‘Rhysida’ 랜섬웨어, 미국에 16개 병원·166개 클리닉 보유한 ‘Prospect Medical Holdings’ 공격
기업, 다크웹 모니터링 담당자 시급...솔루션 사용해도 내부에서 검토할 수 있는 역량 갖춰야
북한은 여전히 공급망 공격 및 피싱 고도화에 진심...웹사이트 로그인 연동할 때 조심해야
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 38화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 보안전문가
□권준 국장 : 안녕하세요 보안뉴스의 권준 편집국장입니다.
■곽경주 이사 : 안녕하세요 곽경주입니다.
□권준 국장 : 아이고 반갑습니다. 이제 아침저녁으로는 선선한 것이 가을로 접어든 것 같은데요. 블랙햇(Blackhat)에서 뵙고 오랜만에 뵀습니다.
[생명을 위협하는 랜섬웨어 공격]
□권준 국장 : 다크웹 기반 랜섬웨어 조직들한테는 일종의 불문율 같은 것이 있잖아요. 대표적인 것이 ‘의료 기관은 공격 하지 말자’. 아무래도 아픈 사람들 생명의 위험이 있기 때문에. 근데 최근에 보니까 이것을 깬 조직들도 나오고 의료 기관에 포커스를 맞춰서 무차별 공격을 수행하는 경우도 있다고 하더라고요. 혹시 이들의 공격 동향이라든가, 이들이 왜 이렇게 이쪽을 공격하는지에 대해 설명을 한번 해주실 수 있을까요?
■곽경주 이사 : 최근에 ‘Rhysida’ 랜섬웨어라는 것이 있었는데, 신생 조직이고요. 미국 전역의 16개 병원, 그리고 166개 클리닉을 보유하고 있는 ‘Prospect Medical Holdings’라는 곳을 공격했었고. 국장님이 말씀하셨듯이 이런 의료 기관을 집중적으로 타깃 해서 공격하는 곳인데.
사실 (해킹) 그룹마다 다르긴 해요. 지금까지의 랜섬웨어 중에 의료 기관을 전부 다 공격 안 했냐? 사실 그런 건 아니었는데, 이런 Rhysida 랜섬웨어처럼 대놓고 (공격)하려고 하는 곳들은 잘 없었죠.
앞으로도 정말 악랄하긴 하지만 사람의 생명을 가지고 볼모로 잡고 이렇게 공격을 하면, 돈은 또 벌 거라서. 이런 공격들이 조금씩 악랄해지지 않을까라는 생각도 들더라고요.
사실 이렇게 되면은 미국 FBI나 이런 곳에서도 사회기반시설이든 의료에 관련된 것들이든, 사회 전반적으로 가장 중요한 부분들은 공격을 당하면 수사력을 집중하는 것 자체가 다르거든요? 그래서 Rhysida도 조만간 잡힐 것 같아요. (웃음) 이런 식으로 하면 잡힙니다.
[여행 열풍, 숙박 앱 개인정보 해킹 경보]
□권준 국장 : 아무래도 저희가 여행도 많이 가잖아요. 요즘에는 또 다크웹에서 ‘Airbnb’ 그런 것들의 계정도 많이 유출되고. 사용자들을 타깃으로 한 피해들이 조금 있다고 얘기를 들었거든요.
아무래도 여행을 앞둔 분들도, 또 좀 걱정도 있을 것이고. 또 아무래도 숙박 관련해서는 사실 온라인뿐만 아니라 오프라인으로 피해가 이어지잖아요? 그런 것들 간단하게 소개를 해주신다면요?
■곽경주 이사 : Airbnb 이런 이슈들은 예전부터 많이 탈취되고 있긴 했었죠. Google 계정도 마찬가지고. 사람들이 많이 사용하는 서비스의 계정은 해당 서비스에 들어가기 위해서도 사용하지만, 이것을 이용해서 다른 주요 서비스를 들어가는 데도 사용이 될 수 있거든요?
