Story of H1 2023: Statistical Insights into Ransomware Trends and Impact on Victims (Korean ver.)

Author: Kyunghee Kim & Jiho Kim & Huiseong Yang | S2W TALON

Last Modified : Aug 11, 2023

Photo by Алекс Арцибашев on Unsplash

Executive Summary

• 본 보고서는 2023년 상반기 (2023–01–01 ~ 2023–06–30)에 발생한 랜섬웨어 그룹 활동을 분석함.
• 분석 대상은 랜섬웨어 Leak 사이트가 있는 랜섬웨어 그룹과 랜섬웨어 Leak 사이트에 업로드된 피해 기업 및 기관임.
• 2023년 상반기에는 1,846개의 기업의 랜섬웨어 감염 사실이 Leak 사이트에 게시됨.

— 지난 2022년 상반기 (2022–01–01 ~ 2022–06–30) 대비 총 피해 기업 수가 608개 증가함.

• 2023년 상반기 활동한 랜섬웨어 그룹은 총 46개이며, 평균 약 40개의 기업을 공격함.
• 2023년 상반기 신규 및 변경된 Leak 사이트는 25개이며, 평균 약 13개의 기업을 공격함.
• 2023년 상반기 랜섬웨어 그룹이 공격한 기업 중 대기업이 9.1%를 차지하였고 2022년 상반기에 비하여 대기업 타겟 비율 높아졌음.
• 2023년 상반기에 랜섬웨어 피해 국가 Top 10을 선별하였고, 가장 큰 피해를 입은 국가는 미국임.

— 2022년 상반기 대비 2023년 피해가 증가한 국가는 아메리카 대륙에 포함된 경우가 많았으며 피해가 가장 증가한 국가는 미국임.

— 2022년 대비 2023년 피해가 감소한 국가는 유럽과 아시아 대륙에 포함되었으며 피해가 가장 감소한 국가는 이탈리아임.

• 2023년 상반기에 랜섬웨어 피해 산업군 Top 10을 선별하였고, 2023년 가장 큰 피해를 입은 산업은 제조업임.

— 2022년 상반기 대비 2023년 피해가 증가한 산업군은 제조업, 보건업, 교육업 등이 상위에 랭킹되며 보안에 취약한 산업군에 대한 공격이 증가함.

— 산업군 중 정부 기관 피해는 43건 확인되었으며, 2022년도 대비 정부 기관 피해 수가 증가함.

• 해당 보고서를 통해 가시적인 통계 분석 결과를 제공하며 랜섬웨어 그룹들의 최근 공격에 대한 이해를 높이고 랜섬웨어 그룹 대응 방안 수립과 새로운 보안 기술 발전에 기여할 수 있기를 기대함.
• 랜섬웨어 그룹에 대한 이해 및 상세 이슈는 랜섬웨어 동향 보고서 Part 2에서 확인할 수 있음.

Statistics of victims attacked by ransomware group

1. Overall ransomware group activity in H1 2023

2023년 상반기동안 랜섬웨어 그룹의 공격으로 인해 피해를 입은 1,846개 기업이 관찰되었다. 이는 작년 상반기 랜섬웨어 공격으로 인해 피해를 입은 기업 1,238개 보다 608개 증가한 수치이다. 그림 1에 따르면 1월부터 6월까지 월별로 나눈 모든 구간에서 2022년 상반기보다 2023년 상반기에 랜섬웨어 활동 빈도가 더 높았으며, 월 평균 피해 기업 수도 약 101개 증가했다.

그림 1. 2022년 상반기 대비 2023년 월별 활동량

Leak 사이트를 운영하고 있는 랜섬웨어 그룹들을 대상으로 분석한 결과, 2023년 상반기 활동한 랜섬웨어 그룹은 총 46개이며 평균적으로 약 40개의 기업을 공격하였다. 가장 활발히 공격 활동을 한 Top 10 랜섬웨어 그룹이 2023년 상반기 전체 랜섬웨어 공격의 78.3%를 차지하였으며, 구체적인 수치는 표 1과 그림 2에서 확인할 수 있다.

• 공격 활동량 Top 10 랜섬웨어 그룹들은 평균 145개의 기업에 대한 공격을 수행했다.
• 공격 활동량 Top 10 랜섬웨어 그룹들을 제외한 36개의 랜섬웨어 그룹들은 평균 약 11개의 기업에 대한 공격을 수행했다.
• 공격 활동량 Top 10 랜섬웨어 그룹들은 Top 10에 속하지 못한 그룹들의 평균 공격량에 비해 약 13배 높아 공격 활동량에 격차가 컸다.

