Home > 전체기사
랜섬웨어의 궁극적 진화? 사업 행위 중단시키는 공격자들
  |  입력 : 2020-01-15 12:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
굳이 랜섬웨어 사용하지 않아도...사업 중단시키고 더 큰 돈 요구하는 해커들
조금이라도 중단될 경우 큰일나는 사업들이 표적...제조, 의료, 공공 등


[보안뉴스 문가용 기자] 사이버 공격자들이 더 은밀해지고 있고, 이를 바탕으로 대형 조직들을 노리는 경우가 많아지고 있다고 한다. 그리고 사업이나 서비스를 중단시킬 만한 위협을 가한 후 돈을 내라고 협박하는 수법이 증가하고 있다고 한다. 최근 300건의 침해 사건을 분석했을 때 나온 결론이다.

[이미지 = iclickart]


보안 업체 크라우드스트라이크(CrowdStrike)가 발행한 보고서, ‘크라우드스트라이크 서비스 사이버 최전방 보고서(CrowdStrike Services Cyber Front Lines Report)’에 의하면 전체 사이버 보안 사고의 36%가 ‘사업 및 운영 방해’를 목적으로 발생했다고 한다. 또한 공격자가 탐지되지 않은 채 피해자 네트워크에 머무르는 기간이 평균 85일에서 95일로 증가하기도 했다. 그 결과 공격자들은 더 많은 일을 계획하고 실행시킬 시간을 갖게 됐고, 보다 확실히 사업 행위를 방해할 수 있게 되었다고 크라우드스트라이크의 부회장 토마스 에터리지(Thomas Etheridge)는 설명한다.

“협박을 한다고 해서 전부 랜섬웨어를 말하는 건 아닙니다. 공격자들은 아예 사업을 진행할 수 없게 만드는 갖가지 방법을 동원해 협박을 합니다. 그렇기 때문에 오히려 랜섬웨어를 사용한 것보다 더 높은 금액을 요구할 수 있고, 기업들은 이에 더 높은 확률로 응하게 됩니다.” 그야말로 랜섬웨어의 악독한 진화가 이뤄지고 있다고도 볼 수 있다. 표적형으로 변하던 랜섬웨어 공격이, 이제는 더 커진 스케일로 나타나기 시작하는 것이다.

“공격자들은 네트워크에 침투한 뒤 충분한 시간을 가지고 연구를 합니다. 그러면서 가장 중요한 데이터나 디지털 자산이 무엇이며 어디에 있는지를 충분히 파악합니다. 동시에 어떤 식으로 접근해야 가장 효과적으로 사업 행위를 중단시킬 수 있는지 연구하기도 하죠. 그런 과정에서 백업 데이터 유무도 조사되고, 이에 대한 공격 수단도 고안됩니다. 당하지 않는 게 이상할 정도로 꼼꼼하고 집요하게 노립니다.” 에터리지의 설명이다.

또한 크라우드스트라이크는 공격자들이 액티브 디렉토리를 스캔하는 데 활용되는 정상 도구인 블러드하운드(Bloodhound)를 악의적인 목적으로 활용하는 사례가 늘어나고 있다는 점도 지적했다. “공격자들이 네트워크 내에서 횡적으로 움직일 때, 속도를 높이기 위해 블러드하운드를 사용합니다. 더 많은 시간도 주어져 있고, 속도를 높여주는 도구도 사용하니, 공격자들에게 이상적인 조건이 제공됩니다.”

클라우드 활용에 대한 경고도 있었다. 특히 ‘서비스형 인프라(IaaS)’를 활용할 때 보안에 더 신경을 써야 한다고 크라우드스트라이크는 강조했다. “공격자들은 이미 API 키들을 탈취하기 위한 공격을 벌이고 있습니다. 정적 키(static key)를 공격자가 확보하게 되면, 꽤나 많은 정보에 접근할 수 있게 됩니다. 따라서 정적 키 대신 단기간만 사용이 가능한 크리덴셜을 활용하는 게 더 안전합니다. 또한 허가된 IP 주소에서만 접근이 가능하도록 설정하는 것도 좋은 방법입니다.”

맥킨토시 컴퓨터들도 공격자들의 손으로 넘어갔다고 크라우드스트라이크는 경고했다. “기업들 내에서 맥OS와 iOS의 인기가 높아지고 있고, 따라서 이에 대한 공략법도 계속해서 생기고 있는 상황입니다. 그런데 이 맥OS나 iOS에 대한 지식이 사용자나 관리자 측면에서 부족해요. 윈도우만큼 익숙하지 않다는 거죠. 그래서 의도치 않게 보안 구멍이 생기고, 이를 공격자들이 적극 노리고 있는 추세입니다. 애플에서 만든 장비들이 안전하다고 말할 수 있는 시대는 지났습니다.”

한편 ‘사업 중단 공격’ 때문에 가장 많은 피해를 입고 있는 건 제조 분야라고 크라우드스트라이크는 짚었다. “생산이 일시적으로라도 중단된다면, 기업 입장에서는 1초 단위로 큰 손해를 입게 됩니다. 사업주는 마음이 급해질 수밖에 없고, 돈을 낼 수밖에 없습니다. 이런 생리를 공격자들도 잘 이해하고 있습니다. 비슷한 원리로 의료 산업에서도 피해가 커지고 있습니다. 그 다음은 정부 및 공공 기관이고요. 멈추면 안 되는 기능을 발휘하는 곳들이 주요 표적입니다.”

공격자들은 최초 침투를 위해 주로 스피어피싱 공격을 감행하는 편이었다(35%). 정상적인 크리덴셜을 확보한 후 네트워크 내에서 횡적으로 움직이려는 시도도 자주 일어났다. 크라우드스트라이크는 “공공 인터넷과 연결되는 모든 요소들에 다중인증을 적용하는 것부터 방어를 시작하라”고 권고한다. 그 다음 효과적인 건 “망분리”라고 한다. “이 두 가지만 잘 정립되어도 공격자들은 스피어피싱으로 효과를 보기 어렵고, 횡적 움직임도 제한되게 됩니다.”

3줄 요약
1. 랜섬웨어의 진화, 사업 중단시킨 후 협박하기.
2. 스피어피싱과 네트워크 내 횡적 움직임 통해 샅샅이 파악한 후 공격 실시.
3. 다중인증과 망분리부터 정착시키면 방어력 높아질 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)