[ICT 분야별 평가와 전망] 다중갈취 랜섬웨어 증가
상태바
[ICT 분야별 평가와 전망] 다중갈취 랜섬웨어 증가
  • 김선애 기자
  • 승인 2023.01.11 09:08
  • 댓글 0
이 기사를 공유합니다

수단·방법 가리지 않는 공격자…보안 탐지 우회 위해 철저한 대책 마련
클라우드·서비스 기업 공격으로 수익 극대화…통합·자동화 보안 방안 필수

[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>

버그바운티 운영하는 공격자

랜섬웨어는 끊임없이 진화한다. 악성코드와 취약점, 사회공학 기법 공격, 악성문서와 이메일, 정상 사이트처럼 위장한 피싱 사이트, 소프트웨어 공급망 공격, 해외 지점·지사와 외부 파트너사를 이용한 공급망 공격, 내부자를 매수하거나 악의를 가진 내부자를 이용하는 공격 등 다양한 방식으로 침투한다.

공격도구 역시 잘 알려진 악성코드부터 시작해 타깃 맞춤형으로 제작한 도구와 시스템의 정상적인 기능과 프로그램, 합법적인 자격증명, 피해조직이 사용하는 소프트웨어 취약점과 익스플로잇 등 수많은 종류가 있다. 이스트시큐리티는 잘 알려지지 않은 프로그램 언어로 제작된 랜섬웨어로 보안 시스템을 우회할 것이라고 예측했다.

나아가 공격도구가 보안 시스템에 탐지되는지 테스트 한 후 공격을 진행하는데, 바이러스토털 등에서 공격도구를 테스트해보고 타깃 조직에서 사용하는 보안 솔루션이 탐지하지 못하는 도구를 사용 한다. 지하시장에서 자신이 개발한 공격도구의 취약점이 있는지 공개 테스트하고, 버그바운티까지 운영하면서 공격도구가 탐지되지 않도록 하는 시도도 발견됐다.

▲랜섬웨어 공격 시나리오(자료: SK쉴더스)
▲랜섬웨어 공격 시나리오(자료: SK쉴더스)

낮은 비용·큰 수익 올리는 랜섬웨어

공격 목표가 정해진 경우, 공격자들은 지하시장에서 이 캠페인에 가담할 파트너를 모집한다. 피해 조직에 맞는 공격도구 제작을 의뢰하거나, 가장 적합한 공격 도구를 독점 매입해 다른 공격에 사용되지 않도록 한다. 목표 조직에 잠입하기 위한 전문 침투테스트 조직을 운영하고, 표적이 사용하는 소프트웨어 버전의 익스플로잇을 구입하며, 내부자를 매수해 공격용 악성코드를 ‘실수인 척’ 감염시키도록 유도한다.

공격자들이 원하는 것은 ‘돈’이기 때문에 공격을 준비하는 과정에서 많은 시간과 비용을 쓰지 않고 빠른 시간 내에 공격을 진행한다. 또한 합법적으로 사용하는 무료 도구를 사용해 공격에 드는 비용을 줄인다. 레드팀이 사용하는 침투 테스트 도구 코발트 스트라이크가 대표적인 예이다. 트렐릭스에 따르면 몇 년 전 코발트 스트라이크 크랙 버전이 다크웹 포럼에서 공유됐으며, 곧 공격에 이용됐다. 현재는 실버 임플란트, 브루트 레이틀 등 다른 도구가 코발트 스트라이크 대안으로 개발되고 있다.

윈도우 도구인 윈도우 커맨드 셸(CMD)을 이용해 페이로드 및 추가 멀웨어 다운로드, 시스템·인프라 정보 유출, 웹셸 설치로 지속적인 액세스 유지와 랜섬웨어 암호화 프로세스를 진행하는 것도 정상적인 프로그램을 이용하는 공격 사례다.

이권에 따라 모이는 공격자

랜섬웨어 공격은 쉽고 방어는 어렵다. 공격자들이 사용할 수 있는 도구는 도처에 널려있다. 지하시장에서 쉽게 구입할 수 있는 랜섬웨어 서비스(RaaS)가 있으며, 미리 피해 조직에 초기 침투 기반을 만들어 놓고 공격자를 모집하는 서비스 업체도 있다.

