💥 메두사 랜섬웨어의 변신: 서비스형 랜섬웨어(RaaS)로 기업을 노린다

📌 TL;DR: Medusa, RaaS로 전환하며 공격 43%↑

2024년 중반, 악명 높은 랜섬웨어 그룹 Medusa가 눈에 띄는 변화를 시도했습니다.
그간 폐쇄적인 내부 운영 방식에서 벗어나, 이제는 RaaS(Ransomware-as-a-Service) 모델로 전환하며
외부의 공격자(어필리에이트)들과 협업하기 시작한 것이죠.
이 변화 이후 Medusa는 공격 횟수와 영향력을 급격히 확대하며,
전 세계 수백 개 조직을 위협하고 있습니다.

---

🧬 Medusa, 어떻게 변했나?

2024년 8월을 기점으로 Medusa는 소규모 기업 대상 공격에서 대기업 및 핵심 인프라 대상으로 전환하기 시작했어요.
의료, 제조, 공공기관 등 주요 산업을 타깃으로 삼으며 파괴적인 영향을 미치고 있습니다.

Huntress의 사이버 위협 분석가 Greg Linares는 이렇게 말했습니다.

“Medusa는 이제 단순한 중소기업 공격 그룹이 아닙니다. 더 큰 물고기를 노리고 있고, 실제로 성과도 내고 있습니다.”

---

📈 공격 급증: 2024년 대비 43% 증가

Broadcom과 Symantec의 데이터에 따르면, 2024년 Medusa 관련 공격은 전년 대비 43% 증가했습니다.
2025년에도 공격은 이미 2배 이상 급증할 것으로 보입니다.

이는 LockBit, Noberus 등 기존 RaaS 그룹이 해체되거나 약화되면서 Medusa가
'공격 시장의 공백'을 채우고 있는 것으로 분석됩니다.

---

💼 RaaS 모델의 무서운 효율성

RaaS 전환의 핵심 장점은 공격 인프라의 분산입니다.
Medusa는 직접 공격하지 않고, 다음과 같은 방식으로 외주화합니다.

• 초기 침투: 어필리에이트가 수행
• 악성코드 배포: Medusa가 제공한 툴 사용
• 랜섬 노트 및 협상: Medusa의 중앙 서버 활용
• 수익 분배: 일정 비율로 어필리에이트와 나눔

이러한 구조는 Medusa의 운영 비용을 줄이면서도 공격 규모는 확대할 수 있게 만들었어요.

---

🧪 고도화된 침투 기법: BYOVD 공격까지

Medusa는 단순히 시스템에 랜섬웨어를 심는 것을 넘어, 정교한 보안 회피 기법도 사용합니다.
대표적인 예가 BYOVD(Bring Your Own Vulnerable Driver) 입니다.

Elastic 보안팀 분석에 따르면, Medusa는 중국 업체의 취약한 드라이버를 사용해 보안 솔루션을 우회하고,
심지어 CrowdStrike의 서명을 위조해 악성 드라이버를 삽입하기도 했습니다.
이를 통해 EPP/EDR 회피 및 시스템 권한 탈취가 가능해집니다.

---

💡 기업의 대응 전략은?

Medusa 같은 고도화된 위협에 대응하려면 단일 보안 솔루션만으로는 부족합니다.
Elastic의 위협 분석 책임자 Devon Kerr는 이렇게 강조합니다.

"엔드포인트, 네트워크, 클라우드 모두 가시성을 확보해야 방어 가능성이 생깁니다. 보이지 않으면 막을 수 없죠."

✅ 대응을 위한 핵심 전략:

1. ☁️ 클라우드 및 엔드포인트의 통합 모니터링
2. 🔐 보안 우회 기법(BYOVD 등)에 대한 탐지 강화
3. 👁️‍🗨️ Living-off-the-Land 공격(LolBins) 탐지 룰 적용
4. 🧑‍💻 RaaS의 진입 포인트(어필리에이트)의 흔적 분석
5. ⚠️ 랜섬웨어 리스크 기반 백업 전략 수립

---

🔍 결론: Medusa, 지금 막지 않으면 내일 피해자가 될 수 있다

Medusa는 단순한 랜섬웨어 그룹이 아닙니다. 빠르게 진화하고, 효율적인 조직 구조를 갖춘 사이버 범죄 집단입니다.
경제 불안정과 디지털 의존도가 높아진 지금, 기업은 Medusa의 공격 전략을 이해하고 선제 대응 체계를 갖춰야 합니다.

더 이상 “우리 회사는 타깃이 아닐 거야”라는 안일한 생각은 금물!
지금이 바로 위협 인텔리전스를 기반으로 보안 체계를 재정비할 시점입니다. 🔐