이런 것들을 막으시려면, 대부분의 계정 유출이 정보 탈취형 악성코드 ‘Stealer’ 악성코드라고 부르는데, 그것에 의해서 유출이 되는 것이고요. 이런 악성코드는 브라우저에 저장되어 있는 패스워드를 가지고 나가거든요? 그래서 중요한 사이트 같은 경우에는 웬만하면 브라우저에 저장하지 않는 것이 좋을 것 같고요.
그리고 Stealer 악성코드라는 것은 불법 소프트웨어라든가, Google에 뜨는 광고, 배너 이런 것들에서도 유포되기도 하거든요? 그래서 이런 부분들은 좀 유의하시는 것이 좋을 것 같고요.
정보보호는 제가 자주 얘기하는 것 중에 습관이에요, 인터넷 사용 습관인데 항상 의심하시고 그러시는 것이 좋을 것 같아요.
□권준 국장 : 몇 차례 강조하셨는데 편리하니까. 브라우저에 저장해 놓고 그냥 바로바로 (로그인)하는데, 중요한 계정 같은 경우에는 그렇게 하면 안 된다라는 부분들을 알고 계시고, 조금 더 유의를 해주셨으면 좋겠다는 생각이 들고요.
[다크웹 사이버범죄 모니터링 TIP]
□권준 국장 : 계속 지금 보도가 나오는 것이긴 한데, 사이버범죄 시장 규모가 점점 증가하면서, 다크웹 시장도 계속 팽창하는 것 같더라고요?
‘다크웹 모니터링’의 중요성도 점점 더 커지는 것 같아요. 기업에서 다크웹 모니터링을 어떻게 접근하는 것이 좋을지, 한번 간단하게 팁을 좀 주시면?
■곽경주 이사 : 우선 다크웹 모니터링이라는 것이 예전에는 되게 좀 신비로운 공간이었어요. 지금도 물론 어디를 봐야 되느냐라고 하면, 모르는 곳들이 굉장히 많이 있는데 특정 포럼 몇 개를 집중적으로 보시면 되거든요? 6~7개 많게는 10개. 거기에 올라오는 데이터들, 유출 데이터들을 보시면 되는 거고요.
가입을 할 때 돈이 좀 드는 곳도 있어요. 비트코인으로 보내고 하는 것도 있는데, 가입을 할 때 돈을 주고 들어간다라고 했을 때, 법적인 이슈 같은 것은 기업 내부에서 검토를 해보셔야 할 것 같고.
그리고 지금은 다크웹도 중요하지만 아까 말씀드렸던 그런 Stealer 악성코드 유출 데이터가 ‘Telegram’에도 많이 올라와요. 그래서 Telegram 모니터링도 좀 하셔야 되는데.
그럼 솔루션을 쓰면 다 되느냐? 사실 그게 아니에요. 제가 자주 강조하는 얘기는 자체적으로 (보안 점검을)할 수 있는 그런 역량을 기르셔야 돼요. 내부적으로. 그래야 많은 민간 (보안)업체들이 있을 것 아니에요? 민간 업체들이 이제 영업적으로 주는 데이터도 있을 것이고, 실질적으로 정말 위험해서 주는 데이터들도 있을 텐데, 그것을 내부적으로 잘 검증하실 수 있어야 돼요. 최근에 보면 그런 회사들이 많이 생기긴 했는데.
□권준 국장 : 많이 보이는데.
■곽경주 이사 : 맞아요, 아직까지도 아예 (보안에) 관심이 없거나, 여러 케이스의 회사들이 있는데 무엇보다 내부적으로 검증을 해볼 수 있는 역량을 자체적으로 갖추셔야 된다.
그리고 요즘은 ‘Twitter’나 구글링만 좀 해보셔도 다크웹 어떤 사이트를 봐야 되는지가 대충 나오거든요? (링크) 주소도 나오고 그런 것으로 가지고 내부적으로 한번 보세요. 인력 한 명을 담당자로 지정해서 한번 보신다든가, 그다음에 보시다 보면은 (모니터링을) 자동화할 포인트가 보이실 겁니다. (데이터를) 어떻게 수집하고 어떻게 자동화하고 이런 것들 그런 부분들 네, 하시면 되고요.