그림 2. 2023년 활동한 Ransomware 그룹 별 공격량 그래프

표 1. Top 10 Ransomware 그룹 공격량 표

2. Activity of new ransomware groups

2023년 상반기에 신규 및 주소가 변경된 Leak 사이트는 25개로 확인되었다. 새롭게 발견된 Leak 사이트는 22 개이고, 주소가 변경된 Leak 사이트 3개이다. 이와 별개로 운영이 중단된 Leak 사이트 1개도 확인되었다.

2023년 상반기에 Leak가 새롭게 발견된 22개의 랜섬웨어 그룹의 활동량은 총 280 건이며, 평균적으로 약 13건의 활동량을 보인다. 따라서 1절에서 살펴본 전체 랜섬웨어 그룹 평균 활동량 40건에 비해 신규 랜섬웨어 그룹의 활동은 0.3배로 적었다.

반면, Medusa, AKIRA와 8Base 랜섬웨어 그룹은 신규 랜섬웨어 평균 활동량 13건의 3배 이상의 활동을 하며, 2023년 신규 랜섬웨어 그룹 중 큰 차이로 2023년 랜섬웨어 활동량 Top 10 에 포함된다.

• Medusa 랜섬웨어는 2023년 상반기 70건의 공격 활동을 펼치며 신규 랜섬웨어 중 가장 많은 활동량을 보였다. 2023년 2월에 발견된 Medusa 랜섬웨어 그룹의 Leak 사이트는 2021년 2월부터 운영되던 MedusaLocker 랜섬웨어의 Leak 사이트와 다르며, 두 그룹이 사용하는 랜섬웨어가 다르다는 점에서 다른 그룹으로 구분하고 있다.
• 2023년 상반기 54건의 공격을 수행한 AKIRA 랜섬웨어 그룹은 2023년 4월 초에 발견 되었으며, Leak 사이트에 명령어 기반 CLI 형식으로 피해 기업 목록 및 공지 등을 제공한다.
• 2023년 상반기 44건의 공격을 수행한 8Base 랜섬웨어 그룹은 2023년 5월 말에 Leak 사이트가 최초로 발견 되었으며, 해외 보안 팀인 VX-Underground은 8Base 랜섬웨어 그룹이 몇 달 안에 랜섬웨어 업계의 큰손이 될 것이라고 언급하였다.

그림 3. 2023년 상반기 신규 랜섬웨어 그룹 활동량 그래프

3. Targeted Victim Enterprises Size

3 절에서는 랜섬웨어 공격으로 인한 피해 기업들의 규모를 조사 및 분석하였다. 기업의 규모는 수익에 따라 분류하였으며, 가트너(Gartner)에서 정의한 수익에 따른 기업 분류 기준을 참고하였다.

그림 4. 가트너 (Gartner)에서 정의한 Revenue에 따른 기업 분류 기준

2023년 상반기 랜섬웨어 그룹에 의해 피해를 입은 기업은 소기업 937건, 중견기업 469건, 대기업 140건 순으로 높았고 대외적으로 수익 규모를 공개하지 않은 기업은 300건으로 확인되었다. 따라서 2023년 상반기 기업 규모가 알려진 피해 기업 중 소기업+중견기업이 90.9%, 대기업이 9.1%로 구성된다.

2022년 상반기 피해 기업 규모도 소기업이 468건으로 가장 높고, 중견기업 223건, 대기업 60건 순으로 높았으며 대외적으로 수익 규모를 공개하지 않은 기업은 487건으로 확인되었다. 따라서 기업 규모가 알려진 피해 기업 중 소기업+중견기업이 92.0%, 대기업이 8.0% 로 구성된다.

그림 5. 상반기 수익에 따른 기업 분류 Radar Chart (좌-2022년, 우-2023년)

표 2 확인 결과, 전체 피해 기업 대상으로 2022년보다 2023년 상반기에 대기업 타겟 비율이 높아졌다. 단, 랜섬머니 지불 능력이 충분하고, 중요한 정보들을 다량 보유한 대기업일수록 Leak 사이트에 업로드 전에 랜섬머니를 지불하였을 가능성도 존재한다. 이 경우 아래 수치에 차이가 있을 수 있으며 특히 대기업의 비율이 표 2보다 더 높았을 가능성이 있다.

