랜섬웨어 산업은 영원할 것만 같았지만, 태생적으로 가진 한계가 있어 발목이 붙잡힐 수도 있을 것으로 보인다. 그걸 인지한 것인지 랜섬웨어 공격 단체들도 새로운 파트너를 물색하기 시작했다. 그 파트너들은 BEC 공격자들이다.
[보안뉴스 문가용 기자] 사법 기관의 체포 활동과 암호화폐 규정이 점점 엄격해지고 있는 가운데 랜섬웨어 사업자들의 수익이 점점 낮아지고 있다고 한다. 앱노멀시큐리티(Abnormal Security)의 위협 분석가인 크레인 해솔드(Crane Hassold)는 이번 주 열린 RSA 컨퍼런스에서 이와 같은 사실을 발표하며 “조만간 랜섬웨어에 대한 관심이 줄어들고 대신 BEC가 집중 조명을 받게 될 것”이라고 예측했다.
[이미지 = utoimage]
RaaS 운영 사업에 대한 압박감
랜섬웨어 공격은 늘상 헤드라인을 차지한다. 그만큼 현대의 골치 아픈 문제라는 것인데, 그렇기 때문에 사법 기관의 집중적인 추적과 감시에 시달리기도 한다. 해솔드는 “랜섬웨어는 하나의 중앙화 된 생태계를 유지하고 있으며, 그 가운데에는 소수의 랜섬웨어 공격 단체들이 존재한다”고 설명한다. 그렇다는 건 랜섬웨어 단체 하나가 사법 기관에 무력화되는 게 생태계 전체에 치명적으로 작용할 수 있다는 뜻이다.
“최근 발생한 랜섬웨어 공격의 50% 이상이 단 두 그룹인 콘티(Conti)와 록빗(LockBit)에 의한 것이었습니다. 파이사(Pysa)라는 랜섬웨어 그룹 하나가 사라지면서 갑자기 세력이 이 두 그룹으로 크게 쏠리게 됐죠. 이처럼 한 그룹 한 그룹이 매우 큰 지분을 차지하고 있는 게 지금의 랜섬웨어 생태계가 가진 구조입니다. 반면 BEC 생태계는 완전히 딴판입니다. 자잘한 그룹이 온 사방에 퍼져 있어요. 특별한 영향력을 발휘하는 그룹도 없고요. BEC라는 산업 자체를 없앤다는 건 대단히 어려운 일입니다.”
BEC 공격은 랜섬웨어처럼 헤드라인을 독식하지도 못할 뿐더러 심지어 보안 업계에서도 큰 관심을 보이지 않는다. 하지만 소리 소문 없이 기업들에 적잖은 피해를 입히는 악성 요소이며, 2016년부터 지금까지 430억 달러 이상의 피해를 누적시킨 것으로 분석되고 있다. 실제 피해액은 랜섬웨어의 그것을 넘어선다. 해솔드는 사이버 공격자들도 이런 점을 잘 이해하고 있다고 설명한다.
암호화폐와 랜섬웨어
랜섬웨어는 지난 2년여 동안 유례를 찾기 힘든 전성기를 누렸다. 전성기를 견인한 것 중 하나는 암호화폐라고 해솔드는 설명한다. “암호화폐 덕분에 범죄 행위를 현금으로 전환하는 것이 쉬워졌어요. 협박을 해서 피해자에게 돈을 받는 것도 쉬워지고, 그 금액이 상당히 커도 충분히 추적을 걱정하지 않고 받아낼 수 있게 됐죠. 한 마디로 지난 몇 년 동안 랜섬웨어 공격자들에게는 거칠 것이 없었던 것입니다. 공격 인프라 뿐만 아니라 금전적 인프라까지 다 갖춰진 것이니까요.”
하지만 그렇기 때문에 암호화폐 생태계에서 문제가 생기기 시작하면 랜섬웨어 공격자들의 사업 운영에도 문제가 생긴다. 최근 여러 정부에서 암호화폐와 관련된 규제를 신설하거나 강화하는 흐름이 유지되고 있는데, 이것이 실제 랜섬웨어 운영자들을 곤란하게 만들고 있다고 해솔드는 설명한다. 그 좋던 익명성이나 악성 자금의 편리한 송금이 점점 까다로워지고 있는 것이다.
반면 BEC 공격은 암호화폐와 그리 큰 관련이 없다. 기업들의 재무부 담당자들을 속여 일반적인 돈을 정상적으로 송금하도록 속이는 것이기 때문이다. 다만 보내는 곳이 범인의 계좌일 뿐이지 사용되는 화폐나 송금 방법은 모두 일반적인 것들이다. 그래서 암호화폐 규제가 강력해져도 BEC 생태계는 큰 영향을 받지 않는다.