□권준 국장 : 일단 어디 (보안) 업체를 만약에 계약을 맺더라도, 기업에서 어느 정도 알고 써야 될 필요가 있다.
■곽경주 이사 : 다크웹에 올라온 유출 계정이나 데이터 자체가 다 실제 유출이 되거나 실제 위험한 건 아니거든요? 잘 걸러낼 수 있어야 돼요.
[최근 북한 사이버 공격 동향]
□권준 국장 : 저의 항상 북한 얘기 빼놓을 수 없는데. 여러 가지 (각종 해킹 범죄) 기승을 많이 부렸는데, 북한 공격은 좀 어떻게 어떤 형태로 좀 진행이 됐을까요?
■곽경주 이사 : 북한 공격은 미국에서 ‘3CX’와 ‘Jumpcloud’라는 회사가 공급망 공격 이쪽을 해킹했었던 그 배후가 북한의 ‘APT43’으로 추정된다는, 미국 기업 ‘Mandiant’에서 밝힌 내용도 있었어요. 그런 것을 봤을 때 북한은 여전히 공급망 공격을 열심히 진행 중이다.
공급망 공격이라는 것이 정상적인 홈페이지에서 다운로드받은 설치파일이 악성코드로 변조가 돼 있다든가, 업데이트 과정 중에 변조가 된 파일이 내려온다든가, 이런 것이 공급망 공격이거든요? 한 곳만 공격하면 유포만 되게 만든다면 효율적인 공격이라, 북한 같은 곳에서는 이런 취약점을 계속해서 찾아내고 있을 거예요.
그리고 마찬가지로 Phishing은 계속 고도화를 시키고 있는 것 같아요. 얼마 전에 ‘Genians’에서 낸 보고서를 보면 BitB라고, Browser in the Browser 인가요, 그 안에 피싱 사이트를 만들어놓고 그 안에 팝업창 같은 것을 만들었는데, 저희는 ‘Single Sign On’이라고 불러요.
여러분들이 이제 사이트마다 가입하는 건 번거로우니까, 페이스북이나 카카오나 이런 것들을 연동시켜 가지고 (로그인)하는 것인데, 그것을 연동시키는 듯하게 만들어놓은 팝업창이 이렇게 중간에 있거든요? 거기에 로그인하면 카카오 계정이 나가는 거고 Gmail 계정 나가는 거고 그런 거예요. 그런 식으로 유도를 하는 사이트들도 발견이 돼서, 이런 식으로 계속 Phishing도 고도화가 되는 것이라고 보면 될 것 같아요.
[한 달간 다크웹 해킹 피해 통계]
□권준 국장 : 마지막으로 최근에 다크웹에서 가장 활발하게 활동했던 조직하고, 피해 국가·기업 통계 좀 설명을 해주시죠.
■곽경주 이사 : 우선 랜섬웨어 릭(Leak) 사이트의 공격이 게시된 피해 기업 수는 390개 정도 되고요, 신규 랜섬웨어 릭(Leak) 사이트 수는 7개 정도 늘었어요. 그리고 피해 기업을 가장 많이 게시한 곳은 여전히 ‘LockBit’이에요. 근데 LockBit이 예전보다 확실히 활동이 줄었어요. 100여 개 정도 되는 피해 기업이 올라왔고. 그다음에 ‘BlackCat’ 그리고 ‘8Base’라고 하는 비교적 신생 그룹, 그리고 ‘AKIRA’·‘Cloak’.
그리고 피해 기업의 국가 미국 그리고 영국·독일 캐나다·이탈리아. 여전히 제조업 쪽이 가장 많은 피해를 받고 있는 것으로 통계적으로 나옵니다.
□권준 국장 : 계속적으로 지금 피해는 일어나고 있고, 아무튼 오늘도 좋은 말씀 또 중요한 말씀들을 많이 주신 것 같아서 구독자들이 조금 더 큰 도움이 됐을 것 같습니다. 오늘도 너무 수고 많으셨습니다
■곽경주 이사 : 네, 감사합니다.