표 2. 2022년과 2023년 상반기 타겟 기업 분류 빈도표

반면 2022년과 2023년 상반기 기존 랜섬웨어 그룹과 신규 랜섬웨어 그룹 간 타겟 대상을 비교한 결과, 기존 랜섬웨어 그룹은 대기업을 타겟하는 경향이 보였으나, 신규 랜섬웨어 그룹은 비교적 소기업 및 중견기업 타겟하는 경향이 돋보였다.

• 2023년 상반기 이전부터 활동한 기존 랜섬웨어 그룹 중 LockBit은 총 508건 공격 중 대기업을 32건, CLOP은 총 193건 공격 중 대기업 43건, BlackCat은 총 204건 공격 중 대기업은 17건이 포함된다.
• 반면, 2023년 상반기 신규 랜섬웨어 그룹인 Medusa는 총 69건 중 대기업을 2건, 8Base 는 총 44건 공격 중 대기업 0건, Rhysida는 총 18건 공격 중 대기업 0건 포함되는 등 대기업 공격 비중이 현저히 낮거나 없고, 중소기업을 주로 공격하는 경향이 확인된다.

4. Targeted Victim Country

4.1. Top 10 Targeted Victim Countries

Top 10 랜섬웨어 피해 국가가 전체 피해 기업 국가의 72.6%를 차지한다. Top 10 피해 국가에는 유럽 대륙 4개국, 아메리카 대륙 3개국, 오세아니아 1개국, 아시아 1개국이 포함되어 있어 유럽과 아메리카 대륙의 국가들이 랜섬웨어로 인한 피해 빈도가 높았다. 위 10개의 국가들은 모두 GDP 기준으로 1위부터 14위 이하의 랭킹을 차지하고 있었다. 따라서 2023년 상반기, 국가 경제력이 상위에 랭킹된 국가들을 표적으로 많은 랜섬웨어 공격이 수행되었다.

표 3. Ransomware 피해 국가 TOP 10

그림 6. Ransomware 피해 국가 TOP 10 그래프

4.2. Top 10 Countries with increased target count compared to H1 2022

2022년 상반기 대비 2023년 상반기에 랜섬웨어 피해 건 수가 가장 증가한 국가는 미국이었으며, 이외에도 랜섬웨어 피해 건 수가 증가한 나라 Top 10을 표 4에서 확인할 수 있다.

• 표 3의 2023년 상반기 피해량 상위 3위 국가인 미국, 캐나다 그리고 영국은 표 4의 랜섬웨어 피해 증가 수 Top 3에도 해당된다.

표 4. Ransomware 피해 감소 국가 TOP 10

그림 7. Ransomware 피해 증가 국가 TOP 10 그래프

4.3. Top 10 Countries with reduced target count compared to H1 2022

2022년 상반기 대비 2023년 상반기에 랜섬웨어 피해 건 수가 가장 감소한 국가는 이탈리아였으며, 이외에도 랜섬웨어 피해 건 수가 감소한 나라 Top 10을 표 5에서 확인할 수 있다. Top 10 피해 감소 국가는 유럽 대륙 6개국, 아시아 대륙 4개국으로 유럽과 아시아 대륙의 국가들의 랜섬웨어 피해가 지난해 대비 크게 감소했다. 랜섬웨어 피해 건 수가 가장 감소한 이탈리아의 경우, 2023년에 다음의 사이버 보안 지원 항목이 추가되었다.

• (2023–01–20) 사이버 공격을 방지하기 위한 공동 조치에 대한 협력을 포함하는 ACN (이탈리아 국가 사이버 보안청)과 Cisco Italy 간의 양해 각서 수립했다.
• (2023–01–25) ACN과 CERTFin(이탈리아 금융 부문의 컴퓨터 비상 대응 팀) 간의 양해 각서를 수립했다.
• (2023–02–02) 사이버 위험에 대한 정보 공유를 목표로 하는 프로그램을 구현하기 위해 ACN과 Amazon Web Services 간의 협업 플랫폼 출시했다.

표 5. Ransomware 피해 감소 국가 TOP 10

그림 8. Ransomware 피해 감소 국가 TOP 10 그래프

5. Targeted Victim Industry

5.1. Top 10 Targeted Industries

피해 산업군 Top 10이 전체 피해 업종의 73.7%을 차지하며, 가장 많은 피해를 입은 산업군은 제조업으로 전체 피해기업 중 18.8% 에 해당된다. 제조업은 다음과 같은 요소들이 랜섬웨어 그룹들에 의해 고려될 수 있다.

