2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가”
페이지 정보
작성자 게시판관리자 작성일20-02-14 12:19 조회7,443회 댓글0건관련링크
본문
2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가”
1년 동안 관찰된 바에 따르면, 이런 공격은 사라지지 않고 더욱 증가할 가능성이 높을것으로 예상이 된다.
[공격 목표가 이동하고 있다]
랜섬웨어는 개인 사용자 위협으로 시작했다. 이는 사람들에게 가짜 벌금을 내거나 존재하지 않은 문제를 해결하기 위해 악성 소프트웨어를 구매하도록 속이는 스케어웨어(scareware)의 공격적인 진화다. 분석 기간 동안 비즈니스 환경에서 랜섬웨어 탐지 수는 365% 증가한 반면 일반 사용자 탐지는 감소했다. 멀웨어바이트 연구소장 애덤 쿠자와에 따르면, 이런 추세는 1년 동안 지속됐다. 쿠자와는 본지와의 인터뷰에서 “우리는 기업에 초점을 맞추고 있는데, 모든 종류의 감염 방법이 증가하고 있다”면서, “몇 년 전보다 오늘날에는 감염이 더 쉬워졌고 이터널블루(EternalBlue)와 기타 익스플로잇들이 확실히 이것과 관련이 있다”라고 말했다.
이터널블루는 마이크로소프트의 SMB(Server Message Block) 프로토콜 구현 취약점을 악용해 모든 윈도우 버전에 영향을 주는 공격으로 2017년 3월에 패치됐다. 2017년 전 세계 많은 조직을 마비시킨 워너크라이(WannaCry), 낫페트야(NotPetya) 등 많은 랜섬웨어 웜의 주요 전파 방법은 기업 네트워크를 통해서였다.
쿠자와는 “기업을 대상으로 하는 이런 유형의 공격이 증가한 절대적인 이유는 아니지만, 워너크라이와 낫페트야가 기업 보안의 바닥을 보여준 것이라 생각한다. 이전에는 많은 사람이 대기업에는 보안팀이 있고 해커들이 침입하기 힘들다고 생각했었다. 하지만 이런 공격이 성공해 엄청나고 방대한 피해를 줄 수 있는 것은 구성이 잘못된 것 때문이 아니라 제때 패치하지 않고 대응하지 않기 때문이라는 것을 알아차렸다. 많은 사이버 범죄자가 기업에 눈을 돌렸으며, 이들은 기업 또한 많은 사용자 가운데 하나라고 생각한다”라고 설명했다.
[피해 현황을 알지 못한다는 것에 대한 영향]
FBI의 IC3(Internet Crime Complaint Center)는 2019년 10월에 발표한 경보에서 “IC3와 FBI 사례 정보 접수 내용에 따르면, 2018년 초 이후 광범위한 무차별 랜섬웨어 캠페인 발생은 급격히 줄었지만, 랜섬웨어 공격으로 인한 손실은 크게 증가했다”라고 밝혔다.
IC3는 “랜섬웨어 공격은 전체적인 공격 빈도가 일정하게 유지되고 있음에도 불구하고 점점 더 표적화되고 정교해지며 피해 비용이 증가하고 있다”라고 말했다.
미국 상장 기업들은 주주들에게 중대한 사이버 공격을 공개해야 하는 의무의 일환으로, 미 증권거래위원회(Securities and Exchange Commission, SEC)에 랜섬웨어 공격에 당한 피해 상황에 대한 정보를 공개한다. 기업은 고객과 파트너에게 심각한 비즈니스 차질을 설명해야 할 때 피해 사건을 공개해야 할 수도 있다.
예를 들어, 2017년 낫페트야 공격의 결과로, 대형 운송업체인 머스크(Maersk)는 17개 항구 터미널에서 운영을 중단해야 했고, 이로 인해 화물 적재 대기 라인이 크게 늘어나 이를 해결하는 데에만 수 개월이 걸리는 물류 악몽에 시달렸다. 이 사건으로 인해 머스크는 2억 달러 이상의 손실을 입었지만, 고객 비즈니스에도 심각한 영향을 미쳤다.
랜섬웨어가 지방자치단체, 병원, 학교 또는 경찰서와 같은 공공 기관을 공격할 때, 그 충격에 대한 가시성이 커지고 피해 여파가 우려된다. 보안 업체 엠시소프트(Emsisoft)가 2019년 12월에 발표한 보고서에 따르면, 랜섬웨어 공격은 113개 미국 정부기관, 지방자치단체, 주정부에 영향을 미쳤으며, 764개의 의료 서비스 제공업체와 89개의 대학교 및 단과대학 등이 영향을 받을 가능성이 있다고 한다.
