다크웹에 각종 기업들의 크리덴셜이 뜨는 건 어제 오늘 일이 아니다. 그런데 최근 들어 공급망과 물류를 담당하는 시설 및 업체들의 크리덴셜이 나타나기 시작해 관심을 끌고 있다. 세계 곳곳에서 물류 공급이 원활히 이뤄지지 않아 문제가 심각한 가운데 벌어진 일이다.
[보안뉴스 문가용 기자] 네트워크 접근 브로커들이 세계 곳곳의 물류 및 무역 회사들에 대한 크리덴셜을 판매하기 시작했다. 이는 이미 절름거리기 시작한 세계 공급망에 대한 또 다른 타격이 될 것으로 전망된다. 보안 업체 인텔 471(Intel471)이 이 현상에 대해 조사해 보고서를 발표했다.
[이미지 = utoimage]
보고서에 의하면 범죄자들의 표적이 될 위기에 처한 기업은 일본의 컨테이너 선박 회사 한 군데, 미국의 트럭 및 운송 회사들, 영국의 물류 업체 한 군데라고 한다. 공격자들이 홍보하고 있는 내용에 의하면 기업들의 취약점을 익스플로잇 하거나 취약한 설정을 악용하거나, 원격 접근 인프라(예 : VPN)를 뚫어내는 수법을 활용한 것으로 보인다. 네트워크 접근 브로커들은 이렇게 접근할 수 있는 경로를 마련해놓고, 그 경로 자체를 판매하는 자들이다.
인텔471의 보안 분석가인 그렉 오토(Greg Otto)에 의하면 “현재 시점에서 대단히 많은 기업들이 당한 것으로 보이지는 않지만 그럼에도 좋지 않은 징조”라고 설명한다. “크리덴셜이나 침투 경로가 유출됐다고 해서 사이버 공격이 100% 일어나는 건 아닙니다. 하지만 사이버 범죄자들 사이에서 우리 회사의 접근 경로가 거래되고 있다는 게 좋은 일일 수는 없죠. 특히나 요즘 시국을 생각하면 더 그렇습니다.”
현재 전 세계는 물류난을 겪고 있다. 공급망이 심하게 삐걱거리기 시작하면서 여러 나라에서 생필품이 공급되지 않거나 연료가 떨어져 정전 사태가 발생하는 등의 사고들이 터지고 있다. 그래서 물류 업체들과 항구들은 국가의 지원 아래 24시간 운영되고 있지만 사건 해결은 요원해 보인다. 그런 가운데 물류 업체 한두 군데가 랜섬웨어로 마비된다고 하면 사회적 혼란은 가중될 것이 뻔하다.
인텔471에 의하면 지난 9월말 한 말레이시아 물류 업체의 컴퓨터로 들어가는 접근 경로와 크리덴셜이 다크웹에 판매된 적이 있다고 한다. 그러고 나서 1주일 후, 공격자들은 그 회사의 데이터를 암호화 하고 돈을 달라고 협박했다. 이 때문에 해당 업체의 사업 행위가 마비됨은 물론 말레이시아 일부 지역의 공급이 차단되기도 했다.
“하지만 공격자들이 일부러 공급망에 대한 세계적인 어려움을 가중시키기 위해 이쪽 분야를 노리는 건 아닐 겁니다. 그저 취약한 기업들을 노리는데, 어쩌다 보니 물류 회사들이 그들의 표적이 된 것이죠. 실제 이들의 홍보물을 봐도 물류 회사라는 점이 특별히 강조되지 않으며, 다크웹에서도 물류 회사를 공략하여 공급망을 뒤집어 엎자는 식의 발언은 찾기 힘듭니다.” 오토의 설명이다.
