일본에서 올해 상반기에 랜섬웨어 공격 발생 건수가 전년 동기대비 약 1.4배가 증가한 것으로 파악됐다. 올해 1월부터 6월까지 국내 기업과 해외 지사를 포함한 일본 기관을 대상으로 한 랜섬웨어 공격 사례는 68건으로 나타났다.

시스코 탈로스(Cisco Talos)의 상세 조사에 따르면 원격 분석, 회사 공식 성명, 뉴스 보도, 랜섬웨어 유출 사이트 등을 통해 수집된 피해 건수는 전년도 48건과 비교했을 때 급격한 증가다.

해외 사이버보안 미디어 GB해커스(GBHackers)에 따르면 일본 기관의 랜섬웨어 피해 건수는 월별 4건~16건, 월 평균 11건 정도로 지속적이고 심화되고 있다. 특히 제조업 분야가 전체의 18.2%로 공격의 가장 큰 비중을 차지하며고 있다. 그 뒤를 이어 자동차(5.7%), 무역, 건설, 운송 분야가 각각 4.6건으로 전년과 동일한 수준을 기록했다.

이러한 패턴은 랜섬웨어 그룹들이 중소기업을 대상으로 지속해서 공격을 집중하고 있음을 보여준다. 특히 중소기업이 피해자의 69%를 차지했으며, 자본금 1억엔 미만이 38%, 자본금 1억~10억엔 사이가 31%를 차지했다. 이는 중소기업이 상대적으로 사이버 보안 조치가 취약하다는 점을 악용하는 것으로 보인다.

특히 지난해와 올해는 ‘킬린(Qilin)’ 랜섬웨어 그룹이 일본인 8명에게 피해를 입히며 가장 많은 피해를 입힌 공격자로 이름을 올렸다. 킬린은 2022년 10월부터 활동을 시작한 글로벌 랜섬웨어 서비스형(RaaS) 모델의 전형적인 사례이며, 그 영향력과 범위를 확대하고 있다.

올해 6월 말에는 카와라커(KaWaLocker) 랜섬웨어 그룹이 새롭게 등장하며 주목받고 있다. 카와라커4096 랜섬웨어는 정교한 기법을 사용해 파일 확장자와 디렉토리 등의 암호화, 프로세스 종료, 테스트를 위한 계산기 실행이나 강제 재부팅 등의 피해를 주고 있다. 또 ‘!!Restore-My-file-Kavva.txt’와 같은 랜섬노트를 남기며 직원 및 고객 기록 등 민감한 정보의 데이터 유출을 암시하고 있다.

GB해커스 측은 “이 랜섬웨어는 10MB 이하 용량의 파일은 전체 파일을 암호화하고, 더 큰 파일은 크기에 따라 64KB 단위로 분할해 암호화한다”며 “지난달 말에 발견된 카와라커 2.0 랜섬웨어는 이메일 연락처가 포함된 업데이트된 랜섬웨어 메시지와 파일 이름 해싱 및 난독화 기능을 도입해 포렌식 작업을 더욱 복잡하게 만들었다”고 분석했다.