최근 드러난 랜섬웨어에 관한 잘못된 선입견 세 가지

2023-08-08 18:51
  • 카카오톡
  • 네이버 블로그
  • url
랜섬웨어 공격자들 사이에서 변화가 나타나기 시작했다. 그러면서 우리가 가진 여러 가지 선입견들이 깨지고 있다. 미리 깨두지 않으면 방어에 큰 어려움이 있을 것으로 예상된다.

[보안뉴스 문정후 기자] 2022년 1사분기와 2023년 1사분기 사이에 랜섬웨어 공격에 당한 조직들의 수는 143% 증가했다. 랜섬웨어 공격자들이 성공가도를 달리고 있다는 것은 익히 알려진 사실이지만, 이렇게 급증하는 것은 드문 일이다. 그 이유는 랜섬웨어 공격자들이 표적의 제로데이 취약점과 원데이 취약점을 보다 능숙하게 노리기 시작했기 때문이다.


[이미지 = gettyimagesbank]

피해자들의 증가
보안 업체 아카마이(Akamai)는 최근 90개의 랜섬웨어 그룹들이 운영하고 있는 데이터 노출 및 협박용 웹사이트들을 분석했다고 한다. 피해자들이 협상에 응하지 않았을 때 피해자들의 데이터를 공개하는 사이트들인데, 요즘 랜섬웨어 공격자들은 다들 이런 사이트를 운영한다. 분석 과정에서 최근 피해자들이 급증했다는 사실이 파악됐다고 아카마이 측은 설명한다.

게다가 랜섬웨어에 대해 가지고 있는 많은 사람들의 선입견 중 사실이 아닌 것들도 발견할 수 있었다고 한다. “그 중 가장 충격적인 건 ‘랜섬웨어 공격은 피싱 공격으로부터 시작한다’는 것이 더 이상 사실이 아니라는 것이었습니다. 피싱 공격이 여전히 많이 사용되고 있긴 합니다만 요즘은 취약점 익스플로잇이 대세로 자리를 잡은 듯했습니다. 일부 대형 랜섬웨어 조직들의 경우 제로데이 취약점 정보를 사들이거나 스스로 연구해 찾아내기도 했습니다.”

이런 흐름은 클롭(Cl0p) 랜섬웨어의 최근 공격에서 드러난다. 이들은 포트라(Fortra)의 고애니웨어(GoAnywhere)라는 소프트웨어에서 SQL 주입 제로데이 취약점인 CVE-2023-0669를 익스플로잇 해서 수많은 기업들을 침해하는 데 성공했다. 그러더니 조금 더 있다가 프로그레스소프트웨어(Progress Software)의 무브잇(MOVEit)에서 또 다른 취약점인 CVE-2023-34362를 발견해 전 세계적인 파장을 일으키기도 했었다. 아카마이에 의하면 클롭이 전략을 바꾸기 전과 후 피해 조직이 9배 늘어났다고 한다.

“제로데이 취약점을 익스플로잇 하는 게 새로운 현상인 건 아닙니다. 다만 랜섬웨어 공격자들이 이를 적극 활용하기 시작했다는 건 중요한 문제입니다. 특히 자체적으로 제로데이 취약점을 발굴하고 이용하기 시작했다는 것을 간과하면 안 될 것으로 보입니다.” 아카마이의 보안 연구 팀장인 엘리아드 킴히(Eliad Kimhy)의 설명이다. “클롭이 이런 흐름을 처음 만들어냈고, 이제 다른 랜섬웨어 그룹들도 모방 범죄를 저지를 것으로 예상하고 있습니다.”

록빗(LockBit)과 블랙캣(BlackCat)이라는 또 다른 대형 랜섬웨어 그룹들에서도 심상치 않은 움직임이 발견되고 있다. 이들의 경우 2023년 4월 페이퍼컷(PaperCut)이라는 서비스의 원데이 취약점들을 적극 노려 큰 피해를 유발시킨 바 있다. CVE-2023-27350과 CVE-2023-27351이 문제의 취약점이다. 그 외에도 VM웨어의 ESXi 서버들에서 발견된 원데이 취약점들을 익스플로잇 하기도 했다. 취약점이 발견되긴 했지만 패치가 적용되기 전 시간에 익스플로잇을 적극적으로 하는 게 ‘원데이 취약점 공격’이다.

암호화에서 유출로
취약점 익스플로잇과 함께 대두되고 있는 또 다른 트렌드는 파일 암호화라는 랜섬웨어 전략을 완전히 버리는 조직들이 하나 둘 생겨나고 있다는 것이다. 비안리안(BianLian) 조직이 대표적이다. 이들은 데이터 암호화라는 랜섬웨어의 기본 전략을 완전히 배제하고 데이터를 빼돌려 협박하는 것에 집중하고 있다. 즉 데이터 탈취(유출)로 선회한 것이다. 기업들이 데이터 암호화에 대해서는 좀 더 능숙하게 대처하기 시작하니 생겨난 현상으로 추정된다. 암호화에는 대응할 수 있지만 데이터를 가져가서 세상에 공개한다는 협박에는 대응하기가 힘들다.

킴히는 “랜섬웨어 조직들이 하나 둘 데이터 빼돌리기에 집중하기 시작했다는 건 주의 깊게 살펴야 할 현상”이라고 짚는다. “원래 데이터를 암호화시켜서 못 쓰게 만드는 게 랜섬웨어의 기본이었고, 데이터를 빼돌려 협박하는 건 부수적인 전략이었죠. 그런데 이게 뒤바뀌고 있는 겁니다. 백업이 랜섬웨어 방어의 기본이라는 게 점점 낡은 조언이 되어간다는 뜻입니다.”

아카마이가 발견한 또 다른 트렌드는 피해자의 65%가 중소기업으로 분류된다는 것이다. 연간 수익이 5천만 달러 이하인 조직들이다. “보통 랜섬웨어 공격자들이 대형 조직들을 노린다고 생각하는데, 사실이 아니었습니다. 이번 조사를 통해 드러난 바, 대기업들은 12%밖에 차지하지 않는 것으로 밝혀졌습니다. 역시 사이버 공격자들은 큰 먹이보다 쉬운 먹이를 노린다는 게 다시 한 번 입증됐습니다.”

공격자들은 제조사들을 특히 선호하는 것으로 나타났다. 그 다음은 의료와 금융 분야의 조직들이 인기가 많았다. “하지만 그 무엇보다 공격자들이 좋아하는 조직은 한 번 랜섬웨어에 당한 조직이었습니다. 한 번 당하면 정신 차리고 보안을 강화한다는 우리의 생각 역시 틀린 선입견이었다는 뜻이죠. 허술한 곳은 계속 허술합니다. 랜섬웨어 공격자들도 이 사실을 이미 오래 전에 간파한 것으로 보입니다.”

3줄 요약
1. 랜섬웨어 공격자들, 피싱보다 취약점 익스플로잇에 더 집중.
2. 랜섬웨어 공격자들, 대기업보다 중소기업에 더 집중.
3. 랜섬웨어 피해자들, 한 번 당하면 두 번, 세 번 더 당함.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기