□권준 국장 : 감사합니다.
[원병철 기자(boanone@boannews.com)]
기업, 다크웹 모니터링 담당자 시급...솔루션 사용해도 내부에서 검토할 수 있는 역량 갖춰야
북한은 여전히 공급망 공격 및 피싱 고도화에 진심...웹사이트 로그인 연동할 때 조심해야
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 38화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 보안전문가
□권준 국장 : 안녕하세요 보안뉴스의 권준 편집국장입니다.
■곽경주 이사 : 안녕하세요 곽경주입니다.
□권준 국장 : 아이고 반갑습니다. 이제 아침저녁으로는 선선한 것이 가을로 접어든 것 같은데요. 블랙햇(Blackhat)에서 뵙고 오랜만에 뵀습니다.
[생명을 위협하는 랜섬웨어 공격]
□권준 국장 : 다크웹 기반 랜섬웨어 조직들한테는 일종의 불문율 같은 것이 있잖아요. 대표적인 것이 ‘의료 기관은 공격 하지 말자’. 아무래도 아픈 사람들 생명의 위험이 있기 때문에. 근데 최근에 보니까 이것을 깬 조직들도 나오고 의료 기관에 포커스를 맞춰서 무차별 공격을 수행하는 경우도 있다고 하더라고요. 혹시 이들의 공격 동향이라든가, 이들이 왜 이렇게 이쪽을 공격하는지에 대해 설명을 한번 해주실 수 있을까요?
■곽경주 이사 : 최근에 ‘Rhysida’ 랜섬웨어라는 것이 있었는데, 신생 조직이고요. 미국 전역의 16개 병원, 그리고 166개 클리닉을 보유하고 있는 ‘Prospect Medical Holdings’라는 곳을 공격했었고. 국장님이 말씀하셨듯이 이런 의료 기관을 집중적으로 타깃 해서 공격하는 곳인데.
사실 (해킹) 그룹마다 다르긴 해요. 지금까지의 랜섬웨어 중에 의료 기관을 전부 다 공격 안 했냐? 사실 그런 건 아니었는데, 이런 Rhysida 랜섬웨어처럼 대놓고 (공격)하려고 하는 곳들은 잘 없었죠.
앞으로도 정말 악랄하긴 하지만 사람의 생명을 가지고 볼모로 잡고 이렇게 공격을 하면, 돈은 또 벌 거라서. 이런 공격들이 조금씩 악랄해지지 않을까라는 생각도 들더라고요.
사실 이렇게 되면은 미국 FBI나 이런 곳에서도 사회기반시설이든 의료에 관련된 것들이든, 사회 전반적으로 가장 중요한 부분들은 공격을 당하면 수사력을 집중하는 것 자체가 다르거든요? 그래서 Rhysida도 조만간 잡힐 것 같아요. (웃음) 이런 식으로 하면 잡힙니다.
[여행 열풍, 숙박 앱 개인정보 해킹 경보]
□권준 국장 : 아무래도 저희가 여행도 많이 가잖아요. 요즘에는 또 다크웹에서 ‘Airbnb’ 그런 것들의 계정도 많이 유출되고. 사용자들을 타깃으로 한 피해들이 조금 있다고 얘기를 들었거든요.
아무래도 여행을 앞둔 분들도, 또 좀 걱정도 있을 것이고. 또 아무래도 숙박 관련해서는 사실 온라인뿐만 아니라 오프라인으로 피해가 이어지잖아요? 그런 것들 간단하게 소개를 해주신다면요?
■곽경주 이사 : Airbnb 이런 이슈들은 예전부터 많이 탈취되고 있긴 했었죠. Google 계정도 마찬가지고. 사람들이 많이 사용하는 서비스의 계정은 해당 서비스에 들어가기 위해서도 사용하지만, 이것을 이용해서 다른 주요 서비스를 들어가는 데도 사용이 될 수 있거든요?