• 제조업은 랜섬웨어 공격으로 인한 피해가 제조 공정에서 상당한 중단 시간으로 이어져 생산 지연, 공급망 중단으로 인한 큰 재정적 손실을 초래할 수 있다. IBM Security 에서 밝힌 내용에 따르면, 랜섬웨어 그룹은 제조업이 생산 중단을 최소화하기 위해 신속하게 복구 비용을 지불할 가능성이 더 높다고 인식할 수 있다고 주장하였다.
• Btgleagal 에서 조사한 내용도 함께 확인하였을 때, 제조업계에서 활용하는 시스템과 장비들에 대한 보호 조치 및 보안 업데이트에 대한 인식이 비교적 낮다고 밝혀 이를 통해 공격자가 무단 액세스 권한을 얻고 랜섬웨어를 배포하기 위해 악용할 수 있는 취약점이 발견될 수 있다고 언급하였다.

피해 산업군 Top 10에는 IBIS 에서 조사한 2023년 수익 규모가 큰 산업군 Top 10이 5개 해당되어 랜섬웨어 그룹은 수익 규모가 큰 산업군을 타겟하는 경향이 있었다.

표 6. Ransomware 피해 산업 TOP 10 (노란색: 수익 규모 Top 10 산업군)

5.2. Targeted governments in H1 2023

2022년 상반기 랜섬웨어 정부 공격 건 수는 10건으로 비교적 적은 수치를 보였으나 2023년 상반기에는 피해 수가 33건 증가한 총 43건의 정부 기관에 대한 공격이 수행되었다. 정부 기관이 랜섬웨어 공격을 당할 경우 시의회 및 주요 사회 인프라 서비스에 장기적인 중단 시간을 유발할 수 있어 랜섬웨어 공격으로 인한 영향이 막대하다. 2022년 4월 17일 Conti 랜섬웨어 그룹의 Costa Rica 국가에 대한 공격 사례를 살펴보면 정부 기관의 내부 데이터는 시민의 정보 뿐 아니라, 국가 기밀 문서들이 유출될 수 있어 랜섬웨어 피해 범위가 확장될 위험이 있었다.

• Comparitech 기업에서 발표한 기사에 따르면 지난 2022년 정부 기관의 평균 랜섬웨어 피해금액은 최초 $1M 를 돌파해 정부 기관에 대한 랜섬웨어 복구 비용이 올랐다고 밝혀 대다수의 랜섬웨어 그룹 활동 목적인 랜섬 머니 확보도 가능했을 것으로 추정된다.

2023년 상반기 43개의 정부 기관을 대상으로 랜섬웨어 활동을 펼친 랜섬웨어 그룹은 13개며, 그중에서도 LockBit 랜섬웨어가 18건으로 정부 대상 공격 활동을 가장 많이 수행했다.

• 위 13개 랜섬웨어 그룹들은 전체 랜섬웨어 활동 25위 이내에 랭킹되며 2023년에 최소 9회 이상 랜섬웨어 공격 활동을 보였다는 공통점이 있다.

2023년 피해 국가 Top 10 에 포함되었던 미국, 호주, 이탈리아, 인도 그리고 프랑스 총 5개 국가들에 대한 정부기관 피해가 관찰되었다. 2023년 최빈 피해 국가였던 미국은 정부기관 피해도 17건으로 가장 높았다. 반면, 2023년 피해 국가 Top 10 통계에 포함되지 않은 18개의 국가도 관찰되었다.

• 정부 기관 피해를 입은 국가 중 2023 피해 국가 Top 10에 포함된 위 5개국은 세계 GDP 1위부터 13위까지로 GDP가 상위에 랭킹되어 있는 반면, 이외 18개국은 GDP 14위부터 81위까지 GDP 가 비교적 낮은 국가에 속한다.
• 4.1절을 참고하였을 때, 보편적으로 GDP가 높은 국가를 타겟으로 랜섬웨어 공격이 수행되지만 정부기관을 대상 랜섬웨어 공격은 GDP가 낮은 국가들을 타겟하는 경우도 발생했다.

표 7. Ransomware 정부기관이 피해입은 국가 TOP 10

5.3. Additional Trends from the Perspective of targeted Industries

작년 대비 피해량이 증가한 산업권 Top 10 에서 제조업이 가장 증가하였고, 이후 보건과 교육업권의 증가가 뒤를 이었다. 랜섬웨어 그룹의 보건과 교육업권에 대한 공격량 증가는 보안에 취약한 산업권을 타겟하는 빈도가 증가하였음을 나타낸다. 더 나아가, 이와 같은 산업군에 공격을 수행한 후 랜섬 머니를 받지 못하더라도 탈취한 데이터들을 판매하며 추가 수익을 창출할 수 있다.

