Home > 전체기사

랜섬웨어 공격자들, SaaS와 원격 접근 도구들로 눈길을 돌렸다

  |  입력 : 2021-02-15 16:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 공격자들이 최근 들어 소프트웨어 애플리케이션, 오픈소스 도구, 웹 프레임워크, 애플리케이션 프레임워크에 대한 표적 공격을 증가시키기 시작했다. 조직 내 가장 중요하고 방대한 데이터 저장소에 들어가기 위해서다.

[보안뉴스 문가용 기자] 지난 한 해 동안 랜섬웨어는 말 그대로 폭발적인 성장세를 보여주었다. 보안 업체 리스크센스(RiskSense)가 새로 발표한 보고서인 ‘랜섬웨어 - 위협과 취약점 관리의 측면에서’에 의하면 2020년 125개 랜섬웨어 패밀리들이 익스플로잇한 취약점들은 총 223개라고 한다. 전년도인 2019년에는 19개의 랜섬웨어 패밀리들이 57개의 취약점들을 익스플로잇 했을 뿐이었다.

[이미지 = utoimage]


결국 랜섬웨어 공격자들은 ‘데이터’로 접근하기 위해 온갖 다양한 방법을 활용한다는 건데, 최근 이들의 주요 표적이 되고 있는 건 두 가지로 요약이 가능하다고 한다. 하나는 서비스형 소프트웨어인 SaaS 애플리케이션들이고 다른 하나는 원격 기술이다. 리스크센스의 CEO인 스리니바스 무카말라(Srinivas Mukkamala)는 “랜섬웨어 공격자들이 애플리케이션 레이어를 장악하기 시작했다”며 “기업들이 점차 클라우드로 옮겨가니 공격자들도 클라우드 쪽으로 눈길을 돌리고 있는 것”이라고 설명한다.

“잠재적 피해자들이 클라우드로 가니까 공격자들도 따라서 SaaS와 오픈소스 등을 공격하기 시작한 건 어느 정도 예상이 가능했고, 따라서 놀라울 것이 없습니다. 그런데 공격자들은 거기서 멈추지 않았어요. VPN과 원격 접근 서비스, 제로트러스트 같은 원격 접근 및 네트워크 외곽 관련 기술까지도 노리기 시작했습니다.”

무카말라는 “변화와 적응력 자체가 놀라운 게 아니라, 그 속도가 충격적인 수준”이라고 말한다. “애플리케이션 레이어를 공략할 수 있을 때까지 수년이 흘렀어요. 클라우드는 사이버 공격으로부터 안전하다는 소리가 나온 것이 그 때문이기도 하지요. 하지만 지난 2년 사이에 공격자들은 애플리케이션 레이어 공격에 있어서 완전히 전문가가 된 듯 합니다. 익스플로잇에 필요한 도구도, 익스플로잇 대상이 되는 레이어들도 빠르게 변하고 있습니다.”

특히 데이터를 많이 활용하는 애플리케이션들이 인기 높은 표적이 되고 있다. 그런 가운데 SaaS는 랜섬웨어 패밀리들이 악용하는 취약점들을 가장 많이 보유한 플랫폼이 되고 있다. 워드프레스(WordPress), 아파치 스트러츠(Apache Struts), 자바(Java), PHP, 드루팔(Drupal), ASP.net 등 웹 프레임워크와 애플리케이션 프레임워크 영역에서 가장 중요하다고 손꼽히는 요소들에서는 랜섬웨어 공격자들이 익스플로잇 하는 취약점이 18개 발견됐다. 젠킨스(Jenkins), MySQL, 오픈스택(OpenStack), 톰캣(TomCat), 엘라스틱서치(Elasticsearch), 오픈쉬프트(OpenShift), 제이보스(JBoss), 노마드(Nomad) 등과 같은 유명 오픈소스 프로젝트들에서 발견된 취약점들 중 랜섬웨어 공격자들에게 공략 당한 건 19개다.

“어느 정도의 데이터 밀도가 충족되는 곳이라면, 그것이 어디든 랜섬웨어가 보이기 시작했습니다. CRM 도구들이나 데이터 파이프라인에 자주 사용되는 오픈소스 도구들, 백업 서비스들, 원격 접근 서비스 들 등 가리지 않습니다.” 무카말라의 설명이다.

