보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

랜섬웨어 방어를 완결짓게 해 주는 세 가지 키워드

입력 : 2023-05-23 15:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공격자들의 전술은 늘 변한다. 그래서 그들 사이의 유행을 그때 그때 알아두는 건 방어 효율을 높이는 데 있어 꼭 필요한 일이다. 최근의 트렌드는 단 세 단어로 요약이 가능하다.

[보안뉴스 문가용 기자] 랜섬웨어 공격자들 대부분 세 가지 중 하나의 공격 전략을 활용해 피해자의 네트워크를 침해시킨다는 사실이 조사를 통해 밝혀졌다. 세 가지는 순서대로 인터넷에 연결된 애플리케이션의 취약점 익스플로잇(43%), 침해된 계정 악용(24%), 악성 이메일(12%)이었다고 보안 업체 카스퍼스키(Kaspersky)가 알렸다. 그 중에서도 계정을 미리 침해해 악용하는 수법이 2022년 한 해 동안 크게 증가했다고 한다.

[이미지 = gettyimagesbank]


랜섬웨어 공격자들이 거의 대부분 세 가지 전략에 집중한다는 건 무슨 뜻일까? 이것만 잘 방어해도 랜섬웨어 피해 가능성을 상당히 낮출 수 있게 된다는 뜻이다. “랜섬웨어 단체가 처음부터 공격하고 싶어 하는 기업, 표적으로 삼는 기업은 얼마 되지 않습니다. 공격을 하다 보니 쉽게 뚫리는 곳을 공략하는 것이죠. 스캔을 하다 보니 취약점이 발견되면 공격하고, 탈취 계정을 얻게 되는 대로 공격하고, 악성 이메일에 속으면 공격하는 게 일반적인 랜섬웨어 공격자들의 움직임이라고 볼 수 있습니다.” 카스퍼스키의 콘스탄틴 사프로노프(Konstantin Sapronov)의 설명이다.

구글의 보안 업체 맨디언트(Mandiant) 역시 얼마 전 비슷한 내용의 보고서를 발표했었다. 랜섬웨어 공격자들이 즐겨 사용하는 공격 기법 중 최고는 크게 세 가지로 나뉜다는 것이었다. 이 때의 세 가지는 취약점 익스플로잇(32%), 피싱(22%), 탈취된 크리덴셜 악용(14%)이었다. 숫자와 순위만 다르지 카스퍼스키의 발표 내용과 동일하다.

랜섬웨어 공격은 2020년과 2021년 크게 증가했지만 작년에는 줄어드는 추세를 보였다. 물론 큰 차이로 감소한 건 아니었다. 감소 이유는 딱 하나였다. 공격자들이 랜섬웨어 공격을 구성하는 두 가지 협박 전술 중 파일 암호화를 버리고 데이터 유출 협박에만 집중하기 시작했던 것이다. 맨디언트의 수석 분석가 제레미 케넬리(Jeremy Kennelly)는 “파일을 빼돌리고 공개하겠다고 협박하는 것만으로도 충분한 효과를 누릴 수 있다는 걸 범죄자들이 알게 된 것”이라고 분석한다.

기억해야 할 세 가지 : 익스플로잇, 크리덴셜, 피싱
2022년 12월, 미국의 사이버 보안 전담 기관인 CISA는 경고문을 발표하며 “사이버 공격자들이 애용하는 침해 전술은 크게 다섯 가지로 정리가 가능하다”고 알린 바 있다. 이 중 세 개는 맨디언트와 카스퍼스키가 밝혀낸 것과 동일하다. 나머지 두 개는 VPN이나 원격 관리자 소프트웨어와 같은 외부 원격 서비스와 서드파티 공급망이었다.

어떤 공격 기법을 활용하든 침해는 대단히 빠르거나 대단히 느리거나, 둘 중 하나였다. 빠르게 움직이는 공격자들은 수일 안에 시스템을 침해하고 파일을 암호화 했다. 느리게 움직이는 공격자들은 조용히 피해자의 네트워크 깊숙한 곳에까지 침투하는데, 이 때 수개월의 시간도 불사했다. 연 단위로 참을성 있게 파고들어 자신들이 원하는 데이터를 찾아내는 경우도 있었다. “느린 공격일수록 피해자에게 더 큰 피해를 안긴다”고 카스퍼스키는 설명한다.

누구나 인터넷을 통해 접근 가능한 애플리케이션들을 익스플로이 하고, 정상적인 크리덴셜을 훔쳐서 사용할 경우 탐지가 어렵기 때문에 공격자들은 느린 공격을 실시할 수 있었던 것으로 조사됐다. “방어자들이 애플리케이션 모니터링에 쏟는 자원은 현저하게 부족한 상황입니다. 다들 네트워크 게이트웨이나 방화벽 정도만 모니터링 하지요. 이 부분만 보강하더라도 랜섬웨어 방어에 효과적일 겁니다.”

익스플로잇에도 트렌드가 있다
공격자들이 즐겨 사용하는 침투 전략을 안다는 것은 방어자에게 대단히 가치 높은 일이다. 또한 공격자들이 익스플로잇 공격을 자주 한다는 걸 알게 되었다면, 자주 익스플로잇 되는 취약점을 파악하는 게 효과적이다. 케넬리는 “모든 가능성을 다 원천차단할 수는 없다”며 “공격자들이 좋아하는 취약점, 공격자들이 즐겨 사용하는 전략을 위주로 방어 체계를 구성하는 것이 효과적”임을 강조한다.

“해커들이 익스플로잇 코드를 자신의 무기로 만드는 데 걸리는 시간은 점점 짧아지고 있습니다. 그렇다는 건 코딩 실력이 좋아지고 있다는 뜻도 되지만, 어떤 취약점들이 자주 공략 당하는지(그러므로 공격의 효율이 높은지) 그 트렌드마저 알고 있다는 뜻입니다. 취약점을 패치하는 입장에서도 똑같이 접근하면 패치 관리의 효율을 크게 높일 수 있습니다.” 케넬리의 설명이다.

하지만 한두 가지 전략을 방어하는 데에 지나치게 몰입해도 역효과가 난다고 켈리는 경고한다. “공격에 유행이 있는 건 확실합니다. 하지만 그 유행은 오래 머물지 않습니다. 공격자들은 늘 더 좋은 공격 방법을 연구하니까요. 그러니 한 가지에 지나치게 집착해서 다른 공격 가능성에 대하여 귀를 꼭 막고 있으면 안 됩니다. 트렌드를 파악해 방어막을 어느 정도 구성했다고 하면, 또 다시 트렌드를 조사하고 방어를 기획해야 합니다. 끝없는 조사와 분석이 이어져야 합니다.”

3줄 요약
1. 익스플로잇
2. 피싱
3. 크리덴셜

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)