그러나 공격자들이 세계 물류 시스템과 공급망을 더 마비시키기 위해 일부러 공격하는 건 아니라고 해서 문제가 없어지거나 가벼워지는 건 아니다. 주요 항구나 업체가 사이버 공격에 당해서 마비라도 된다면 지금의 사태가 더 심각해질 것은 불 보듯 뻔한 일이다. “물류와 공급 업체가 표적이 된 건 아닙니다만 2019년에 비해 지금 이쪽 업계를 겨냥한 사이버 공격이 3배 가까이 늘어났습니다. 그건 이쪽 분야가 사이버 공격에 취약하다는 사실이 공격자들 사이에서 알려졌기 때문입니다.”
물류와 공급을 담당하는 시설과 업체들이 취약하다는 사실은 현재 세계 공급망이 정상화에 여념이 없다는 상황 때문에 잘 다뤄지지 않고 있다. 문제가 있다는 걸 알아도 그걸 처리할 여력이 없는 것이다. “지금 전 세계는 코로나 백신의 보급, 에너지난 해결, 환경 문제, 연말연시와 겨울철에 대비한 공급망 문제 해결에 모든 자원을 쏟아붓고 있습니다. 이 모든 문제가 거의 대부분 선박, 물류, 공급 조직들과 관련이 있죠. 그래서 취약점이 더 많이 발견되지만 잘 고쳐지지 않는 상황이 이어지고 있습니다.” 오토의 설명이다.
공격자들의 접근을 최대한 억제하려면 크리덴셜 관리와 다중 인증 시스템 도입이 필수라고 보안 전문가들은 주장한다. 거기에 더해 다크웹 모니터링 역시 중요한 활동이 되어가고 있다. 오토는 “공격자들이 요즘에는 꽤나 긴 시간을 정찰과 자료 수집에 할애한다”며 “크리덴셜과 관련된 수상한 활동들이 나타나는 게 랜섬웨어 공격의 징조가 될 수 있다”고 설명한다. “찾기만 한다면 공격을 나타내는 신호들은 아직 제법 존재합니다. 보다 적극적으로 이것들을 찾아내어 조치를 취하는 방어 시스템이 필요합니다.”
3줄 요약
1. 물류와 공급 담당하는 업체들의 크리덴셜이 다크웹에 팔리고 있음.
2. 전 세계적인 물류난이 이어지고 있는 가운데, 이는 좋지 않은 징조임.
3. 물류난 때문에 보안 신경 쓸 여력 없고, 보안 사고 터지면 물류난은 더 심각해지고.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 네트워크 접근 브로커들이 세계 곳곳의 물류 및 무역 회사들에 대한 크리덴셜을 판매하기 시작했다. 이는 이미 절름거리기 시작한 세계 공급망에 대한 또 다른 타격이 될 것으로 전망된다. 보안 업체 인텔 471(Intel471)이 이 현상에 대해 조사해 보고서를 발표했다.
[이미지 = utoimage]
보고서에 의하면 범죄자들의 표적이 될 위기에 처한 기업은 일본의 컨테이너 선박 회사 한 군데, 미국의 트럭 및 운송 회사들, 영국의 물류 업체 한 군데라고 한다. 공격자들이 홍보하고 있는 내용에 의하면 기업들의 취약점을 익스플로잇 하거나 취약한 설정을 악용하거나, 원격 접근 인프라(예 : VPN)를 뚫어내는 수법을 활용한 것으로 보인다. 네트워크 접근 브로커들은 이렇게 접근할 수 있는 경로를 마련해놓고, 그 경로 자체를 판매하는 자들이다.
인텔471의 보안 분석가인 그렉 오토(Greg Otto)에 의하면 “현재 시점에서 대단히 많은 기업들이 당한 것으로 보이지는 않지만 그럼에도 좋지 않은 징조”라고 설명한다. “크리덴셜이나 침투 경로가 유출됐다고 해서 사이버 공격이 100% 일어나는 건 아닙니다. 하지만 사이버 범죄자들 사이에서 우리 회사의 접근 경로가 거래되고 있다는 게 좋은 일일 수는 없죠. 특히나 요즘 시국을 생각하면 더 그렇습니다.”
