'빨리 먹고 튀는' 랜섬웨어 증가에…"시스템 해킹 인지 시간, 205일→10일로 줄어"

[국이]

'빨리 먹고 튀는' 랜섬웨어 증가에…"시스템 해킹 인지 시간, 205일→10일로 줄어"

구글 맨디언트 'M-트렌드' 발표…드웰타임 2014년 205일→2023년 10일
랜섬웨어 기승에 해킹 인지 시점 빨라져…강화된 기업·기관 보안 역량도 영향
지난해 가장 많은 공격을 받은 산업은 금융 서비스 분야

심영섭 맨디언트 컨설팅 한국 및 일본 지역 대표가 25일 서울 강남구 사무실에서 열린 간담회에서 연례 보고서 'M-트렌드'내용을 발표하고 있다(사진=맨디언트 코리아 제공) *재판매 및 DB 금지

"'빨리 공격해서 돈을 벌어야 하는' 랜섬웨어 공격이 기승을 부리고 있습니다. 이에 따라 사이버 범죄자가 피해자의 시스템에 머무르는 시간도 단 10일에 불과합니다."

심영섭 맨디언트 컨설팅 한국 및 일본 지역 대표는 25일 서울 강남구 사무실에서 열린 간담회에서 연례 보고서 'M-트렌드'내용을 발표하며 이같이 설명했다.

맨디언트는 2004년에 설립된 글로벌 보안 기업이다. 사이버보안 컨설팅, 사이버 위협 인텔리전스, 디지털포렌식·사고대응, 보안 교육 등이 주요 사업 영역이다. 지난 2022년 구글 클라우드에 인수됐다.

'M-트렌드'는 맨디언트가 지난 한 해 동안 포춘 100개 기업 포함 글로벌 2000개 기업, 각국 정부기관 등의 의뢰를 통해 수행한 사이버 공격 조사 및 대응 결과를 분석한 내용을 담고 있다.

심 대표는 "M-트렌드는 가장 핵심적인 사이버 보안 지표와 최전선에서 얻은 인사이트를 제공한다"고 강조했다.

랜섬웨어 비율 증가하자 드웰타임 감소

M-트렌드 보고서에 따르면, 공격자가 발견되기 전까지 피해자 시스템에 머무르는 일수인 '드웰타임'의 중앙값은 맨디언트 조사 이래 지속적으로 감소해 지난해 '10일'로 단축됐다. 중앙값은 크기순으로 나열했을 때 중앙에 있는 값을 말한다.

실제 지난 2011년 416일이던 드웰타임 글로벌 중앙값은 2014년 205일, 2016년 99일로 대폭 줄었다. 그러다 2017년 101일로 소폭 증가했으나 2018년 다시 78일로 줄었다. 이후 2022년 16일에서 지난해는 10일로 단축됐다. 2011년엔 피해자에 시스템에 침투해 있는 공격자의 존재를 400일 이상이 걸려야 인지할 수 있었지만, 지난해엔 10일 만에 알 수 있었다는 설명이다.

심영섭 대표는 드웰타임 중앙값이 감소한 원인으로 기업·기관의 보안 역량 강화와 더불어 랜섬웨어 공격 증가를 꼽았다. 랜섬웨어는 금전 갈취를 위한 협박을 위해 스스로 공격 사실을 알리는 경우가 많기 때문이다.

심 대표는 "우리가 방어 기술력을 높여 조금 더 빨리 탐지를 했다는 측면도 있다"면서도 "드웰타임 중앙값이 100일이 넘다가 갑자기 확 줄었는데, 이때 랜섬웨어가 기승을 부렸다"고 말했다.

그러면서 "일반적으로 랜섬웨어 조직의 공격 특징은 최대한 공격하기 쉬운, 그리고 돈을 낼 가능성이 높은 타깃을 잡아, 빠르게 공격하고 수익을 얻고 또 다른 타깃을 찾는다"면서 "몇 달 동안 침투하면 아무래도 투자자본수익률(ROI)이 떨어 지기 때문에 이런 공격 형태가 증가하는 추세로 보고 있다"고 말했다.

주요 타깃은 금융 서비스·초기 침투 방법은 '제로데이 취약점 공격'

지난해 사이버범죄자들의 주요 공격 표적이 된 산업은 금융 서비스로, 전체 조사의 17%를 차지했다. 비즈니스·전문 서비스 13%, 하이테크 12%, 소매·서비스업 9%, 의료 8%가 그 뒤를 이었다.

이 산업들은 공통적으로 독점적인 비즈니스 데이터, 개인 신원 정보, 건강 정보, 재무 기록 등 민감한 정보를 많이 보유하고 있었으며 민감한 데이터를 악용하려는 공격자에게 매력적인 표적이 된 것으로 나타났다.