사회 공학적 공격 기법
BEC 공격이라고 퉁쳐서 말하긴 하지만 세부적으로 들어가면 다양한 종류가 있음을 알 수 있다. 하지만 그 근간은 ‘사회 공학적 기법’이다. 피해 기업의 구성원 한둘을 속여 엉뚱한 행동을 하도록 만드는 것이 핵심이라는 것이다. 해솔드는 “예전에는 내부 임원을 사칭해 직원들을 속였다면, 지금은 외부 파트너사를 사칭해 직원들을 속인다”고 설명을 덧붙인다.
해솔드는 “공격자들이 외부 파트너사를 사칭하려면 적잖은 정보를 가지고 있어야 한다”며 “오늘날의 BEC 공격자들은 기업의 내부 네트워크에 숨어 들어 금융망과 관계망 등을 면밀히 조사한다”고 말한다. “자연스럽게 금융망에 개입해 중간에서 돈을 가로채는 게 공격자들의 목표이니까요. 최대한 자연스럽게 행동하기 위해 회사가 어떤 회사와 어떤 사업적, 금전적 관계를 맺고 있는지 조사하고 익힙니다. 그러다가 슬쩍 입금 계정을 바꿔치기 하죠.” 그리고 이러한 수법은 지난 수십 년 동안 계속해서 잘 통해왔다고 해솔드는 설명한다.
“너무 흔해서 ‘누가 속냐’라는 말이 나올 정도죠. 그런데 모두가 속아넘어갑니다. 그러니 랜섬웨어보다 큰 규모의 피해를 입히는 것이죠. 게다가 오랜 기간 동안 사용되어 온 기법이기 때문에 충분이 그 성능이 증명되었다고도 볼 수 있습니다. 랜섬웨어에 비해서 매우 안정적인 성공률을 보장하는 기법이라는 것이죠.”
해솔드는 이미 랜섬웨어 공격 단체들이 서부 아프리카 BEC 조직들과 손을 잡기 시작한 정황들이 다크웹에서 발견되고 있다고 발표하기도 했다. “아직 협업 단계에까지 이른 것으로 보이지는 않습니다. 하지만 서로 뭔가를 같이 하고는 있습니다. 정보 교류를 하고 있는 것일 수도 있고, 새로운 사업 가능성을 모색하고 있는 것일 수도 있습니다. 이것이 훗날 어떤 모양으로 나타날지는 아직 예측할 수 없습니다.”
3줄 요약
1. 전성기 누리고 있는 랜섬웨어이지만 생태계에 불안감 존재함.
2. BEC는 소리 소문 없이 많은 피해 누적시키고 있는 사이버 공격 기술.
3. 최근 랜섬웨어 공격자들과 BEC 공격자들 사이의 교류가 확대되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사법 기관의 체포 활동과 암호화폐 규정이 점점 엄격해지고 있는 가운데 랜섬웨어 사업자들의 수익이 점점 낮아지고 있다고 한다. 앱노멀시큐리티(Abnormal Security)의 위협 분석가인 크레인 해솔드(Crane Hassold)는 이번 주 열린 RSA 컨퍼런스에서 이와 같은 사실을 발표하며 “조만간 랜섬웨어에 대한 관심이 줄어들고 대신 BEC가 집중 조명을 받게 될 것”이라고 예측했다.
[이미지 = utoimage]
RaaS 운영 사업에 대한 압박감
랜섬웨어 공격은 늘상 헤드라인을 차지한다. 그만큼 현대의 골치 아픈 문제라는 것인데, 그렇기 때문에 사법 기관의 집중적인 추적과 감시에 시달리기도 한다. 해솔드는 “랜섬웨어는 하나의 중앙화 된 생태계를 유지하고 있으며, 그 가운데에는 소수의 랜섬웨어 공격 단체들이 존재한다”고 설명한다. 그렇다는 건 랜섬웨어 단체 하나가 사법 기관에 무력화되는 게 생태계 전체에 치명적으로 작용할 수 있다는 뜻이다.
“최근 발생한 랜섬웨어 공격의 50% 이상이 단 두 그룹인 콘티(Conti)와 록빗(LockBit)에 의한 것이었습니다. 파이사(Pysa)라는 랜섬웨어 그룹 하나가 사라지면서 갑자기 세력이 이 두 그룹으로 크게 쏠리게 됐죠. 이처럼 한 그룹 한 그룹이 매우 큰 지분을 차지하고 있는 게 지금의 랜섬웨어 생태계가 가진 구조입니다. 반면 BEC 생태계는 완전히 딴판입니다. 자잘한 그룹이 온 사방에 퍼져 있어요. 특별한 영향력을 발휘하는 그룹도 없고요. BEC라는 산업 자체를 없앤다는 건 대단히 어려운 일입니다.”
