3줄 요약
1. 공격 전 침투, 공격 중 정보유출·랜섬웨어, 공격 후 추가 정보유출
2. 방화벽·IPS·이메일 보안·가상머신 등 보안 시스템 탐지·추적 피해
3. 전사 내·외부 유통 모든 파일, 수집·분석 채널로 구분...파일 이력 알 수 있어야

[보안뉴스 김경애 기자] 랜섬웨어 사고 소식이 심심찮게 들린다. 최근 제조업을 노린 공격을 보면, 지능적이고 치밀하다. 해커는 공격 전, 공격 중, 공격 후로 나눠, 각 단계마다 전략적인 공격을 펼친다. 다양한 경로로 침투해 시스템을 완전히 장악하고, 정보유출은 물론 업무·서비스 중단, 기업의 피해를 키운다. 기업에선 랜섬웨어 공격 과정을 잘 알고 대응해야 할 것으로 보인다.


▲랜섬웨어 공격단계[이미지=쿼드마이너]

랜섬웨어 공격 전 단계는 초기 침투 단계다. SNS, 메일 등을 이용해 사회공학적 기법으로 타깃을 물색한다. 타깃이 정해지면 이메일, 웹, 그룹웨어 등 다양한 경로로 백도어를 심어 침투한다. 이후 사용자 PC 점거, 내부 탐색을 통해 공격 전이 대상을 확인한다.

공격 중 단계는 정보 유출, 랜섬웨어 전개를 위해 거점 시스템을 점령한다. 해커는 기업의 정상 통신 방식을 이용해 내부 주요 시스템에 ‘공격전이’(Latteral Movement)를 일으킨다. 이 단계서 정보 유출, 권한상승·권한탈취 공격을 통해 거점 시스템을 확보한다.

공격 후 단계는 추가 정보유출 단계다. 해커는 공격 초기부터 지금껏 수행한 모든 흔적 삭제, 내부 시스템 교란 등 추적을 피한다. 확보된 거점 시스템으론 랜섬웨어를 전개한다. 랜섬웨어 확산에는 내부 소프트웨어 배포 시스템, 파일 공유 시스템, 애플리케이션 등을 이용한다. 전사로 랜섬웨어가 감염되면 해커는 복호화 랜섬지불, 복구업체를 통한 2차 정보 유출 등 여러 피해를 일으킨다.

김용호 쿼드마이너 CTO는 “랜섬웨어 공격 과정을 잘 알고 대응해야 한다. 실제 분석 사례를 보면, 내부 사용자는 많은 악성 사이트에 빈번히 접속했다”며 “이중 랜섬웨어 감염 사례 경우, 공격 초기 단계서 백도어가 쉽게 설치됐다. 사용자 네트워크 사용 트래픽 전수 검사 결과, 다양한 경로로 정보 유출, 랜섬웨어 전개를 위한 악성코드가 유입됐다”고 밝혔다.


▲쿼드마이너 김용호CTO[사진=쿼드마이너]

김 CTO는 “최근 랜섬웨어 공격 방식은 지능적·스마트해 △방화벽 △IPS △이메일 보안 △가상머신 등 랜섬웨어 탐지 경계망을 거치지 않고, 보안 시스템을 우회 침투한다”며 “전사 내외부서 유통되는 모든 파일을 수집·분석 채널로 구분해 파일 이력을 한 눈에 파악할 수 있게 해야 한다”고 제시했다.

특히 알려진 취약점 공격 뿐만 아니라 정상 서비스 통신도 지속적인 모니터링·분석·유지가 중요하다는 것.

덧붙여 “개인정보보호팀, 악성코드 분석반 등 어떤 조직이든 조회해 보고, 누굴 통해 어떻게 유포·유통됐는지 알 수 있어야 한다”며 “하나의 분석 엔진이 아닌 병렬 분석 시스템이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>