지하시장에는 공격도구 개발조직과 유통조직, 개발사와 공격자를 연결시키는 중개조직, 유출된 데이터로 피해 조직을 협박할 수 있도록 데이터 유출 현황과 관련된 블로그를 운영하는 조직, 협상을 대행하는 조직, 데이터를 지하시장에 판매하는 조직, 범죄 수익금을 세탁하는 조직 등으로 세분화 돼 운영된다.

분업화 된 지하시장에서는 해킹 전문성이 없어도 누구나 쉽게 범죄를 저지를 수 있다. 모든 것은 서비스로 제공되며, 시장 질서에 따라 수익금이 분배된다. 일부 조직은 정치적인 목적으로 특정 정부나 단체의 후원을 받아 공격을 진행하지만, 많은 랜섬웨어 공격자들은 금전적인 이익을 목적으로 모여 활동하며, 이권에 따라 모이고 해체된다.

공격그룹 간 갈등으로 상대진영의 암호화 키를 공개하고 공격인프라를 수사기관에 제보하거나 자신들이 점거해 상대진영의 공격을 방해하고 자신의 수익을 극대화한다. 그러나 갈등 양상이 종료되면 또다시 지하 포럼을 만들고 가담하면서 공격을 이어간다.

다중갈취 공격으로 수익 극대화

랜섬웨어 공격은 APT와 같다. 공개된 취약점, 다크 웹에서 입수한 자격증명을 이용하거나 피해자를 교묘하게 속여 침투하며, 맞춤형 해킹도구나 정상 프로그램을 이용해 시스템에 잠입한다. 사용 가능한 도구를 이용해 권한을 상승시키고 민감 데이터에 접근해 유출한다. 공격자들이 수집하는 정보는 돈이 되는 개인정보와 기밀정보, 소스코드, 설계문서, 인증정보, 전자지갑 등이다.

공격자는 네트워크 여러곳을 다니면서 해당 조직의 현황을 파악하고 매출 규모와 사이버 보안 보험 여부, 협력하는 기업 현황 등을 조사해 적정한 몸값을 산정한다. 때로 더 많은 돈을 벌 수 있는 파트너 공급망으로 확장하면서 공격 기반을 다지기도 한다.

공격 준비가 완료되면 백업 시스템을 중단시키고 랜섬웨어 페이로드를 배포하며, 파일을 암호화하고 시스템을 종료한다. 그리고 유출한 데이터를 대중에게 공개하겠다고 협박하거나 디도스 공격으로 피해 조직의 서비스를 중단시킨다. 소셜 미디어를 통해 탈취한 데이터의 규모와 가치를 공개하고, 고객이나 파트너를 추가 공격하거나 공격하겠다고 협박하며 돈을 요구한다.

공격자가 요구하는 몸값의 수준은 피해 기업이 지불 할 수 있는 금액 내에서 책정된다. 사이버 보안 보험이 보장하는 금액보다 낮은 수준, 혹은 피해 조직이 직접 시스템을 복구하는데 드는 비용과 소송비용, 고객 피해 보상 비용을 합한 것보다 적은 금액을 책정한다.

협상이 시작되면 몸값을 조금씩 낮추면서 원하는 돈을 받아내는데, 이후 유출한 데이터를 공개한다고 다시 돈을 뜯어가고, 자신들이 분석한 피해 조직의 취약 점 정보를 리포트로 만들어 제공하겠다고 하면서 돈을 뜯어간다. 돈을 주지 않으면 지하시장에 판매해 더 큰 피해를 입게 하겠다고 협박하면서 지속적으로 돈을 갈취한다.

공급망 공격으로 광범위한 피해 입혀

랜섬웨어는 2023년 한층 더 진화할 것으로 보인다. 공격자들은 카세야 랜섬웨어를 통해 서비스 사업자를 공격하면 더 광범위한 피해를 입히고 효과적으로 높은 수익을 얻을 수 있다는 사실을 검증했다. 그래서 서비스 기업, 클라우드 사업자를 집중적으로 노리고 있다. 또 슬랙, 팀즈, 원드라이브, 구글드라이브 등 비즈니스 협업 도구를 이용해 원격근무자, 외부 파트너사 등을 통한 공격을 시도하고 있다.