BEC 공격은 랜섬웨어처럼 헤드라인을 독식하지도 못할 뿐더러 심지어 보안 업계에서도 큰 관심을 보이지 않는다. 하지만 소리 소문 없이 기업들에 적잖은 피해를 입히는 악성 요소이며, 2016년부터 지금까지 430억 달러 이상의 피해를 누적시킨 것으로 분석되고 있다. 실제 피해액은 랜섬웨어의 그것을 넘어선다. 해솔드는 사이버 공격자들도 이런 점을 잘 이해하고 있다고 설명한다.
암호화폐와 랜섬웨어
랜섬웨어는 지난 2년여 동안 유례를 찾기 힘든 전성기를 누렸다. 전성기를 견인한 것 중 하나는 암호화폐라고 해솔드는 설명한다. “암호화폐 덕분에 범죄 행위를 현금으로 전환하는 것이 쉬워졌어요. 협박을 해서 피해자에게 돈을 받는 것도 쉬워지고, 그 금액이 상당히 커도 충분히 추적을 걱정하지 않고 받아낼 수 있게 됐죠. 한 마디로 지난 몇 년 동안 랜섬웨어 공격자들에게는 거칠 것이 없었던 것입니다. 공격 인프라 뿐만 아니라 금전적 인프라까지 다 갖춰진 것이니까요.”
하지만 그렇기 때문에 암호화폐 생태계에서 문제가 생기기 시작하면 랜섬웨어 공격자들의 사업 운영에도 문제가 생긴다. 최근 여러 정부에서 암호화폐와 관련된 규제를 신설하거나 강화하는 흐름이 유지되고 있는데, 이것이 실제 랜섬웨어 운영자들을 곤란하게 만들고 있다고 해솔드는 설명한다. 그 좋던 익명성이나 악성 자금의 편리한 송금이 점점 까다로워지고 있는 것이다.
반면 BEC 공격은 암호화폐와 그리 큰 관련이 없다. 기업들의 재무부 담당자들을 속여 일반적인 돈을 정상적으로 송금하도록 속이는 것이기 때문이다. 다만 보내는 곳이 범인의 계좌일 뿐이지 사용되는 화폐나 송금 방법은 모두 일반적인 것들이다. 그래서 암호화폐 규제가 강력해져도 BEC 생태계는 큰 영향을 받지 않는다.
사회 공학적 공격 기법
BEC 공격이라고 퉁쳐서 말하긴 하지만 세부적으로 들어가면 다양한 종류가 있음을 알 수 있다. 하지만 그 근간은 ‘사회 공학적 기법’이다. 피해 기업의 구성원 한둘을 속여 엉뚱한 행동을 하도록 만드는 것이 핵심이라는 것이다. 해솔드는 “예전에는 내부 임원을 사칭해 직원들을 속였다면, 지금은 외부 파트너사를 사칭해 직원들을 속인다”고 설명을 덧붙인다.
해솔드는 “공격자들이 외부 파트너사를 사칭하려면 적잖은 정보를 가지고 있어야 한다”며 “오늘날의 BEC 공격자들은 기업의 내부 네트워크에 숨어 들어 금융망과 관계망 등을 면밀히 조사한다”고 말한다. “자연스럽게 금융망에 개입해 중간에서 돈을 가로채는 게 공격자들의 목표이니까요. 최대한 자연스럽게 행동하기 위해 회사가 어떤 회사와 어떤 사업적, 금전적 관계를 맺고 있는지 조사하고 익힙니다. 그러다가 슬쩍 입금 계정을 바꿔치기 하죠.” 그리고 이러한 수법은 지난 수십 년 동안 계속해서 잘 통해왔다고 해솔드는 설명한다.
“너무 흔해서 ‘누가 속냐’라는 말이 나올 정도죠. 그런데 모두가 속아넘어갑니다. 그러니 랜섬웨어보다 큰 규모의 피해를 입히는 것이죠. 게다가 오랜 기간 동안 사용되어 온 기법이기 때문에 충분이 그 성능이 증명되었다고도 볼 수 있습니다. 랜섬웨어에 비해서 매우 안정적인 성공률을 보장하는 기법이라는 것이죠.”
해솔드는 이미 랜섬웨어 공격 단체들이 서부 아프리카 BEC 조직들과 손을 잡기 시작한 정황들이 다크웹에서 발견되고 있다고 발표하기도 했다. “아직 협업 단계에까지 이른 것으로 보이지는 않습니다. 하지만 서로 뭔가를 같이 하고는 있습니다. 정보 교류를 하고 있는 것일 수도 있고, 새로운 사업 가능성을 모색하고 있는 것일 수도 있습니다. 이것이 훗날 어떤 모양으로 나타날지는 아직 예측할 수 없습니다.”
3줄 요약
1. 전성기 누리고 있는 랜섬웨어이지만 생태계에 불안감 존재함.
2. BEC는 소리 소문 없이 많은 피해 누적시키고 있는 사이버 공격 기술.
3. 최근 랜섬웨어 공격자들과 BEC 공격자들 사이의 교류가 확대되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
