랜섬웨어 공격자들은 점점 더 부유해지고 있다. 그리고 그 부유함을 유지하기 위해 새로운 걸 끊임없이 개발하고 있다. 그런 노력들이 모이고 모여 트렌드를 만들고, 그 트렌드는 시대마다 변한다. 최근에 나타나는 트렌드들을 간략히 정리한다.
[보안뉴스 문정후 기자] 사이버 범죄자들의 전략과 전문성은 나날이 날카로워져 가고 있고, 그것을 가장 여실히 드러내는 것 중 하나가 랜섬웨어다. 랜섬웨어를 운영하는 공격자들은 점점 정상적인 기업들처럼 사업을 운영하고 있으며, 전문 분야의 세분화와 심화 모두 공격적으로 이뤄내는 중이다. 그런 산업화의 흐름에 밀려 이제는 범죄 행위를 서비스화 한 ‘서비스형 사이버 범죄(cybercrime-as-a-service)’가 여러 가지 형태로 대두되고 있다. 필자는 이번 글을 통해 현재 다크웹에서 뚜렷하게 나타나고 있는 랜섬웨어 관련 트렌드를 네 가지로 요약해 짚어보고자 한다.
[이미지 = utoimage]
1. IAB의 성장
사이버 범죄의 수익률은 갈수록 높아지고 있다. 그러면서 사이버 공격 행위가 분담되고 있는데, 그 중에서도 IAB라는 부류의 범죄 조직이 늘어나는 게 눈에 띄는 트렌드다. IAB는 최초 침투 브로커(initial access broker)의 준말인데, 말 그대로 특정 기업이나 기관에 해커들이 들어갈 수 있도록 뒷문만 열어두고 그 경로를 거래한다. 백도어를 심어 놓아서 판매하는 경우도 있고, 크리덴셜을 훔쳐서 제공하기도 한다. 실제 해킹 공격에 있어 첫 단계를 대행해주는 것이라고 볼 수 있다. 초보 사이버 범죄자들의 고민을 해결해 주며, 따라서 범죄 산업에 발을 들여놓고자 하는 자들에게 꼭 필요한 서비스다.
현재 이 IAB 사업자들의 가장 중요한 고객은 랜섬웨어 운영자들이다. IAB가 일을 대신 해 주니 랜섬웨어 운영자들은 침투에 쏟는 노력을 아끼고 랜섬웨어의 기능과 협박 전략에 치중할 수 있다. 2021년 기준 주요 사이버 범죄 포럼에서 활동하는 IAB 단체들은 1300개 이상인 것으로 집계됐다. 가격은 1천 달러에서 1만 달러까지 다양했는데, 평균은 4600 달러인 것으로 계산됐다. VPN 크리덴셜이 가장 비싸게 거래되는 것으로 나타났다.
2. 파일레스 공격의 증가
사이버 공격자들의 실력은 천차만별이다. 그 중 가장 위에 있다고 평가 받는 건 국가의 지원을 받는 사이버전 부대 혹은 APT 단체들이다. 이 APT 단체들이 먼저 선보인 공격 도구나 전략은 학습되어 일반 사이버 범죄자들 사이에 퍼진다. 이런 식으로 상향 평준화가 꾸준히 일어난다. 최근 사이버 범죄자들은 APT 단체들로부터 파일레스 공격과 LotL(Living-off-the-Land : 피해자 시스템에 설치된 정상 유틸리티를 공격에 활용하는 기법) 공격 기법을 배워서 익히고 있는데, 랜섬웨어 단체들은 이미 이러한 전략에 익숙해진 것으로 보인다.
파일레스 공격과 LotL 공격의 가장 큰 장점은 탐지가 매우 어렵다는 것이다. 디스크에 흔적이 남지 않고(파일레스), 정상 도구를 활용하니(LotL) 탐지가 될 확률이 매우 낮다. 예를 들어 다크사이드(DarkSide)라는 랜섬웨어 공격자들이 일으킨 사고에서 91%가 바로 이 LotL 전략을 통해 발생한 것으로 조사되고 있다. 보안 업체 피쿠스시큐리티(Picus Security)가 조사한 바에 의하면 100% 파일레스 공격만 하는 랜섬웨어 그룹들도 출현하는 추세라고 한다.
3. 주목도 낮은 표적에 대한 공격 증가
예전에선 해킹 공격의 주된 동기가 자기 자랑 혹은 명성 확보였다. ‘나는 모든 시스템을 뚫어낼 수 있어!’라는 걸 증명하고 싶었던 것이 해커들의 심리였다. 그러니 유명한 기업과 조직들을 침투하려는 시도가 잦았었다. 하지만 지금의 해커들은 실리를 따진다. 눈에 띄면 띌수록 금전적으로 얻어갈 것이 적어진다는 것을 알게 되었고, 그래서 주목 받는 걸 꺼려한다. 콜로니얼 파이프라인(Colonial Pipeline)고 같이 온 세계가 떠들썩했던 사건은 이제 랜섬웨어 공격자들이 제일 싫어하는 유형의 이벤트로 꼽힌다. 실제 사건을 일으켰던 다크사이드는 콜로니얼 파이프라인 직후 은퇴했다.