표 8. 2022년 대비 2023년 Ransomware 피해 증가 산업 TOP 10

기존과 신규 랜섬웨어 그룹이 타겟한 업권에서 몇가지 특이한 사례도 확인되었다.

• 기존 랜섬웨어 그룹 사례 1: LockBit 은 자신의 공식 릭사이트에 사회 공급망 및 주요 의료 시설에 대한 공격 등을 금지하며 랜섬 대상에 대한 기준을 공지글로 올려 자체적인 윤리 기준으로 공격 대상을 선별한다.

그림 9. 기존 LockBit 랜섬웨어 공식 사이트 공지 글 일부 발췌

• 기존 랜섬웨어 그룹 사례 2: LockBit 은 캐나다에 위치한 아이들에게 의료 서비스를 제공하는 병원 SickKids에 랜섬웨어 공격을 성공해 시스템 암호화에 성공하였으나, 의료 진단과 치료에 대한 지연을 유발한 점을 인지하여 병원 공격에 대한 사과와 함께 암호 해독기를 무료로 제공했다.

그림 10. 기존 LockBit 랜섬웨어 공격 사과글 (출처: BleepingComputer)

• 신규 랜섬웨어 그룹 사례: Rhysida 는 미국에 위치한 Hollywood forever 장례업 사이트를 공격하여, 공격 대상에 대한 경각심이나 윤리적 죄책감을 보이지 않은 사례가 확인된다.

그림 11. 신규 Rhysida 랜섬웨어 공격 사례

랜섬웨어 공격 대상 선별에 대해 자체적인 기준이 있었던 기존 랜섬웨어 그룹과 대비되게, 신규 랜섬웨어 그룹의 경우 공동묘지 관리 사이트 등을 공격하는 등 공격 대상 선별에 윤리적인 요소를 고려하는 등의 기준이 확인되지 않고, 오직 금전을 목적으로 활동하는 것으로 추정된다. 이는 기존 대형 랜섬웨어 그룹과의 경쟁에서 밀리지 않고 수익을 확보하기 위한 이들의 전략일 가능성이 높다.

Conclusion

• 2023년 상반기 랜섬웨어 피해량이 지난해 상반기 대비 증가하였으며, 신규 랜섬웨어 그룹도 20개 이상 등장하는등 2023년에도 랜섬웨어 공격이 활발하게 수행되고 있음.
• 2023년 랜섬웨어 피해 수가 가장 큰 국가는 미국인 동시에 2022년 대비 피해 수가 가장 증가한 국가도 미국이었음.
• 랜섬웨어 피해 수가 가장 감소한 국가는 이탈리아로 2023년 사이버 보안 관련 조치가 추가된 사례를 살펴보았음.
• 피해 기업 분석을 통해 신규 랜섬웨어 그룹과 기존 랜섬웨어 그룹 간 타겟별 특징이 확인되었고, 기존 랜섬웨어 그룹보다 신규 랜섬웨어 그룹이 중소기업을 타겟하는 비율이 높았으며 타겟 선정에 기준이 확인되지 않고, 무차별적 공격을 시도하는 경향이 있음.

— 신규 랜섬웨어 그룹들은 공격 성공 가능성이 높은 기업을 대상으로, 랜섬머니를 얻을 목적으로 공격을 수행하는 것으로 추정됨.

• 정부 기관에 대한 랜섬웨어 활동도 증가하였는데, 정부 대상으로 공격을 수행한 랜섬웨어 그룹들은 모두 이번 상반기 9회 이상 랜섬웨어 활동을 펼치며 일정 수준 이상 활동 경험이 있는 그룹들이었음.
• 이와 같이 랜섬웨어 공격은 지속적으로 증가하고 진화하고 있으며, 기업과 개인 모두에게 심각한 위협으로 작용하고 있음.
• 기업들은 보안 강화와 백업 시스템의 중요성 인지해야하며, 보안 업계와 기업들 간의 긴밀한 협력과 최신 보안 기술의 적극적인 도입이 필수적임.

P.S. 이 리포트가 작성되기 위해 데이터 수집 및 가공에 도움을 주신 Data · Infra 팀과 Knowledge Engineering 팀에게 감사의 인사를 전합니다.

• Homepage: https://s2w.inc
• Facebook: https://www.facebook.com/S2WLAB
• Twitter: https://twitter.com/S2W_Official