여기에 더해 공격자들은 위와 같은 요소 및 환경들에서 원격 코드 실행이나 권한 상승을 가능하게 해 주는 심각한 취약점들을 찾기 시작했다. 2018년부터 2020년까지, 랜섬웨어 공격자들이 익스플로잇 한 취약점들 중 25%가 ‘매우 위험하다’고 분석된 것이었다. 원격 코드 실행이나 권한 상승을 가능하게 해 주거나 익스플로잇 방법이 이미 공개된 취약점들이었다는 뜻이다.

“원격 코드 실행이나 권한 상승 취약점을 익스플로잇 할 경우 중간에 사람이 개입할 필요가 크게 줄어듭니다. 피해자를 속인다는 전제가 필요없게 된다는 겁니다. 멀리서 사람을 속이지 않고도 랜섬웨어를 실행시킬 수 있는 방법이 널리 퍼지고 있으며, 따라서 인적 교육만 가지고 랜섬웨어를 막을 수 있는 때가 점점 지나가고 있다고 볼 수 있습니다.” 무카말라의 설명이다.

대신 알려진 취약점에 대한 연구를 통해 랜섬웨어를 방어하는 게 점점 더 높은 가능성을 갖게 되었다. 2019~2020년 동안 진행된 랜섬웨어 공격과 연루된 취약점들의 96%가 미국의 국가 취약점 데이터베이스(NVD)에 등록된 것이었다. 이 중 120개는 랜섬웨어 공격자들이 특히 좋아하는 것이었는데, 지난 10년 동안 해커들이 꾸준히 활용해온 것들이었다. 87개는 최근 해커들 사이에서 유행을 타고 있는 것들인 것으로 분석됐다.

“랜섬웨어 공격자들은 이미 공개된 것들 중 사람들이 잘 신경 쓰지 않는 소프트웨어 취약점과 설정 오류, 코딩 오류들을 통해 랜섬웨어를 전파하는 방법을 적극 이용하고 있습니다. 제로데이 취약점을 활용하는 랜섬웨어 공격자들이 없는 건 아니지만 갈수록 줄어들고 있습니다. 이미 공개된 취약점을 익스플로잇 해도 충분히 성공률이 높으니 제로데이에 투자할 이유가 없는 것이죠.”

랜섬웨어 패밀리들의 수 역시 증가 중에 있다. 취약점 활용도 측면에서 눈에 띄는 랜섬웨어 패밀리들은 다음과 같다.
1) 크립월(Crypwall) - 66개 취약점
2) 록키(Locky) - 64개 취약점
3) 케르베르(Cerber) - 62개 취약점
4) 크립테슬라(Cryptesla) - 56개 취약점
5) 갠드크랩(GandCrab) - 51개 취약점
6) 크립토믹스(Cryptomix) - 50개 취약점
7) 레베톤(Reveton) - 46개 취약점
8) 월트릭(Waltrix) - 45개 취약점

랜섬웨어 패밀리들이 증가하는 건, 랜섬웨어라는 분야에 뛰어드는 새 해커들이 늘어나고 있다는 뜻이다. 오래된 그룹인 코브라록커(Cobralocker)나 로키봇(Lokibot) 등도 아직 건재하다. “2012년부터 활동한 그룹들임에도 여전히 위협적인 건, 새로운 취약점 익스플로잇을 계속해서 자신들의 무기고에 추가하기 때문입니다. 또한 랜섬웨어에 당해 줄 표적이 아직도 무궁무진하게 많은 상태이기도 하고요. 기회가 많기 때문에 10년된 그룹도 팔팔하게 활동하는 것이죠.”

무카말라는 “조직 내 취약한 부분들을 파악하고 제거하는 게 현재 랜섬웨어 방어에 있어 가장 중요한 선결 과제”라고 강조한다. “어떤 부분이 인터넷에 노출되어 있고, 누가 어떤 방식으로 접근 가능한지 파악하는 것이 먼저입니다. 그리고 의도치 않는 방식으로, 의도치 않은 사람들의 접근을 허용하고 있다는 것을 알았다면 구멍을 얼른 메워야 합니다. 외부에서부터 접근을 시도해보는 것이 꽤나 도움이 되지만, 내부에서의 취약점 역시 간과해서는 안 됩니다. 내부망에서의 취약점은 공격자들이 횡적으로 움직이게 해 주거든요.”

4줄 요약
1. 랜섬웨어 공격자들, 점점 더 많은 패밀리들을 만들어 공격 시작.
2. 이들이 지금 집중적으로 노리는 것은 클라우드 인프라와 애플리케이션.
3. 따라서 소프트웨어 취약점과 환경설정을 악용하는 사례가 늘어나고 있음.
4. 궁극적인 목적은 가장 중요한 데이터 보관소에 접근하는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)