유명 기업이나 조직을 해킹하면 언론만이 아니라 각종 수사 기관의 관심을 받게 된다. 최근 수사 기관들의 공조가 눈에 띄게 향상하면서 적잖은 범죄 단체가 일망타진 되기도 했다. 그래서 공격자들도 점점 더 조심스럽게 일을 벌이는 추세다. 그래서 이제는 그 어떤 언론도 관심을 가지지 않을 무명의 기업이나 조직들을 노린다. 요즘은 기업들 간 협력 관계가 복잡하게 얽혀 있기 때문에 작은 기업을 통해 큰 기업으로 들어가는 것도 훨씬 쉬워졌다. ‘우리 회사 털어봤자 가져갈 게 없어’는 정말로 옛날 말이 되어버렸다.
4. 내부자에 대한 유혹도 노골적으로
1번 트렌드와 맞물리는 현상인데, 이제 랜섬웨어 공격자들은 최초 침투에 대하여 그리 큰 고민을 하지 않는다. 보다 정확히 말하면 기술적인 고민을 하지 않는다. 대신 침투해 줄 사업자들인 IAB 단체가 얼마든지 있기도 하지만, 침투하려는 기업의 내부인을 돈으로 유혹하는 것도 괜찮은 방법으로 떠오르고 있기 때문이다.
아이덴티티 보안 업체 히타치ID(Hitachi ID)가 2021년 12월 7일부터 22년 1월 4일까지 조사한 바에 의하면 기업들의 65%가 “랜섬웨어 단체의 유혹과 제안을 받은 임직원이 1명 이상”임을 밝혔다고 한다. 네트워크에 접속하게만 해 준다면 대가를 지불하겠다는 내용이 대부분이었다. 회사나 상사에 불만을 품어 왔던 사람들이라면 이 제안을 받아들이기도 했다고 한다. 흔히 제안되는 금액은 50만 달러 언저리였지만 많게는 100만 달러 이상 부르는 공격자들도 있었다. 떨쳐내기 쉽지 않은 유혹이라는 게 히타치ID 측의 설명이다.
그렇다면 어떻게 방어해야 할까?
아쉽지만 랜섬웨어 방어에 있어 왕도란 존재하지 않는다. 여러 가지 보안 강화 노력이 겹치고 겹쳐야 효과가 난다. 그 여러 가지 노력들 중 일부를 정리하자면 다음과 같다.
1) 제로트러스트 도입 : 다중인증 시스템과 최소 권한의 법칙을 적용하면 랜섬웨어 및 침해 사고가 발생한다 하더라도 피해가 최소화 될 수 있다. 또한 비정상적인 행동 패턴을 탐지하는 것도 더 쉬워진다.
2) 내부자 위협 최소화 : 내부자는 비단 랜섬웨어가 아니더라도 항시 기업들의 뒤통수를 칠 수 있는 위협이 된다. 내부자 위협은 회사에 불만을 품은 ‘배신자’만을 말하는 건 아니다. 평소답지 않은 실수를 저지르거나 잘 몰라서 실행한 위험한 일들도 전부 내부자 위협에 포함된다. 내부자인 척 스스로를 가장한 외부자도 내부자 위협으로 분류된다. 이런 위협들을 가려낼 기술적/정책적 방법들을 도입하고, 임직원 대상 교육을 실시하는 것이 필수다.
3) 주기적인 위협 점검 및 제거 : 공격이 일어나기를 기다렸다가 대응하는 전통적인 방법으로는 랜섬웨어를 완전히 막을 수 없다. 랜섬웨어 공격자들이 이용할 만한 공격 경로를 주기적으로 찾아서 미리미리 제거해 두어야 한다.
공격자들은 항상 먹잇감을 노린다. 같은 방법을 고집하지 않으며, 늘 새로운 것 혹은 너무 오래된 것이라 잊힌 것을 발굴 혹은 재발굴하기 위해 눈을 번뜩인다. 그렇기 때문에 높은 공격 성공률을 현재까지 기록하는 것이며, 그렇기 때문에 이들의 주머니는 점점 불룩해지고 있다. 하지만 기업들이라고 해서 희망이 없는 건 아니다. 기본 보안 수칙들을 귀찮아하지 않고 지키면 큰 효과를 볼 수 있기 때문이다. 우리에게도 충분히 검증된 방어의 기법들이 존재한다. 너무 익숙해 생각나지 않을 뿐이다.