공격자들이 피해자 시스템에 초기 침투하는 방법으로는 제로데이(Zero-day) 취약점 공격 38%, 피싱 17% 순으로 나타났다. 제로데이 취약점 공격이란 소프트웨어나 하드웨어의 보안 취약점이 발견됐으나 해당 취약점에 대한 패치나 해결책이 개발자와 사용자에게 배포되기 전에 이를 악용하는 사이버 공격을 의미한다.

심 대표는 "과거 주요 침투방법이었던 피싱은 사내교육, 내부 탐지 솔루션이 강화되면서 효율이 다소 떨어졌는데, 그러다 보니 공격자가 다른 대체 수단을 찾을 것은 취약점 공격"이라고 말했다. 이어 "예전의 취약점 공격은 주로 웹 서버, 웹 애플리케이션을 대상으로 했다면 최근은 가상사설망(VPN), 방화벽 등 엣지 디바이스로 옮겨왔다"고 설명했다．

랜섬웨어란 무엇이며 공격 및 예방법은?랜섬웨어(Ransomware) 공격이란
랜섬웨어 침입 포인트 5가지 유형

SNS 기사보내기페이스북(으)로 기사보내기트위터(으)로 기사보내기URL복사(으)로 기사보내기바로가기본문 글씨 키우기본문 글씨 줄이기')">이메일(으)로 기사보내기 ?>기사저장

한화 계열사이자 석유화학계 기초 화학물질 제조업을 중심으로 하는 한화솔루션이 세계적인 랜섬웨어 그룹 록빗(Lockbit)의 해킹 공격을 받았으며, 800GB에 달하는 데이터가 탈취된 것으로 알려졌다. 현재 록빗은 다크웹을 통해 이 같은 사실을 알리며 협상을 요구하고 있다.

록빗은 다크웹의 자사 웹페이지를 통해 한화 소유물이라고 주장하는 데이터의 샘플을 공개했다. 공개된 데이터는 한자와 영문으로 돼 있으며, 엑셀 파일, 계약 서류, 도면 등 다양한 자료였다. 록빗 측은 확보하고 있는 한화의 데이터가 800GB 이상 된다고 밝혔다.

랜섬웨어에 의한 공격에서는 사이버 범죄자는 고도의 수법을 사용해 기업이나 조직에 있는 '침입구'를 찌른다. 그리고 랜섬웨어를 감염시켜 컴퓨터의 파일이나 데이터를 암호화해 버려 기능을 정지시킨다.

몸값을 지불하면, ‘복호열쇠’를 공격자로부터 받고, 잘하면 시스템을 복구하는 것이 가능하게 된다. 또 몸값을 지불하지 않아도, 비용은 걸리지만 스스로 시스템을 바꾸면, 데이터 등에 액세스 할 수 없게 될 가능성은 있지만 치명적인 손실을 받는다.

◇랜섬웨어(Ransomware) 공격이란

랜섬웨어는 사용자의 컴퓨터를 장악하거나데이터를 암호화한 다음 정상적인 작동을 위한 대가로 금품을 요구하는 유형의 악성코드다.

요즘의 랜섬웨어 공격에서는, 공격자가 표적의 시스템을 암호화할 때에, 시스템으로부터 기업의 내부 데이터를 훔치는 것이다. 그리고 그것을 "공개되고 싶지 않으면 몸값을 지불하라"며 이중으로 협박해온다.

그렇게 되면, 몸값을 지불할지, 기업 비밀이나 고객이나 거래처 정보를 포함한 정보 누설을 허락할지의 궁극의 선택을 해야된다. 즉, 랜섬웨어 피해를 받으면 기업이나 조직 등은 데이터가 손실되어 시스템 다운타임이라는 피해, 더욱 조직으로서 신용을 잃는 사태가 된다.

랜섬웨어 공격의 피해를 피하기 위해서는 사전 예방이 핵심이다. 사이버범죄자의 움직임을 제대로 분석할 수 있다면 대책에 나설 수 있다. 거기서 키가 되는 것은 역시 정보(인텔리전스)이다.

사전에 사이버 위협을 철저히 조사하는 사이버 대책 중 하나인 '위협 인텔리전스'는 필수적이다. 이번에는 사이버 범죄자가 기업이나 조직에 침입하는데 사용하는 5개의 '침입 포인트'를 설명한다.

이러한 포인트를 제대로 인식하고 대책에 연결하는 것은 사이버 공간상의 안전 확보와 데이터 보호로 이어진다. 되는 것은 역시 정보(인텔리전스)이다. 이러한 포인트를 제대로 인식하고 대책에 연결하는 것은 사이버 공간상의 안전 확보와 데이터 보호로 이어진다.

◇랜섬웨어 침입 포인트 5가지 유형

① 피싱(Phishing) 메일

피싱은 사기성 이메일, 메시지, 광고 또는 이미 사용 중인 사이트와 비슷해 보이는 사이트를 통해 개인 정보를 도용하거나 온라인 계정에 침입하려는 시도를 말한다.

