사이버 범죄자들이 늘어나면서 이들이 거주하는 다크웹 역시 팽창하고 있다. 그러면서 사이버 범죄율도 자연스럽게 올라가고 있는데, 그만큼 다크웹 모니터링의 효과 역시 높아지는 중이다. 언젠가 모든 조직이 다크웹 모니터링을 할 수 있어야 할지도 모른다.
[보안뉴스 문정후 기자] 많은 보안 전문가들이 다크웹이라고 하면 유출된 비밀번호가 넘쳐나는 곳 정도로 인식하고 있다. 실제로 그런 정보들이 다크웹에서 활발히 거래되고 있으며, 거래량은 증폭하는 중이다. 하지만 그것만이 아니다. 훨씬 다양한 사이버 범죄의 부산물들이 거래되고 있으며, 그로 인해 다크웹 자체가 팽창하는 중이다. ‘다크웹 모니터링’이 점점 더 필수적인 보안 강화 절차로 자리를 잡아가는 이유다.
[이미지 = gettyimagesbank]
다크웹 모니터링 시 염두에 두어야 할 것들
다크웹을 모니터링한다는 건 일반인이 무작정 시작하기에 꽤나 위험할 수 있다. 따라서 전문가들에게 의뢰하는 것을 추천한다. 또한 다음 주의 사항들을 기억하여 실시하는 것을 추천한다.
1. 정보 탈취 멀웨어
다크웹에서 가장 활발히 거래되는 것 중 하나가 정보 탈취 멀웨어다. 특히 레드라인(Redline), 라쿤(Raccoon), 비다르(Vidar), 타이탄(Titan), 오로라(Aurora)가 유명하고 인기가 높다. 모니터링을 하다가 이 멀웨어에 감염이라도 되면 각종 정보가 새나가는 걸 막을 수 없게 된다. 실제로 사이버 범죄자들도 스스로 이런 류의 멀웨어에 감염되는 경우가 많다.
정보 탈취 멀웨어는 단순히 정보를 탈취하는 것으로 끝나지 않는다. 공격자들은 이 멀웨어를 통해 얻어낸 정보를 바탕으로 랜섬웨어 등 후속 공격을 기획한다. 기업의 정보가 탈취될 경우 공격자들은 이를 바탕으로 각종 협박을 시작하기도 한다. 현 시점에서 정보 탈취 멀웨어는 모든 사이버 공격의 시작이라고 해도 과언이 아니다.
그러므로 정보 탈취 멀웨어와 관련된 다크웹 현황을 모니터링하려면 최소 회사 망과 분리된 시스템을 이용하는 것을 권장한다. 보안 강화를 하려다가 오히려 공격자들에게 공격 루트를 공짜로 제공하게 된다.
2. 최초 접근 브로커(IAB)
다크웹에서 최근 떠오르고 있는 직군이 있으니, 바로 최초 접근 브로커들이다. 이들은 수많은 기업이나 기관에 뚫고 들어가는 것을 전문으로 한다. 아무리 강력한 공격이라 하더라도 피해자 네트워크에 침투하지 못하면 아무 소용이 없는데, 이 브로커들이 이 문제를 해결해 준다. 이들은 최초 침투 경로만 확보해 판매하고, 실질적인 공격은 실시하지 않는 게 보통이지만 다 그런 건 아니다.
이들이 다크웹에서 최초 침투 경로를 판매한다고 했을 때 실제 넘기는 정보는 다음과 같다.
1) 침해된 기기 및 서비스의 수
2) 피해 기업의 업종
3) 기업이 사용 중인 백신이나 각종 보안 솔루션
4) 기업의 수익과 직원 규모
5) 기업의 지리적 위치
6) 침해 당한 호스트와 서버 정보
이런 브로커들의 활동을 모니터링 하면 어떤 조직이 침해를 당했는지 꽤나 조기에 파악할 수 있다. 좋은 조기 경보가 될 수 있는 것이다. 따라서 다크웹 모니터링을 시작했는데 어디서부터 뭘 해야할 지 모르겠다면 최초 침투 브로커들이 활동하는 곳부터 찾아서 관찰해보는 게 좋을 수 있다.
3. 랜섬웨어 단체들의 협박 페이지
랜섬웨어 단체들이 기업화 되었다는 것은 오래 전부터 알려진 사실이다. 최근 랜섬웨어 공격자들은 피해자들을 직접적으로 협박하고, 피해자들과 협상을 진행할 수 있는 전문 페이지를 따로 만들어 운영하기도 한다. 이런 페이지들은 협박 당하는 기업과 기관의 이름을 명시하고 있으며, 정보 공개까지 남은 시간을 카운트다운 형태로 표기한다. 그 시간 안에 돈을 내지 않는다면 내부 정보가 공개되기 시작한다.
