램 등의 프로세스를 강제로 종료합니다. 또한 파일 복구가 불가능하도록 윈도우 파일 복사본도 제거합니다.

REvil 랜섬웨어는 대부분의 측면에서 일반 랜섬웨어와 유사하지만, 다른 랜섬웨어와 차별화되는 차이점도 존재합니다. REvil 랜섬웨어의 특징 2가지는 다음과 같습니다.

유명인 및 유명 기업 공격

REvil 및 관련 조직은 유명인과 유명 기업을 공격한 후 파일 복구를 대가로 막대한 금액을 수령한 것으로 나타났습니다. REvil이 공격한 유명인과 유명 기업의 예시는 다음과 같습니다.

• 레이디 가가
• 도널드 트럼프 대통령이 이용하던 로펌
• 에이서
• 애플
• JBS(미국 육류 생산 업체로 REvil에 1,100만 달러의 파일 복구 비용을 지불)
• 카세야(비즈니스 서비스 공급 업체로 랜섬웨어 공격으로 인해 수천 개의 회사가 영향을 받음)
• HX5(미국 육군, 해군, 공군, 항공 우주국(NASA)의 항공 우주 및 국방 기술 계약 업체)

위의 목록 외에도 많은 기업과 개인이 REvil 랜섬웨어로 인해 피해를 입었습니다.

높은 공격 성공률

REvil 랜섬웨어의 또 다른 특징은 공격 성공률이 상당히 높다는 것입니다. 다른 서비스형 랜섬웨어와 마찬가지로 REvil 랜섬웨어도 대상에 따라 공격 방식을 달리하거나 복잡한 공격을 수행해 공격 성공률을 높이고 있습니다.

REvil 랜섬웨어 공격이 중단되었는지는 확실하지 않습니다. 그러나 다수의 핵심 조직원이 국제 수사 기관에 체포됨에 따라 REvil 랜섬웨어 공격 빈도가 감소했습니다. REvil랜섬웨어 공격을 방지하기 위한 노력은 다음과 같습니다.

• 2021년 9월: 비트디펜더가 REvil 랜섬웨어 공격을 받은 회사가 비용을 지불하지 않고 파일의 암호화를 해제할 수 있도록 암호 해독 키를 공개했습니다.
• 2021년 10월: 여러 국가의 합동 공격으로 REvil의 서버와 백업 서버를 중단시켰습니다.
• 2021년 11월: 국제 수사 기관이 REvil 및 유사 랜섬웨어 조직과 관련자 7명을 검거했습니다.
• 2022년 1월: 러시아 사법 당국이 REvil 조직원을 검거하고 자산을 압수했습니다.

또한 조사에 따르면 REvil뿐만 아니라 다른 랜섬웨어 및 해킹 조직의 활동도 감소한 것으로, 국제 수사 기관의 추적을 우려해 탈퇴한 핵심 조직원도 다수인 것으로 알려졌습니다.

REvil 랜섬웨어 공격을 방지하기 위한 노력이 계속되고 있지만, 이스트시큐리티의 국내외 보안 동향 기사에 따르면 2022년 5월 REvil랜섬웨어의 활동이 재개된 것으로 나타났습니다. 기사에 따르면 REvil의 토르 인프라가 다시 작동하기 시작했으며, 웹사이트에 신규 피해자 데이터가 게시되어 있는 것으로 나타났습니다.

REvil 랜섬웨어의 활동이 재개되었다는 의혹은 2022년 5월 AVAST 연구원이 신규 랜섬웨어 샘플과 REvil 랜섬웨어 해독기를 발견하면서 사실로 밝혀졌습니다. 연구원에 따르면 REvil 샘플이 소스코드를 통해 컴파일되었으며 신규 변경 사항이 발견된 것으로 나타났습니다.

위협 인텔리전스 연구 기관 펠로우시큐리티(FellowSecurity)에 따르면 REvil 랜섬웨어 활동을 재개한 인물은 REvil의 기존 핵심 개발자 중 한 명인 것으로 밝혀졌으며, 펠로우시큐리티는 해당 인물이 REvil의 전체 소스코드 및 토르 개인 키에 접근이 가능한 것으로 추측하고 있습니다.

REvil 랜섬웨어의 활동이 재개됨에 따라 랜섬웨어로 인한 피해가 증가할 것으로 예상되고 있습니다. 랜섬웨어를 방지하는 데 도움이 되는 팁은 다음과 같습니다.

모르는 링크나 첨부파일 클릭하지 않기

랜섬웨어 공격을 방지하려면 이메일이나 메시지에 포함된 링크나 첨부파일을 클릭하지 않는 것이 좋습니다. 특히 모르는 사람이 보낸 이메일이나 메시지에는 랜섬웨어 등의 멀웨어가 포함되어 있을 가능성이 높으므로 주의해야 합니다.

백업 설정하기

랜섬웨어 공격이 발생하면 파일 백업과 복구가 거의 불가능합니다. 따라서 클라우드 스토리지나 외장 하드에 주기적으로 파일을 백업해 랜섬웨어 공격이 발생했을 때 중요 파일을 복구할 수 있도록 해야 합니다.

보안 소프트웨어 업데이트하기

랜섬웨어 등의 멀웨어 공격을 방지하려면 보안 소프트웨어를 설치하고 최신 상태로 업데이트해야 합니다. 고성능 보안 소프트웨어를 이용하면 랜섬웨어가 포함된 링크를 클릭하거나 악성 파일을 다운로드하는 일을 방지할 수 있습니다.

또한 VPN을 사용하는 것도 랜섬웨어를 방지하는 데 도움이 될 수 있습니다. VPN을 사용하면 실제 IP 주소를 가상 IP 주소로 대체할 수 있으며, 이를 통해 개인 정보가 유추되어 랜섬웨어 공격의 표적이 되는 일을 방지할 수 있습니다.

랜섬웨어 공격은 사전에 방지하는 것이 중요합니다. 하지만 모든 보안 조치를 취하더라도 랜섬웨어에 감염될 가능성은 있습니다. 랜섬웨어에 감염되었을 때는 다음과 같이 조치해야 합니다.

장치 포맷하기

먼저 랜섬웨어에 감염되었다면 장치를 포맷해 랜섬웨어를 제거해야 합니다. 클라우드 스토리지나 외장 하드에 파일을 백업해 두었다면 장치를 포맷한 후 백업 파일을 통해 복구 비용을 지불하지 않고도 파일을 복구할 수 있습니다. 다만 백업 파일이 존재하지 않는 경우에는 랜섬웨어와 함께 모든 파일도 삭제될 수 있다는 사실에 유의해야 합니다.

경찰에 신고하기

랜섬웨어에 감염되었다면 즉시 경찰에 신고해 피해를 최소화할 방법을 찾아야 합니다. 특히 최신 랜섬웨어에 감염되었다면 신고를 통해 다른 사람에게 유사한 피해가 발생하지 않도록 하는 것이 중요합니다.