외부에서 접속하는 환경은 사내 근무자보다 보안이 상대적으로 약하기 때문에 이들을 대상으로 피싱 공격을 한 후 피해자가 협업 시스템에 접속한 동안 이 시스템의 데이터와 개인정보에 접근한다.

트렌드마이크로는 ‘클라우드가 랜섬웨어 비즈니스의 새로운 모델’이라고 예측했다. 클라우드는 충분한 가시성을 확보하지 못하며, 여러 클라우드 사업자, 사용기업과 다양한 파트너들로 구성된 복잡한 공급망 생태계로 구성된다.

대부분의 기업들이 멀티 클라우드 전략을 채택하기 때문에 클라우드 사업자나 매니지드 서비스 기업을 이용한 공급망 공격을 벌일 수 있다. 더 많은 피해조직을 양산할 수 있으며, 더 높은 수익을 얻을 수 있다. 클라우드 관리자 패널과 관리자 계정을 표적으로 삼아 반복적으로 공격할 수 있으며, 무단 암호화폐 채굴로 수익을 얻을 수 있다.

확장되는 공격표면, 랜섬웨어 주요 타깃

관리되지 않은 공격표면으로 인한 공격 위협도 높아진다. 클라우드, IoT가 확산되면 외부에서 접근할 수 있는 접점이 늘어나며, 외부로 공개되는 시스템과 애플리케이션이 증가한다. 클라우드 연결성이 높아질수록 무단으로 열려있는 포트, 취약점이 제거되지 않은 채 공개된 애플리케이션, 브루트포스 공격으로도 쉽게 로그인 가능한 취약한 계정이 늘어날 수 밖에 없다.

우리나라 금융권을 대상으로 활동했던 ‘매스스캔(Masscan)’ 랜섬웨어가 쉬운 침투 기법을 사용하는 대표 사례다. 이들은 취약점이 있는 서버와 시스템을 지속적으로 찾고, 브루트포스 기법으로 침투하며, 스캐닝 도구를 이용해 수평이동을 시도하고 더 넓은 범위를 감염시킨다.

시스템 내부에서 권한을 상승시키고, 관리자 계정과 비밀번호를 변경하고 원격접속을 허용한다. 랜섬웨어 실행 전 DBMS 등 프로세스를 중지시키고, 공격 행위를 감추기 위해 이벤트 로그도 삭제한다.

피해 기업 분석해 주가조작도 자행

타깃 맞춤형 공격기법도 성행하고 있다. 특히 우리나라 상황에 최적화된 공격이 빈번하게 발생하고 있는데, ‘귀신 랜섬웨어’의 경우 우리나라에서 사용하는 DRM 모듈에 대한 이해가 높고 국내 기업의 네트워크 상황을 잘 알고 있어 우리나라 기업에서 일해본 적 있거나 국내 보안 산업에 대한 전문성이 있는 것으로 보인다.

공격자들의 지능성은 여기서 멈추지 않는다. 국제 제재로 인해 범죄자금 세탁이 어려워지고 현금화 할 수 있는 거래소가 줄어들자 아예 랜섬웨어를 주가조작에 이용하기도 한다. 이들은 내부 침투 후 중요 정보를 탐색하면서 공매도를 위한 스톡옵션을 구입한다. 충분한 시기가 됐다고 생각하면 랜섬웨어 공격을 하고 공격 사실을 대대적으로 알리면서 이 기업의 신뢰를 떨어뜨려 주가를 급락시키고 큰 수익을 얻는다.

주가 폭락장에 주식을 매입한 후, 랜섬웨어 공격이 이 회사의 경쟁력에 영향을 미치지 않았다는 여론을 만들어내면서 주가를 다시 정상수준으로 올리거나 급등 시킨 후 미리 매입한 주식을 팔면서 또 다시 수익을 챙 긴다.