이 전술은 매우 효과적이다. 랜섬웨어가 파일을 암호화 하는 것에서 그칠 때보다 더 큰 압박을 피해자들이 느끼게 만든다. 돈을 내지 않으면 정보를 공개한다는 협박이 랜섬웨어 공격자들 사이에서 도입된 이후 이들의 수익은 크게 늘어났다. 그러면서 랜섬웨어 산업은 빠르게 성장했고, 더 많은 사이버 범죄자들이 랜섬웨어 산업에 뛰어들고 있다.
다크웹을 모니터링한다고 했을 때 이런 랜섬웨어 공격자들의 협박 페이지를 면밀히 살피는 게 도움이 된다. 물론 공격자들이 모든 피해 기업들의 이름을 재깍재깍 업로드하는 건 아니지만 어느 시점에는 반드시 이름이 뜨게 되어 있다. 피해 기업이나 기관의 이름을 이르게 발견함으로써 대처가 조금이라도 빠르게 시작할 수 있으며, 이런 작은 차이가 나중에는 큰 차이를 만든다.
다크웹 모니터링
다크웹이 커지고 있다는 건 단순히 말해 거래되는 멀웨어가 늘어나고, 최초 접근 브로커들의 수가 증가하고, 랜섬웨어 협박 페이지들이 많아진다는 뜻이다. 이와 관련된 현황들을 관찰하여 적절한 정보를 수집하면, 실제 벌어질 안 좋은 일들과 각종 사고들을 보다 빠르게 파악하여 대처할 수 있게 된다. 다크웹이 커지고 있다는 건 범죄 관련 정보가 증가한다는 것이고, 그러므로 모니터링의 효과가 높아진다는 것이다.
실제로 보안 업계에서는 다크웹 모니터링을 대행해 주는 서비스들이 하나 둘 늘어나고 있다. 각종 다크웹 모니터링 플랫폼들도 존재한다. 처음부터 스스로 모니터링하기 보다 이런 서비스들을 이용하는 게 안전하다. 그러면서 하나 둘 노하우를 쌓아 스스로 해도 늦지 않다. 중요한 건 다크웹 모니터링 스킬을 지금부터 내부적으로 마련하는 것이다. 앞으로 어떤 조직의 보안 팀이든 다크웹 모니터링을 기본을 해야 할 때가 올 것이라고 필자는 예상하고 있다.
글 : 에릭 클레이(Eric Clay), 부회장, Flare
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 많은 보안 전문가들이 다크웹이라고 하면 유출된 비밀번호가 넘쳐나는 곳 정도로 인식하고 있다. 실제로 그런 정보들이 다크웹에서 활발히 거래되고 있으며, 거래량은 증폭하는 중이다. 하지만 그것만이 아니다. 훨씬 다양한 사이버 범죄의 부산물들이 거래되고 있으며, 그로 인해 다크웹 자체가 팽창하는 중이다. ‘다크웹 모니터링’이 점점 더 필수적인 보안 강화 절차로 자리를 잡아가는 이유다.
[이미지 = gettyimagesbank]
다크웹 모니터링 시 염두에 두어야 할 것들
다크웹을 모니터링한다는 건 일반인이 무작정 시작하기에 꽤나 위험할 수 있다. 따라서 전문가들에게 의뢰하는 것을 추천한다. 또한 다음 주의 사항들을 기억하여 실시하는 것을 추천한다.
1. 정보 탈취 멀웨어
다크웹에서 가장 활발히 거래되는 것 중 하나가 정보 탈취 멀웨어다. 특히 레드라인(Redline), 라쿤(Raccoon), 비다르(Vidar), 타이탄(Titan), 오로라(Aurora)가 유명하고 인기가 높다. 모니터링을 하다가 이 멀웨어에 감염이라도 되면 각종 정보가 새나가는 걸 막을 수 없게 된다. 실제로 사이버 범죄자들도 스스로 이런 류의 멀웨어에 감염되는 경우가 많다.
정보 탈취 멀웨어는 단순히 정보를 탈취하는 것으로 끝나지 않는다. 공격자들은 이 멀웨어를 통해 얻어낸 정보를 바탕으로 랜섬웨어 등 후속 공격을 기획한다. 기업의 정보가 탈취될 경우 공격자들은 이를 바탕으로 각종 협박을 시작하기도 한다. 현 시점에서 정보 탈취 멀웨어는 모든 사이버 공격의 시작이라고 해도 과언이 아니다.