현재 전 세계는 물류난을 겪고 있다. 공급망이 심하게 삐걱거리기 시작하면서 여러 나라에서 생필품이 공급되지 않거나 연료가 떨어져 정전 사태가 발생하는 등의 사고들이 터지고 있다. 그래서 물류 업체들과 항구들은 국가의 지원 아래 24시간 운영되고 있지만 사건 해결은 요원해 보인다. 그런 가운데 물류 업체 한두 군데가 랜섬웨어로 마비된다고 하면 사회적 혼란은 가중될 것이 뻔하다.
인텔471에 의하면 지난 9월말 한 말레이시아 물류 업체의 컴퓨터로 들어가는 접근 경로와 크리덴셜이 다크웹에 판매된 적이 있다고 한다. 그러고 나서 1주일 후, 공격자들은 그 회사의 데이터를 암호화 하고 돈을 달라고 협박했다. 이 때문에 해당 업체의 사업 행위가 마비됨은 물론 말레이시아 일부 지역의 공급이 차단되기도 했다.
“하지만 공격자들이 일부러 공급망에 대한 세계적인 어려움을 가중시키기 위해 이쪽 분야를 노리는 건 아닐 겁니다. 그저 취약한 기업들을 노리는데, 어쩌다 보니 물류 회사들이 그들의 표적이 된 것이죠. 실제 이들의 홍보물을 봐도 물류 회사라는 점이 특별히 강조되지 않으며, 다크웹에서도 물류 회사를 공략하여 공급망을 뒤집어 엎자는 식의 발언은 찾기 힘듭니다.” 오토의 설명이다.
그러나 공격자들이 세계 물류 시스템과 공급망을 더 마비시키기 위해 일부러 공격하는 건 아니라고 해서 문제가 없어지거나 가벼워지는 건 아니다. 주요 항구나 업체가 사이버 공격에 당해서 마비라도 된다면 지금의 사태가 더 심각해질 것은 불 보듯 뻔한 일이다. “물류와 공급 업체가 표적이 된 건 아닙니다만 2019년에 비해 지금 이쪽 업계를 겨냥한 사이버 공격이 3배 가까이 늘어났습니다. 그건 이쪽 분야가 사이버 공격에 취약하다는 사실이 공격자들 사이에서 알려졌기 때문입니다.”
물류와 공급을 담당하는 시설과 업체들이 취약하다는 사실은 현재 세계 공급망이 정상화에 여념이 없다는 상황 때문에 잘 다뤄지지 않고 있다. 문제가 있다는 걸 알아도 그걸 처리할 여력이 없는 것이다. “지금 전 세계는 코로나 백신의 보급, 에너지난 해결, 환경 문제, 연말연시와 겨울철에 대비한 공급망 문제 해결에 모든 자원을 쏟아붓고 있습니다. 이 모든 문제가 거의 대부분 선박, 물류, 공급 조직들과 관련이 있죠. 그래서 취약점이 더 많이 발견되지만 잘 고쳐지지 않는 상황이 이어지고 있습니다.” 오토의 설명이다.
공격자들의 접근을 최대한 억제하려면 크리덴셜 관리와 다중 인증 시스템 도입이 필수라고 보안 전문가들은 주장한다. 거기에 더해 다크웹 모니터링 역시 중요한 활동이 되어가고 있다. 오토는 “공격자들이 요즘에는 꽤나 긴 시간을 정찰과 자료 수집에 할애한다”며 “크리덴셜과 관련된 수상한 활동들이 나타나는 게 랜섬웨어 공격의 징조가 될 수 있다”고 설명한다. “찾기만 한다면 공격을 나타내는 신호들은 아직 제법 존재합니다. 보다 적극적으로 이것들을 찾아내어 조치를 취하는 방어 시스템이 필요합니다.”
3줄 요약
1. 물류와 공급 담당하는 업체들의 크리덴셜이 다크웹에 팔리고 있음.
2. 전 세계적인 물류난이 이어지고 있는 가운데, 이는 좋지 않은 징조임.
3. 물류난 때문에 보안 신경 쓸 여력 없고, 보안 사고 터지면 물류난은 더 심각해지고.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
