Home > 전체기사

[2021 보안 핫키워드-2] 랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화

  |  입력 : 2020-12-21 13:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
<보안뉴스>는 보안전문기자들 간의 열띤 논의와 토론을 거쳐 다가오는 2021년에 가장 주목해야 할 보안 분야 핫키워드 10가지를 선정했습니다. 본지에서는 10개의 핫키워드를 차례로 소개하는 한편, 선정된 이슈를 중심으로 2021년 다양한 특집기획을 진행할 예정입니다. 많은 관심과 성원 부탁드립니다. [편집자주]

2020년, 메이즈의 ‘이중협박’ 전술로 랜섬웨어 공격의 수익성 확인
2021년엔 암호화뿐만 아니라 가능한 모든 방법으로 ‘인질’ 확보해 금품 요구할 듯


[보안뉴스 이상우 기자] 오는 2021년에도 랜섬웨어가 사이버보안 위협에서 대표적인 키워드가 될 것으로 보인다. 2020년 한해 동안 여러 사이버범죄 조직이 랜섬웨어를 통한 수익성을 체감함으로써 유명 조직의 공격 전략을 모방하는 아류 공격 역시 늘어날 것으로 보인다.

[이미지=utoimage]


2020년 주요 랜섬웨어 공격 사례로는 메이즈를 들 수 있다. 메이즈 랜섬웨어 조직은 최근에 가장 악명을 떨친 조직으로, 특히 공격 과정에서 기업 자산을 암호화함과 동시에 각종 정보를 유출한 뒤 협상에 응하지 않으면 해당 정보를 공개하겠다고 이중으로 협박하는 전략을 채택했다. 실제로 메이즈는 지난 11월 1일 은퇴를 선언하면서 자신들이 운영하는 웹사이트에 그동안 협상에 응하지 않은 기업, 기관 등의 정보 약 250여 개를 등록한 바 있다.

메이즈 랜섬웨어 조직이 이러한 전략을 선보인 이후, 많은 조직이 이를 모방해 ‘돈벌이를 하고 있다. 특히 다크웹을 중심으로 서비스형 랜섬웨어(RaaS)가 공유되고, 이를 통해 침투·공격 조직과 개발 조직이 수익을 분배하는 등 기업적인 형태의 랜섬웨어 공격이 성행할 전망이다.

이러한 동향은 2021년에도 이어질 전망이며, 특히 수익성 극대화를 위해 가능한 모든 전술을 펼칠 것으로 보인다. 과거 랜섬웨어는 불특정 다수를 상대로 악성코드 유포 캠페인을 펼치고, 랜섬노트를 남겨 일정 금액을 입금한 피해자에게 복호화 도구를 제공했다. 이와 달리 최근 랜섬웨어 공격은 특정 표적을 노린 지능형 지속 위협(APT)의 일환으로 쓰이는 추세다. 공격자는 오랜 기간 표적을 관찰하고 취약점을 발굴한 뒤 랜섬웨어로 결정타를 날린다. 이 과정에서 그간의 노력이 헛되지 않도록 하기 위해 정보를 함께 유출하고, 해당 정보로 이중협박을 하거나 유용한 정보일 경우 다크웹 등을 통해 판매할 수도 있다.

실제로 최근 이랜드그룹을 공격한 클롭 랜섬웨어 조직의 랜섬노트를 보면 ‘Hello Dear K Mall’이라는 문장으로 시작한다. ‘당신의 네트워크가 뚫렸습니다’ 같은 메시지로 시작하는, 불특정 다수를 노린 랜섬웨어와는 달리, 국내 유통 분야의 기업을 노린 표적 공격이라 할 수 있다. 특히, 해당 조직은 약 1년간 포스(POS) 시스템에 악성코드를 심어 200만 건의 고객 카드 정보를 유출했다고 주장했으며, 협상에 응하지 않자 해당 정보를 조금씩 공개하고 있다. 이 주장이 사실이라면 이미 1년 전부터 정찰, 공격 인프라 구축, 침투, 악성코드 실행, 크리덴셜 확보, 지속성 유지, 정보유출 등에 이르는 과정을 지속해 왔다는 의미다.

향후에는 랜섬웨어의 범주를 확대해야 할 필요성도 제기된다. 기존에는 랜섬웨어 공격을 ‘파일을 암호화’하는 공격으로 인식해 왔다. 사실 랜섬웨어라는 표현은 인질을 잡고 ‘몸값(Ransom)’을 요구하는 악성 소프트웨어를 의미한다. 지난 2016년, 국내 대형 커뮤니티를 통해 랜섬웨어가 대중적으로 알려지던 시기에는 파일을 암호화해 인질로 잡는 방식이 유행했다면, 최근 랜섬웨어 공격은 파일 암호화에 그치지 않고 공격 시 유출한 정보를 이용해 효과적으로 피해자를 협박하고 있다.

또한, 파일 암호화를 이용한 공격에 맞춰 보안 솔루션 기업 역시 암호화 탐지 및 자동 대응 기술을 선보이고 있는 만큼, 이러한 방어를 우회하기 위한 새로운 전략을 펼칠 수 있다. 랜섬 디도스(RDDoS)가 대표적인 예다. 실제로 지난 추석 연휴에는 국내 4개 은행에 대해 글로벌 사이버공격 조직이 비트코인을 내놓지 않으면 대규모 디도스 공격을 감행하겠다고 협박한 사례도 있었다. 과거에는 이러한 협박이 ‘블러핑’에 그치는 정도가 많았지만, 오늘날 인터넷에 연결할 수 있는 기기가 늘어나고 있는 만큼 업무가 마비될 수준의 대규모 트래픽을 발생시키는 것도 충분히 가능하다. 최근 피싱 메일등을 통해 ‘나노코어 랫’ 같은 악성코드가 대량으로 배포되고 있는 것은 이러한 랜섬 디도스 공격을 위한 초석일 수도 있다.

이로 인해 특정 솔루션 하나만으로 다양한 형태로 변화하는 표적형 공격에 대응하는 것은 어렵다. 보안이란 새로운 이슈에 잠깐 대응하는 것이 아닌, 기존에 쌓아온 것에 새로운 것을 쌓아 올리는 개념이어야 한다. 이 때문에 기업은 주요 자산을 인질로 잡히지 않기 위해서 여러 보안 지점을 포괄적으로 강화해야 한다. 엔드포인트 보안, 네트워크 침입 차단, 웹 서버 보안 강화 등 공격자의 직접적인 침입을 차단하는 동시에 보안교육을 통해 임직원의 실수로 인한 주요 권한 노출 등을 예방해야 한다. 여기에 암호화 행위를 탐지해 암호화 공격을 막고, 주기적인 백업 및 안전한 매체에 정보를 백업해 피해가 발생하더라도 즉시 회복하는 비즈니스 연속성을 확보해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)