지불 능력 있지만 보안 소홀한 중견기업 노려

랜섬웨어 공격자들의 예상되는 공격 형태를 나열하면 끝도 없이 이어진다. 공격자는 무엇을 상상하든 그 이상의 교묘함과 치밀성을 갖췄다. 때로 그들도 실수하기 때문에 공격 흔적을 남기거나 복호화 키를 공개하기도 하며, 내분으로 공격 인프라를 수사기관에 넘기고 피해조직의 데이터를 복구시키거나 범죄수익을 돌려주기도 한다. 그러나 실수와 사고는 일시적이며, 몇몇 사례에서 볼 수 있는 것이다. 대부분의 성공한 공격자들은 많은 수익을 얻고, 지하세계에서 몸값을 올리면서 다른 공격 그룹으로 스카우트 된다.

공격자들의 범죄수익이 낮으면 랜섬웨어는 자연스럽게 사라질 것이다. 하지만 수익을 낮출 수 있는 현실적인 방법이 없다. 피해 기업은 공격자에게 돈을 준다 해도 데이터와 시스템을 정상으로 돌릴 수는 없다는 것을 잘 안다. 그럼에도 불구하고 비즈니스 중단으로 인한 피해가 막대하기 때문에 조금이라도 빠르게 서비스를 개시하기 위해 공격자가 원하는대로 돈을 줄 수밖에 없다.

그래서 공격자들은 돈을 줄만한 여유가 있으면서 보안에 충분한 투자를 하지 못하는 중견기업을 주로 노린다. 피해기업은 반복적으로 공격을 당하면서도 사후 조치도 제대로 취하지 못하고 속수무책으로 당한다.

이에 매니지드 보안 서비스(MSS)에 관심을 갖는 기업이 늘어나고 있다. MSS는 기존 보안관제보다 넓은 영역의 보안을 제공한다. 보안관제는 네트워크 트래픽과 로그 이벤트를 수집해 분석하는 수준으로 오·미탐 이 많고 관제요원의 성숙도에 따라 관제 서비스 수준이 달라진다.

MSS가 보안 전문성을 충분히 갖추지 못한 중견·중 소기업에게 적합하다고 생각되지만, 그렇다고 해서 기업이 보안에 대해 전혀 준비하지 않아도 되는 것은 아 니다. MSS 사업자가 탐지한 위협이 자사 비즈니스에 어떤 영향을 미칠지, 어떤 방식의 대응이 적합한지 판 단할 수 있는 식견은 갖추고 있어야 한다.

랜섬웨어 대응 보안 솔루션 필수

랜섬웨어 대응을 위한 보안 솔루션도 필수다.

가장 먼저 공격자의 침투 행위를 선제적으로 탐지하고 차단하는 솔루션이 필요하다. 공격의 대부분은 엔드포인트를 감염시키면서 시작하기 때문에 EPP·EDR이 필요하며, 시그니처와 랜섬웨어 행위 패턴을 감지하고 확실한 위협을 차단하고 의심스러운 행위는 다른 이벤트와 연계 분석하거나 전문 분석가가 분석하도록 하는 솔루션을 준비한다.

랜섬웨어 방어 솔루션 중 미끼(Decoy) 파일을 이용 하는 기술이 효과를 발휘하기도 한다. 공격자가 좋아하는 정보를 시스템에 심어 이 정보에 접근하면 랜섬웨 어로 판단하고 대응한다. 이스트시큐리티의 ‘알약’이 이 기술의 특허를 갖고 있어 유사 패턴과 시그니처 기반 탐지를 우회하는 변종 공격을 차단한다.

또 알약은 특정 프로세스가 시스템에 접근해 암호화를 시도하면 해당 프로세스를 차단해 감염을 에방한다. 파일 손상이 감지될 경우 손상 시점에 원본 파일을 백업하고 악성 행위를 차단해 원본 파일을 복원할 수 있게 한다.

이스트시큐리티는 알약과 알약 EDR, 사이버 위협 인텔리전스(CTI) ‘쓰렛 인사이드’를 연동해 랜섬웨어 탐지·차단 효과를 극대화한다. 시그니처, AI를 통한 랜섬웨어 선제 차단, EDR을 이용한 랜섬웨어 행위 분석과 대응, CTI에 축적된 랜섬웨어 정보와 매핑한 대응으로 전방위적인 랜섬웨어 대응이 가능하다.