그러므로 정보 탈취 멀웨어와 관련된 다크웹 현황을 모니터링하려면 최소 회사 망과 분리된 시스템을 이용하는 것을 권장한다. 보안 강화를 하려다가 오히려 공격자들에게 공격 루트를 공짜로 제공하게 된다.
2. 최초 접근 브로커(IAB)
다크웹에서 최근 떠오르고 있는 직군이 있으니, 바로 최초 접근 브로커들이다. 이들은 수많은 기업이나 기관에 뚫고 들어가는 것을 전문으로 한다. 아무리 강력한 공격이라 하더라도 피해자 네트워크에 침투하지 못하면 아무 소용이 없는데, 이 브로커들이 이 문제를 해결해 준다. 이들은 최초 침투 경로만 확보해 판매하고, 실질적인 공격은 실시하지 않는 게 보통이지만 다 그런 건 아니다.
이들이 다크웹에서 최초 침투 경로를 판매한다고 했을 때 실제 넘기는 정보는 다음과 같다.
1) 침해된 기기 및 서비스의 수
2) 피해 기업의 업종
3) 기업이 사용 중인 백신이나 각종 보안 솔루션
4) 기업의 수익과 직원 규모
5) 기업의 지리적 위치
6) 침해 당한 호스트와 서버 정보
이런 브로커들의 활동을 모니터링 하면 어떤 조직이 침해를 당했는지 꽤나 조기에 파악할 수 있다. 좋은 조기 경보가 될 수 있는 것이다. 따라서 다크웹 모니터링을 시작했는데 어디서부터 뭘 해야할 지 모르겠다면 최초 침투 브로커들이 활동하는 곳부터 찾아서 관찰해보는 게 좋을 수 있다.
3. 랜섬웨어 단체들의 협박 페이지
랜섬웨어 단체들이 기업화 되었다는 것은 오래 전부터 알려진 사실이다. 최근 랜섬웨어 공격자들은 피해자들을 직접적으로 협박하고, 피해자들과 협상을 진행할 수 있는 전문 페이지를 따로 만들어 운영하기도 한다. 이런 페이지들은 협박 당하는 기업과 기관의 이름을 명시하고 있으며, 정보 공개까지 남은 시간을 카운트다운 형태로 표기한다. 그 시간 안에 돈을 내지 않는다면 내부 정보가 공개되기 시작한다.
이 전술은 매우 효과적이다. 랜섬웨어가 파일을 암호화 하는 것에서 그칠 때보다 더 큰 압박을 피해자들이 느끼게 만든다. 돈을 내지 않으면 정보를 공개한다는 협박이 랜섬웨어 공격자들 사이에서 도입된 이후 이들의 수익은 크게 늘어났다. 그러면서 랜섬웨어 산업은 빠르게 성장했고, 더 많은 사이버 범죄자들이 랜섬웨어 산업에 뛰어들고 있다.
다크웹을 모니터링한다고 했을 때 이런 랜섬웨어 공격자들의 협박 페이지를 면밀히 살피는 게 도움이 된다. 물론 공격자들이 모든 피해 기업들의 이름을 재깍재깍 업로드하는 건 아니지만 어느 시점에는 반드시 이름이 뜨게 되어 있다. 피해 기업이나 기관의 이름을 이르게 발견함으로써 대처가 조금이라도 빠르게 시작할 수 있으며, 이런 작은 차이가 나중에는 큰 차이를 만든다.
다크웹 모니터링
다크웹이 커지고 있다는 건 단순히 말해 거래되는 멀웨어가 늘어나고, 최초 접근 브로커들의 수가 증가하고, 랜섬웨어 협박 페이지들이 많아진다는 뜻이다. 이와 관련된 현황들을 관찰하여 적절한 정보를 수집하면, 실제 벌어질 안 좋은 일들과 각종 사고들을 보다 빠르게 파악하여 대처할 수 있게 된다. 다크웹이 커지고 있다는 건 범죄 관련 정보가 증가한다는 것이고, 그러므로 모니터링의 효과가 높아진다는 것이다.
실제로 보안 업계에서는 다크웹 모니터링을 대행해 주는 서비스들이 하나 둘 늘어나고 있다. 각종 다크웹 모니터링 플랫폼들도 존재한다. 처음부터 스스로 모니터링하기 보다 이런 서비스들을 이용하는 게 안전하다. 그러면서 하나 둘 노하우를 쌓아 스스로 해도 늦지 않다. 중요한 건 다크웹 모니터링 스킬을 지금부터 내부적으로 마련하는 것이다. 앞으로 어떤 조직의 보안 팀이든 다크웹 모니터링을 기본을 해야 할 때가 올 것이라고 필자는 예상하고 있다.
글 : 에릭 클레이(Eric Clay), 부회장, Flare
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.png)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