[랜섬웨어 진화]
랜섬웨어, APT 레벨의 위협으로 진화 공공기관이 더 쉬운 대상이라 하더라도, 민간 기업이 랜섬웨어 감염 위험에서 벗어난 것은 아니다. 지난 몇 년간 랜섬웨어 범죄자는 표적형 전달 매커니즘, 관리도구 및 유틸리티를 사용한 매뉴얼 해킹(manual hacking), 은밀한 네트워크 정찰, 그리고 이와 관련된 다른 공격 프로세스 등 정교한 기술을 채택해왔다. 이런 기술은 원래 사이버 스파이 그룹 및 국가 주도의 행위자와 연관이 있었다. 이는 기존 사이버 범죄자들이 APT(Aadvanced Persistent Threat) 기법을 채택하고 있는 더 큰 트렌드의 일부다.
쿠자와는 “매뉴얼 감염(manual infections)이라 부르는 공격이 증가했다. 이는 인터넷에 연결된 서버와 프로토콜에 취약점이 있는 공격이나 공격자가 시스템 터미널에 액세스해 백도어로 사용할 수 있는 공격 방법이다. 이를 통해 사이버 범죄자들은 기능상 제약이 있는 자동화된 악성코드에 의존하는 대신, 보안 소프트웨어를 비활성화하고 다양한 작업을 수행하면서 특정 대상에 랜섬웨어를 배포할 수 있다”라고 설명했다.
이런 방식으로 배포한 것으로 알려진 랜섬웨어 샘샘(SamSam)의 시작은 2016년까지 거슬러 올라간다. 류크(Ryuk), 로빈후드(RobinHood) 및 소디노키비(Sodinokibi)와 같은 지난 해동안 관찰된 새로운 랜섬웨어들도 같은 전술을 채택했다.
더욱이 랜섬웨어가 사이버 범죄자들이 데이터를 암호화하는 것뿐만 아니라 데이터를 도용해 인터넷에 공개하려고 위협하는 새로운 유형의 위협으로 진화하고 있다는 징후도 포착됐다. 이를 통해 피해 조직은 공공 데이터 유출과 관련한 규제와 재정 및 평판에 영향을 받을 수 있다.
2019년 12월, 메이즈(Maze)라는 해커그룹은 몸값 지불을 거부할 경우, 랜섬웨어에 감염된 조직에서 도난당한 데이터를 공개하겠다고 위협했다. 피해 조직에는 미국 플로리다 주 펜사콜라시가 포함되어 있었는데, 펜사콜라시는 12월 7일 휴대전화, 도시 핫라인, 이메일 서버, 청구서 결제 시스템을 교란시키는 공격을 받았다.
다른 해커 그룹은 데이터 유출을 강탈(Extortion) 기법으로 사용해 왔다. 2015년 소비자를 대상으로 하는 키메라(Kimera)라는 랜섬웨어는 피해자로부터 도난된 개인정보를 공개하겠다고 위협했다. 그러나 키메라의 경우, 단지 공포 전술일뿐이었고 공격자는 실제로 감염된 시스템에서 데이터를 훔치지 않았다.
지난 수년간 사이버 범죄자들이 도난당한 정보를 공개하겠다고 위협한 많은 행위가 대부분 가짜로 판명됐다. 대량의 데이터를 유출하는 것이 어렵기 때문이다. 피해자의 데이터를 유출하기 위해서는 수백 테라바이트의 데이터를 수신하고 저장할 수 있는 인프라가 필요하다. 이는 공격 캠페인에 상당한 비용을 추가한다. 그러나 유지 관리가 쉽고 스토리지 및 데이터 트래픽 비용을 낮추는 클라우드 인프라의 등장으로 이런 공격이 현실화되기 시작했다.
[새로운 공격 방법, "탐지가 쉽지 않다" ]
랜섬웨어를 배포하는 주요 방법은 스피어 피싱과 안전하지 않은 RDP(Remote Desktop Protocol) 연결로 유지된다. 그러나 공격자는 이미 다른 악성코드에 감염된 시스템에 액세스할 수도 있다. 온라인 마켓 플레이스는 해킹된 컴퓨터와 서버에 대한 액세스를 판매하고 있으며, 봇넷은 이를 사려는 이들을 위해 추가적인 악성코드를 배포한다. 예를 들어, 이모텟(Emotet) 스팸 봇넷, 트릭봇(TrickBot) 자격증명 도용 트로이, 류크 랜섬웨어의 관계는 보안 업계에서 잘 알려져 있다.