소만사는 DLP와 결합한 EDR ‘프라이버시 아이 EDR’을 제안한다. 마이터 어택 프레임워크를 지원하 는 소만사 EDR은 단일 에이전트로 DLP와 EDR 기능 을 함께 제공해 엔드포인트 리소스 점유를 최소화하면 서 엔드포인트 위협을 차단할 수 있다. 국내 가장 높은 점유율을 가진 DLP 솔루션에 추가하는 방식으로 구축 가능하기 때문에 간편하게 도입해 사용할 수 있다는 장점도 있다.

공격자 생태계 분석해 대응 전략 마련해야

랜섬웨어는 하나의 솔루션만으로 막을 수 없다. 초기 침투부터 내부 확장, 중요 시스템·데이터 접근과 유출, 파괴 시도, 디도스 공격 시도를 모두 사전에 인지 하고 차단할 수 있는 기술을 마련해야 한다.

엔드포인트 뿐 아니라 네트워크, 클라우드에서 악성 행위를 탐지하고 사회공학 기법을 이용하는 웹·이메일 및 악성문서 공격을 탐지해야 한다. 이 기술을 통합, 자동화하는 XDR이 효과적인 랜섬웨어 공격 방어 전략으로 제안된다.

XDR은 여러 소스에서 위협 정보를 통합해 연계분석하면서 랜섬웨어 행위를 정확하게 탐지하고 차단, 대응할 수 있게 한다. 여러 솔루션을 운영하면서 겪게되는 복잡성의 문제와 경보 피로를 줄일 수 있으며, 보안 전문성이 충분하지 않아도 위협을 식별하고 대응할 수 있다.

취약점을 이용하는 공격에 대응하기 위해 노출된 자산을 식별해 취약성을 점검하며, 공격 가능 지점을 자동으로 식별해 제거한다.

재택·원격근무와 클라우드, 외부 파트너와 공급망 생태계 전반에서 위협이 침투하지 않도록 일관된 보안 정책으로 관리하며, 소프트웨어 업데이트 파일, 오픈소스 취약점 등을 이용해 감염이 확산되지 않도록 외부 에서 제공받은 소프트웨어까지 보안 점검을 실시한다.

CTI와 보안 전문가의 블로그, 분석 보고서 등을 참고하면서 공격자 생태계가 어떻게 진화하는지 주시하고, 한국인터넷진흥원(KISA) 등에서 공개하는 랜섬웨어 공격 분석 리포트를 참고해 공격이 어떻게 침투하고 전개되는지 파악하고 자신의 조직에서 이러한 공격이 진행되고 있는지 점검한다.

백업·DR 시스템을 정비해 공격을 당했을 때 즉시 복 구할 수 있도록 하며, 정기적인 모의훈련으로 사고 시 즉시 복구가 가능한지 확인한다. 사고 시 즉각적인 비즈니스 복구를 위해 각 부서와 담당자들이 조치해야 하는 내용을 매뉴얼화 하고 모의 훈련을 통해 실제로 실시하고 수정사항은 보완하면서 공격을 당했다 해도 피해를 최소화하는 ‘회복 탄력성’ 을 확보한다.

비즈니스 전반의 사이버 위생 상태를 점검해 공격당 할 가능성을 제거하는 것이 랜섬웨어 대응의 시작이 되 어야 한다. 연결된 모든 사람과 기기, 애플리케이션, 클라우드를 식별하고, 허가되지 않은 연결은 제거하며, 예외조치된 구성은 제자리로 돌려놓는다.

알려진 취약점은 즉시 패치하고, 취약점 패치가 어려 운 경우 가상패치나 접근통제, 행위분석 등을 이용해 공격이 진행되지 않도록 한다. 내부 워크로드를 세분화해 공격자가 첫 번째 침투에 성공했다 해도 이후 위 협 행위가 진행되지 않도록 차단한다.

이와 함께 직원 교육을 통해 보안 습관을 생활화하며, 가정이나 이동 중 업무 시에도 일관된 보안 정책을 지키면서 업무할 수 있도록 한다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.