이런 것들을 막으시려면, 대부분의 계정 유출이 정보 탈취형 악성코드 ‘Stealer’ 악성코드라고 부르는데, 그것에 의해서 유출이 되는 것이고요. 이런 악성코드는 브라우저에 저장되어 있는 패스워드를 가지고 나가거든요? 그래서 중요한 사이트 같은 경우에는 웬만하면 브라우저에 저장하지 않는 것이 좋을 것 같고요.
그리고 Stealer 악성코드라는 것은 불법 소프트웨어라든가, Google에 뜨는 광고, 배너 이런 것들에서도 유포되기도 하거든요? 그래서 이런 부분들은 좀 유의하시는 것이 좋을 것 같고요.
정보보호는 제가 자주 얘기하는 것 중에 습관이에요, 인터넷 사용 습관인데 항상 의심하시고 그러시는 것이 좋을 것 같아요.
□권준 국장 : 몇 차례 강조하셨는데 편리하니까. 브라우저에 저장해 놓고 그냥 바로바로 (로그인)하는데, 중요한 계정 같은 경우에는 그렇게 하면 안 된다라는 부분들을 알고 계시고, 조금 더 유의를 해주셨으면 좋겠다는 생각이 들고요.
[다크웹 사이버범죄 모니터링 TIP]
□권준 국장 : 계속 지금 보도가 나오는 것이긴 한데, 사이버범죄 시장 규모가 점점 증가하면서, 다크웹 시장도 계속 팽창하는 것 같더라고요?
‘다크웹 모니터링’의 중요성도 점점 더 커지는 것 같아요. 기업에서 다크웹 모니터링을 어떻게 접근하는 것이 좋을지, 한번 간단하게 팁을 좀 주시면?
■곽경주 이사 : 우선 다크웹 모니터링이라는 것이 예전에는 되게 좀 신비로운 공간이었어요. 지금도 물론 어디를 봐야 되느냐라고 하면, 모르는 곳들이 굉장히 많이 있는데 특정 포럼 몇 개를 집중적으로 보시면 되거든요? 6~7개 많게는 10개. 거기에 올라오는 데이터들, 유출 데이터들을 보시면 되는 거고요.
가입을 할 때 돈이 좀 드는 곳도 있어요. 비트코인으로 보내고 하는 것도 있는데, 가입을 할 때 돈을 주고 들어간다라고 했을 때, 법적인 이슈 같은 것은 기업 내부에서 검토를 해보셔야 할 것 같고.
그리고 지금은 다크웹도 중요하지만 아까 말씀드렸던 그런 Stealer 악성코드 유출 데이터가 ‘Telegram’에도 많이 올라와요. 그래서 Telegram 모니터링도 좀 하셔야 되는데.
그럼 솔루션을 쓰면 다 되느냐? 사실 그게 아니에요. 제가 자주 강조하는 얘기는 자체적으로 (보안 점검을)할 수 있는 그런 역량을 기르셔야 돼요. 내부적으로. 그래야 많은 민간 (보안)업체들이 있을 것 아니에요? 민간 업체들이 이제 영업적으로 주는 데이터도 있을 것이고, 실질적으로 정말 위험해서 주는 데이터들도 있을 텐데, 그것을 내부적으로 잘 검증하실 수 있어야 돼요. 최근에 보면 그런 회사들이 많이 생기긴 했는데.
□권준 국장 : 많이 보이는데.
■곽경주 이사 : 맞아요, 아직까지도 아예 (보안에) 관심이 없거나, 여러 케이스의 회사들이 있는데 무엇보다 내부적으로 검증을 해볼 수 있는 역량을 자체적으로 갖추셔야 된다.
그리고 요즘은 ‘Twitter’나 구글링만 좀 해보셔도 다크웹 어떤 사이트를 봐야 되는지가 대충 나오거든요? (링크) 주소도 나오고 그런 것으로 가지고 내부적으로 한번 보세요. 인력 한 명을 담당자로 지정해서 한번 보신다든가, 그다음에 보시다 보면은 (모니터링을) 자동화할 포인트가 보이실 겁니다. (데이터를) 어떻게 수집하고 어떻게 자동화하고 이런 것들 그런 부분들 네, 하시면 되고요.