피싱 메일은 랜섬웨어 공격의 가장 많은 침입 포인트 중 하나이다. 사이버 범죄자는, 그 손이 손으로 기업등에 메일을 보내, 악의가 있는 링크를 클릭시키거나, 부정한 프로그램을 담은 첨부 파일을 다운로드나 실행시킨다.

그러한 메일은, 은행이나 동료 등 신뢰할 수 있는 상대로부터의 것인 것처럼 교묘하게 치장하고 있는 일이 있다. 보낸 사람 등을 신중하게 찾는 것이 중요하다.

② 악의가 있는 웹사이트와 드라이브 바이 다운로드 (Drive-by download)

드라이브 바이 다운로드는 사용자에게는 매우 치명적이다. 사이버 범죄자는, 바이러스에 감염시키기 위해서 준비된 웹 사이트나 드라이브 바이 다운로드를 사용해, 기업이나 조직 컴퓨터에 랜섬웨어를 감염시키려고 한다.

"드라이브 바이 다운로드"란, 아무것도 모르는 사용자가 사이버 범죄자에 의해 침해된 웹사이트에 액세스하면, 자동적으로 맬웨어가 다운로드되어 버리는 수법을 가리킨다. 신뢰할 수있는 웹 사이트 만 방문하고 자동 다운로드를 비활성화해야한다.

드라이브 바이 다운로드를 막기 위해선 웹 필터링 어플리케이션이 있으면 좋다. 드라이브 바이 다운로드가 존재할 수 있는 사이트에 대한 접근을 경고 및 통제해준다.

③ 원격 데스크톱 프로토콜 (RDP) 취약점

원격 데스크톱은 한 컴퓨터에서 멀리 떨어진 데스크톱 컴퓨터에 원격으로 연결할 수 있는 기능이다. 원격 데스크탑 연결(RDP)에서 가장 심각한 취약점 중 하나는 "블루킵(BlueKeep)"이다.

BlueKeep (CVE-2019-0708)은 공격자가 특수하게 조작된 요청을 올바른 포트(보통 3389)로 보낼 경우 컴퓨터에서 원하는 모든 코드를 실행할 수 있게 되는 취약점을 가지고 있다.

정상적인 사용자의 경우, RDP프로토콜을 사용할 때 Password를 입력해서 인증을 해야하지만, 취약점을 이용하면 특별히 정교하게 만든(specially crafted) request를 보내면 사용자 인증 과정 없이 바로 접속해서 모든 명령어를 사용할 수 있게 된다고 한다.

그러나 보안이 제대로 확보되지 않은 경우 사이버 범죄자의 랜섬웨어의 주요 침입 지점이 될 수 있다. 공격자는 약한 패스워드를 추측해 시스템에 침입해 와서, 랜섬웨어를 감염시키기 때문에, 리모트 접속에서는 제대로 패스워드등을 설정해야 한다.

④ 소프트웨어의 취약성과 익스플로잇

업데이트하지 않은 미수정의 보안 구멍, 낡은 소프트웨어와 부적절한 소프트웨어 관리는 모두, 랜섬웨어 공격의 침입 포인트가 된다.

사이버 범죄자는 이러한 보안 틈을 악용하여 시스템에 침입하여 랜섬웨어를 설치하고 민감한 데이터를 위험에 빠뜨린다.

운영 체제, 웹 브라우저, 플러그인을 포함한 소프트웨어를 항상 최신 상태로 유지하고 수정하는 것이 필수적이다.

⑤ 약한 패스워드와 크리덴셜 스터핑(Credential Stuffing)

크리덴셜 스터핑은 해커가 다크 웹에서 구매한 인증정보로 봇을 사용해 웹사이트에 지속적으로 접속하려 시도하는 자동화된 사이버 공격유형이다.

사이버 범죄자는, 계정의 약한 패스워드나, 크레덴셜 스터핑을 이용해 시스템에의 부정한 액세스를 시도해, 랜섬웨어를 감염시킨다.

자격 증명 스터핑은 어딘가에서 도난당한 로그인 정보를 사용하여 여러 서비스 (회원 사이트 등)에 액세스할 수 없는지를 시도하는 것이다.

이를 막기 위해서는 여러 회원 사이트 등에서 쉽게 추측되지 않는 강력하고 독특한 비밀번호를 각각 사용하고 여러 계정에서 같은 비밀번호의 사용을 피해야 한다.

또한 가능한 경우 이중 인증을 사용하는 것을 권장한다. 전세계에서 일어나고 있는 랜섬 공격에서는 반드시 사이버 범죄자가 여기까지 해왔던 공격 등으로 랜섬웨어를 감염시킨다.