매니지드 보안 서비스 제공업체 시큐어웍스(Secureworks) 연구원 크리스 율은 지난해 11월에 열린 디프캠(DefCamp) 컨퍼런스에서 “류크 랜섬웨어 사건의 초기 해킹은 거의 항상 상업용 악성코드를 통해 발생한다”라고 말했다. 율의 강연은 대기업의 실제 랜섬웨어 감염에 대한 통찰력을 제공했다.
[풀기가 더 어려워진 랜섬웨어]
풀기가 더 어려워진 랜섬웨어 암호화보안 업체는 피해자가 돈을 지불하지 않고 파일을 복구할 수 있도록 랜섬웨어 프로그램의 파일 암호화 구현에서 취약점을 찾아내려고 한다. 이런 노력의 결과로 만들어진 해독 도구는 일반적으로 무료로 배포되며, 이는 유로폴(Europol)에서 유지 관리하는 노모어랜섬(NoMoreRansom.org) 사이트에서 이용할 수 있다.
그러나 좀 더 지능적인 그룹이 사용하는 랜섬웨어는 상당히 성숙하다. 공격자들은 과거의 실수나 다른 랜섬웨어 개발자의 실수를 통해 구현 오류를 수정했다.
일부 랜섬웨어 프로그램 코드가 온라인으로 유출되어 복사 및 개선이 가능하다. 운영체제는 또한 암호화 API를 제공하며 잘 알려진 오픈소스 암호화 프레임워크 및 라이브러리가 있다. 공격자에게 가장 인기있는 랜섬웨어 프로그램은 강력한 암호화 알고리즘을 사용하고 해결책이 없기 때문에 가장 위험하다는 것을 의미한다.
조직에서는 백업 계획을 수립하고 정기적으로 테스트하는 데이터 복원 계획을 세우는 것이 중요하다. 또한 공격자가 백업을 삭제하거나 암호화하는 것을 방지하기 위해 백업을 오프사이트 또는 네트워크 외부에 보관해야 한다. 알려진 일부 사례에서 조직은 백업이 해킹됐거나 복구 프로세스가 해독기를 구입하는 것보다 너무 오래 걸렸기 때문에 몸값을 지불하기로 결정할 수 밖에 없었다.
[필수적인 랜섬웨어 방어 전략]
무엇보다 조직은 내외부 침투 테스트를 수행해 인터넷에 노출될 가능성이 있는 시스템이나 서버를 식별해 쉬운 공격 목표 목록에서 벗어나야 한다. VPN이나 RDP와 같은 네트워크 원격 연결에는 강력하고 고유한 자격 증명과 이중 인증(2FA)도 있어야 한다. 네트워크 내부에서 기업은 엔드포인트와 서버에서의 운영체제와 소프트웨어들이 최신 상태의 패치인지 확인해야 한다. 네트워크는 최소한의 특권 원칙을 기반으로 세분화해 한 부서의 워크 스테이션이 해킹되어도 전체 네트워크로 쉽게 이어지지 않도록 해야 한다. 윈도우 네트워크에서 도메인 컨트롤러의 비정상적인 액세스가 있는지 주의깊게 모니터링해야 한다.
많은 랜섬웨어 감염은 워크스테이션 감염부터 시작되기 때문에 엔드포인트 안티악성코드 소프트웨어를 사용하는 것이 중요하다. 브라우저에서 불필요한 플러그인과 확장 프로그램을 제거해 소프트웨어를 최신 상태로 유지하고 직원 계정에 제한된 권한을 부여한다.
피싱 이메일을 탐지하고 파일을 열거나 링크를 클릭하라는 요청에 응하지 않도록 직원들을 교육시킨다. 보안 팀에서는 직원들이 의심스럽다고 생각하는 이메일을 전달할 수 있도록 특별한 이메일 주소를 만들어야 한다.
일반 악성 프로그램 감염이라도 심각한 위협에 대한 침입 백터가 될 수 있는 경우가 많기 때문에 가볍게 다루지 말고, 철저히 조사해야 한다.
. editor@itworld.co.kr
원문보기:
http://www.itworld.co.kr/news/143876#csidx782536697ffbd0abb1634eada489abe
댓글목록
등록된 댓글이 없습니다.