□권준 국장 : 일단 어디 (보안) 업체를 만약에 계약을 맺더라도, 기업에서 어느 정도 알고 써야 될 필요가 있다.
■곽경주 이사 : 다크웹에 올라온 유출 계정이나 데이터 자체가 다 실제 유출이 되거나 실제 위험한 건 아니거든요? 잘 걸러낼 수 있어야 돼요.
[최근 북한 사이버 공격 동향]
□권준 국장 : 저의 항상 북한 얘기 빼놓을 수 없는데. 여러 가지 (각종 해킹 범죄) 기승을 많이 부렸는데, 북한 공격은 좀 어떻게 어떤 형태로 좀 진행이 됐을까요?
■곽경주 이사 : 북한 공격은 미국에서 ‘3CX’와 ‘Jumpcloud’라는 회사가 공급망 공격 이쪽을 해킹했었던 그 배후가 북한의 ‘APT43’으로 추정된다는, 미국 기업 ‘Mandiant’에서 밝힌 내용도 있었어요. 그런 것을 봤을 때 북한은 여전히 공급망 공격을 열심히 진행 중이다.
공급망 공격이라는 것이 정상적인 홈페이지에서 다운로드받은 설치파일이 악성코드로 변조가 돼 있다든가, 업데이트 과정 중에 변조가 된 파일이 내려온다든가, 이런 것이 공급망 공격이거든요? 한 곳만 공격하면 유포만 되게 만든다면 효율적인 공격이라, 북한 같은 곳에서는 이런 취약점을 계속해서 찾아내고 있을 거예요.
그리고 마찬가지로 Phishing은 계속 고도화를 시키고 있는 것 같아요. 얼마 전에 ‘Genians’에서 낸 보고서를 보면 BitB라고, Browser in the Browser 인가요, 그 안에 피싱 사이트를 만들어놓고 그 안에 팝업창 같은 것을 만들었는데, 저희는 ‘Single Sign On’이라고 불러요.
여러분들이 이제 사이트마다 가입하는 건 번거로우니까, 페이스북이나 카카오나 이런 것들을 연동시켜 가지고 (로그인)하는 것인데, 그것을 연동시키는 듯하게 만들어놓은 팝업창이 이렇게 중간에 있거든요? 거기에 로그인하면 카카오 계정이 나가는 거고 Gmail 계정 나가는 거고 그런 거예요. 그런 식으로 유도를 하는 사이트들도 발견이 돼서, 이런 식으로 계속 Phishing도 고도화가 되는 것이라고 보면 될 것 같아요.
[한 달간 다크웹 해킹 피해 통계]
□권준 국장 : 마지막으로 최근에 다크웹에서 가장 활발하게 활동했던 조직하고, 피해 국가·기업 통계 좀 설명을 해주시죠.
■곽경주 이사 : 우선 랜섬웨어 릭(Leak) 사이트의 공격이 게시된 피해 기업 수는 390개 정도 되고요, 신규 랜섬웨어 릭(Leak) 사이트 수는 7개 정도 늘었어요. 그리고 피해 기업을 가장 많이 게시한 곳은 여전히 ‘LockBit’이에요. 근데 LockBit이 예전보다 확실히 활동이 줄었어요. 100여 개 정도 되는 피해 기업이 올라왔고. 그다음에 ‘BlackCat’ 그리고 ‘8Base’라고 하는 비교적 신생 그룹, 그리고 ‘AKIRA’·‘Cloak’.
그리고 피해 기업의 국가 미국 그리고 영국·독일 캐나다·이탈리아. 여전히 제조업 쪽이 가장 많은 피해를 받고 있는 것으로 통계적으로 나옵니다.
□권준 국장 : 계속적으로 지금 피해는 일어나고 있고, 아무튼 오늘도 좋은 말씀 또 중요한 말씀들을 많이 주신 것 같아서 구독자들이 조금 더 큰 도움이 됐을 것 같습니다. 오늘도 너무 수고 많으셨습니다
■곽경주 이사 : 네, 감사합니다.
□권준 국장 : 감사합니다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
