Home > 전체기사
랜섬웨어가 얼마나 많아졌는지, 다크웹 시장도 개편되고 있다
  |  입력 : 2020-10-14 11:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다크웹 시장의 최대 고객, 랜섬웨어 공격자들...네트워크 접근 권한 판매해
RDP와 취약점 익스플로잇 통한 접근 권한 많이 판매돼...케르베로스 약진하기도


[보안뉴스 문가용 기자] 랜섬웨어를 주요 수단으로 삼는 사이버 범죄자들이 다크웹에 대거 흘러들어가기 시작했다. 그러자 시장에 변화가 일어났다고 보안 업체 액센추어(Accenture)가 발표했다. 특히 네트워크 접근 권한을 판매하는 다크웹 상인들이 늘어난 것이 눈에 띄는 변화라고 한다.

[이미지 = utoimage]


예를 들어 취약점 익스플로잇을 팔던 자들은, 이제 자신들이 익스플로잇을 이용해 네트워크에 접근한 후에 그 접근 권한을 팔기 시작했다. 훔친 데이터를 팔던 자들 역시 자신들이 데이터를 훔치던 네트워크에 랜섬웨어 그룹이 들어갈 수 있도록 길을 열어주는 사업을 벌이고 있다. Fxmsp 혹은 니콜라이(Nikolay)라고 불리던 다크웹 데이터 판매상도 이런 식으로 사업 전략을 바꾸었다고 한다.

액센추어의 수석 분석가인 토마스 윌칸(Thomas Willkan)은 보고서를 통해 “랜섬웨어 운영자들과 다른 기타 범죄자들 간의 협력이 일어나며 범죄의 스케일이 커지는 흐름”이라고 이 현상을 해석했다. 또한 “랜섬웨어를 손에 들고 뭘 어떻게 해야 할지 모르던 사람들에게 활로를 줌으로써, 사실상 랜섬웨어 확산을 촉진시키고 있다”고도 덧붙였다.

실제로 이렇게 ‘접근 권한’을 판매하는 자들이 2020년 1사분기 동안에만 70% 증가했다고 지난 5월 포지티브 테크놀로지스(Positive Technologies)가 발표하기도 했었다. 액센추어는 이번 보고서를 통해 “랜섬웨어 공격자들 사이에서 데이터 암호화와 빼돌리기라는 이중 협박 전략이 발굴되면서 랜섬웨어의 성공률이 폭발적으로 늘어났고, 이 때문에 다크웹에서 랜섬웨어 공격자들이 최대 고객이 된 상황”이라고 설명을 추가했다.

액센추어는 이 보고서를 작성하기 위해 네트워크 접근 권한을 판매하는 다크웹 상점 25곳을 추적했다고 한다. 이들이 활동하는 포럼에는 메이즈(Maze), 락빗(LockBit), 아바돈(Avaddon), 엑소시스트(Exorcist), 넷워커(NetWalker), 소디노키비(Sodinokibi) 등 유명 랜섬웨어 운영자들도 있었다.

“원래 네트워크 접근 권한 판매자들은 대부분 원격 데스크톱 프로토콜(RDP)을 침해해 접근에 성공했었습니다. 하지만 최근에는 시트릭스(Citrix)의 제품이나 VPN 서버들을 공략하는 경우도 늘어났습니다. 코로나 때문에 많은 사람들이 원격 근무를 시작했기 때문입니다.” 취약점 익스플로잇을 통해 접근에 성공했을 경우, 그 가격은 보통 300~1만 달러 사이에 형성된다고 한다. “피해 조직의 규모나 연간 수익 등이 가격을 결정합니다.”

여기에서 액센추어는 한 가지 트렌드를 더 지적한다. 바로 케르베로스(Cerberus)라는 안드로이드 뱅킹 트로이목마를 활용해 네트워크 침투를 시도하는 사례가 늘어나고 있다는 것이다. “케르베로스는 원래 안드로이드 생태계에서 사용되는 뱅킹 트로이목마였는데, 이를 네트워크 침투 도구로 바꾸는 것이 유행이 되어가고 있습니다. 지난 9월 러시아 지하 포럼에서 케르베로스의 소스코드가 유출된 것과 관련이 있는 것으로 보입니다.”

액센추어는 “시장 전체의 판도가 랜섬웨어 위주로 바뀌었다는 것은 당분간 랜섬웨어 공격이 꾸준히 증가할 기반이 생겼다는 뜻”이라며 “랜섬웨어 방어에 각 산업 내 조직들은 더 많은 공을 들여야 할 것”이라고 경고했다.

3줄 요약
1. 랜섬웨어가 판을 치자 다크웹 포럼도 랜섬웨어 공격자들로 넘쳐남.
2. 이에 많은 사업자들이 ‘네트워크 접근 권한’이라는 아이템을 판매하기 시작.
3. 랜섬웨어 위주로 시장이 바뀌었다는 건, 랜섬웨어 공격 기반이 든든해졌다는 뜻.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)