합법적인 도구 악용해 보안 솔루션 우회하는 ‘BYOVD’ 기법 등장
악성 메일 훈련·모의 해킹·보안 체계 점검 등 사전 예방 활동 우선시돼야
[보안뉴스 이소미 기자] 지난 1분기 총 1,122건의 랜섬웨어 공격이 발견됐다. 이는 2023년 4분기(914건) 대비 23%, 지난해 동기(933건) 대비 20.3%로 각각 증가한 수치다. 특히 BlackCat(Alphv)의 활동 중단과 LockBit의 인프라 압수, Rhysida 랜섬웨어 복호화 도구 출시 등의 소식이 연달아 전해지고 있음에도 불구하고 랜섬웨어로 인한 피해는 지속되고 있어 사용자들의 각별한 주의가 요구된다.
[이미지=gettyimagesbank]
SK쉴더스(대표 홍원표) 민간 랜섬웨어 대응 협의체 KARA(Korea Anti Ransomware Alliance, 카라)가 발표한 2024년 1분기 KARA 랜섬웨어 동향 보고서에 따르면 1분기에 발생한 주요 공격 트렌드는 시스템 관리 도구를 악용하는 공격자들이 늘어났다. 기존 랜섬웨어 그룹들은 공격 대상 맞춤형 도구를 제작해 사용한 반면, 최근 랜섬웨어 공격자들은 탐지 우회를 위해 시스템 내부에 있는 운영도구나 네트워크 장비 모니터링 소프트웨어를 사용하고 있다.
▲랜섬웨어 그룹활동[이미지=KARA]
이어 ‘BYOVD’ 기법의 랜섬웨어 공격도 눈길을 끌었다. BYOVD란 Bring-Your-Own-Vulnerable-Driver의 약자다. 합법적인 서명이 돼 있어 시스템은 정상 드라이버로 인식하지만 실제로는 공격에 취약한 드라이버를 악용하는 것을 말한다. 지난해부터 등장한 이 공격 기법은 관리자 권한보다 높은 시스템 권한을 실행할 수 있어 보안 솔루션을 쉽게 우회할 수 있다. 이처럼 합법적인 도구를 사용하거나 보안 솔루션을 우회하는 공격들이 늘어나고 있다.
이 밖에도 이번 보고서에서는 최대 규모의 랜섬웨어 그룹인 ‘LockBit’에 대해 자세히 다뤘다. ‘LockBit’은 지난 3월 FBI의 검거에도 불구하고 새로운 공격 인프라를 구축하며 활동을 이어 나가고 있다. ‘LockBit’은 이력서·입사지원서 등으로 위장한 피싱 메일을 유포하는 공격 방식을 주로 사용하는 것으로 알려졌다.
▲2024년 1분기 KARA 랜섬웨어 동향 보고서[이미지=SK쉴더스]
KARA는 ‘LockBit’과 같이 피싱 메일이나 초기 침투에 취약점을 악용한 랜섬웨어 공격에 대비하기 위해 △악성 메일 훈련 △모의 해킹 △보안 체계 점검 등의 사전 예방 활동이 무엇보다도 중요하다고 밝혔다. 랜섬웨어 감염 시에는 △랜섬웨어 특화 모의해킹 △악성메일 대응 훈련 등의 서비스를 통해 추후 발생할 수 있는 피해를 줄여야 한다. 이외에도 주요 신규 랜섬웨어 공격 그룹에 대한 동향과 대응 방안이 담긴 ‘2024년 1분기 KARA 랜섬웨어 동향 보고서’는 SK쉴더스 홈페이지를 통해 무료로 다운로드 받을 수 있다.
SK쉴더스 김병무 정보보안사업부장(부사장)은 “랜섬웨어 그룹들은 공격 기법을 최신화하며 보안 솔루션과 시스템을 회피하는 방식을 선호하고 있어 선제적인 대응 방안 마련이 시급하다”며, “SK쉴더스는 KARA 회원사들과 랜섬웨어 피해를 줄일 수 있는 보안 체계 구축과 서비스 개발에 매진하겠다”고 밝혔다.
현재 SK쉴더스는 24시간 365일 대응 가능한 ‘랜섬웨어 대응 센터’를 운영하고 있다. 해당 고객센터에서는 △랜섬웨어 위협 사전 점검 △실시간 침입 탐지 및 차단 체계 구축 △랜섬웨어 사고 대응 및 복구 서비스 등을 제공한다. 사고 이후 △피해 복구 △법적 대응 △보험 가입 등의 서비스도 추가적으로 받아볼 수 있다.
한편, SK쉴더스는 보안뉴스·시큐리티월드가 선정한 2023 Global Security TOP100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2023년 한 해 동안 국내외에서 △매출 △성장 속도 △기술력 △혁신성 △지속가능성 등에서 우수한 평가를 받아 선정됐다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>