Home > 전체기사

랜섬웨어 공격자들, 방어자들에게 틈을 주고 있다

  |  입력 : 2020-03-18 10:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
요즘 랜섬웨어 공격자들, 침투 후 3일 동안 정찰에 주력해
근무 외 시간 노리고 랜섬웨어 공격 시작할 때 많아...보안을 24시간 가동해야


[보안뉴스 문가용 기자] 랜섬웨어 공격자들 대부분 본격적으로 파일을 암호화 하기 직전까지 꽤나 여러 날 동안 네트워크를 기웃거린다고 한다. 이를 잘 활용하면 치명적인 피해가 발생하기 전에 방어하는 게 가능하다는 소식이다.

[이미지 = iclickart]


보안 업체 파이어아이(FireEye)가 발표한 보고서에 의하면 “최근 2년 동안 나타난 랜섬웨어 공격 데이터를 분석한 결과 최초 침투 경로와 방법에서 꽤나 많은 공통점이 있었다”고 한다. 또한 “공격자들의 평균 체류 시간과, 랜섬웨어가 본격적으로 가동되기 시작하는 시간에서도 패턴이 나타났다”고 한다.

지난 2년여 동안 발생한 랜섬웨어 사건들 중 대부분에서 공격자들은 최초로 네트워크에 침투한 후 최소 3일 동안은 공격을 실시하지 않았다. 대신 정찰 행위를 통해 가장 핵심적인 부분들을 파악하는 데에 전력을 다했다. 이런 식의 ‘침해 후 정찰’을 곁들인 랜섬웨어 공격이 점점 인기를 끌고 있는데, 그 이유는 보다 확실한 피해를 안겨주고, 그만큼 피해자들이 돈을 낼 확률이 높아지기 때문이다.

파이어아이의 첩보 분석가인 켈리 반덜리(Kelli Vanderlee)는 “공격자들은 그 3일 동안 주로 민감한 데이터나 기밀, 백업 등이 저장되어 있는 시스템을 찾아내는 데에 주력한다”며 “랜섬웨어를 최대한 많이 퍼트릴 수 있게 해주는 네트워크 요소들도 주요 표적”이라고 설명한다. “이렇게 했을 때 피해자들을 조금 더 쥐고 흔들 수 있어 공격자들에게 유리합니다. 수익성도 높아지고요. 랜섬웨어에 외 다른 공격을 실시할 수 있는 기반도 닦을 수 있습니다.”

그러나 역으로 생각하면 공격자들 사이에서 나타나는 이러한 트렌드는 방어자들에게도 좀 더 긴 시간이 주어진다는 것과 같다. 랜섬웨어가 파일들을 암호화 하기 전에 공격 시도 자체를 무력화시킬 수 있다는 것이다. “공격자들의 수상한 행위를 빠르게 알아챌 수만 있다면, 랜섬웨어를 막는 것도 가능합니다.”

반덜리에 의하면 류크(Ryuk) 랜섬웨어 패밀리가 이런 식의 ‘충분한 정찰 후 공격’을 실시하는 대표적인 사례라고 한다. 그 외에 클롭(Clop), 비트페이머(Bitpaymer), 도펠페이머(Doppelpaymer), 로커고가(Lockergoga), 메이즈(Maze), 소디노키비(Sodinokibi) 랜섬웨어도 비슷한 패턴을 보이는 중이라고 한다.

그 외에도 파이어아이는 보고서를 통해 “랜섬웨어 사건 중 76%가 일반적인 근무 시간 외에 발생했다”고도 밝혔다. 이는 랜섬웨어 페이로드가 본격적인 암호화를 실시하는 시간을 의미한다. 공격의 49%는 주중 오전 8시 전이나 오후 6시 이후에 발생했고, 24% 정도만이 근무 시간 동안에 일어났다.

이는 꽤나 당연한 현상이다. “공격자들이 이런 식으로 움직이는 건 쉽게 예상할 수 있습니다. 근무 시간 동안 공격을 실시하면 대응 가능성이 높아진다는 걸 알고 있기 때문입니다. 최대한 사람이 없을 때 공격을 해야 원하는 바를 이룰 수 있게 됩니다.” 반덜리의 설명이다.

반덜리는 “이런 트렌드를 종합해보면 모든 조직들에 긴급 대응 체계가 마련되어야 한다는 걸 알 수 있다”고 정리한다. “보안 기능은 24시간 돌아가야 하며, 이를 통해 어느 시간대에라도 수상한 점을 간파할 수 있어야 합니다. 또한 수상한 점이 실제로 발견되었을 때 취할 수 있는 행동 지침도 미리부터 수립되어 있어야 합니다.”

랜섬웨어 공격자들이 최초 침투에 가장 흔하게 악용하는 건 원격 데스크톱 프로토콜(RDP) 서비스인 것으로 나타났다. 그 외에 악성 파일이나 링크를 피해자에게 보내는 것도 흔히 사용되는 기법이었다. 드라이브 바이 다운로드(drive-by-downloads) 기법도 꽤나 인기가 높다는 것이 이번 조사를 통해 밝혀졌다.

3줄 요약
1. 랜섬웨어 공격자들, 최초 침투 후 평균 3일 동안 정찰해 가장 치명적인 곳 파악함.
2. 게다가 사람이 근무하지 않는 시간대를 주로 노림.
3. 따라서 보안 시스템을 24시간 운영하고, 재빠른 대응 체제를 구축하는 것이 중요.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)