글 : 올리버 로치포드(Oliver Rochford), 응용 연구 분야 연구원, Securonix
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 사이버 범죄자들의 전략과 전문성은 나날이 날카로워져 가고 있고, 그것을 가장 여실히 드러내는 것 중 하나가 랜섬웨어다. 랜섬웨어를 운영하는 공격자들은 점점 정상적인 기업들처럼 사업을 운영하고 있으며, 전문 분야의 세분화와 심화 모두 공격적으로 이뤄내는 중이다. 그런 산업화의 흐름에 밀려 이제는 범죄 행위를 서비스화 한 ‘서비스형 사이버 범죄(cybercrime-as-a-service)’가 여러 가지 형태로 대두되고 있다. 필자는 이번 글을 통해 현재 다크웹에서 뚜렷하게 나타나고 있는 랜섬웨어 관련 트렌드를 네 가지로 요약해 짚어보고자 한다.
[이미지 = utoimage]
1. IAB의 성장
사이버 범죄의 수익률은 갈수록 높아지고 있다. 그러면서 사이버 공격 행위가 분담되고 있는데, 그 중에서도 IAB라는 부류의 범죄 조직이 늘어나는 게 눈에 띄는 트렌드다. IAB는 최초 침투 브로커(initial access broker)의 준말인데, 말 그대로 특정 기업이나 기관에 해커들이 들어갈 수 있도록 뒷문만 열어두고 그 경로를 거래한다. 백도어를 심어 놓아서 판매하는 경우도 있고, 크리덴셜을 훔쳐서 제공하기도 한다. 실제 해킹 공격에 있어 첫 단계를 대행해주는 것이라고 볼 수 있다. 초보 사이버 범죄자들의 고민을 해결해 주며, 따라서 범죄 산업에 발을 들여놓고자 하는 자들에게 꼭 필요한 서비스다.
현재 이 IAB 사업자들의 가장 중요한 고객은 랜섬웨어 운영자들이다. IAB가 일을 대신 해 주니 랜섬웨어 운영자들은 침투에 쏟는 노력을 아끼고 랜섬웨어의 기능과 협박 전략에 치중할 수 있다. 2021년 기준 주요 사이버 범죄 포럼에서 활동하는 IAB 단체들은 1300개 이상인 것으로 집계됐다. 가격은 1천 달러에서 1만 달러까지 다양했는데, 평균은 4600 달러인 것으로 계산됐다. VPN 크리덴셜이 가장 비싸게 거래되는 것으로 나타났다.
2. 파일레스 공격의 증가
사이버 공격자들의 실력은 천차만별이다. 그 중 가장 위에 있다고 평가 받는 건 국가의 지원을 받는 사이버전 부대 혹은 APT 단체들이다. 이 APT 단체들이 먼저 선보인 공격 도구나 전략은 학습되어 일반 사이버 범죄자들 사이에 퍼진다. 이런 식으로 상향 평준화가 꾸준히 일어난다. 최근 사이버 범죄자들은 APT 단체들로부터 파일레스 공격과 LotL(Living-off-the-Land : 피해자 시스템에 설치된 정상 유틸리티를 공격에 활용하는 기법) 공격 기법을 배워서 익히고 있는데, 랜섬웨어 단체들은 이미 이러한 전략에 익숙해진 것으로 보인다.
파일레스 공격과 LotL 공격의 가장 큰 장점은 탐지가 매우 어렵다는 것이다. 디스크에 흔적이 남지 않고(파일레스), 정상 도구를 활용하니(LotL) 탐지가 될 확률이 매우 낮다. 예를 들어 다크사이드(DarkSide)라는 랜섬웨어 공격자들이 일으킨 사고에서 91%가 바로 이 LotL 전략을 통해 발생한 것으로 조사되고 있다. 보안 업체 피쿠스시큐리티(Picus Security)가 조사한 바에 의하면 100% 파일레스 공격만 하는 랜섬웨어 그룹들도 출현하는 추세라고 한다.
3. 주목도 낮은 표적에 대한 공격 증가
예전에선 해킹 공격의 주된 동기가 자기 자랑 혹은 명성 확보였다. ‘나는 모든 시스템을 뚫어낼 수 있어!’라는 걸 증명하고 싶었던 것이 해커들의 심리였다. 그러니 유명한 기업과 조직들을 침투하려는 시도가 잦았었다. 하지만 지금의 해커들은 실리를 따진다. 눈에 띄면 띌수록 금전적으로 얻어갈 것이 적어진다는 것을 알게 되었고, 그래서 주목 받는 걸 꺼려한다. 콜로니얼 파이프라인(Colonial Pipeline)고 같이 온 세계가 떠들썩했던 사건은 이제 랜섬웨어 공격자들이 제일 싫어하는 유형의 이벤트로 꼽힌다. 실제 사건을 일으켰던 다크사이드는 콜로니얼 파이프라인 직후 은퇴했다.
유명 기업이나 조직을 해킹하면 언론만이 아니라 각종 수사 기관의 관심을 받게 된다. 최근 수사 기관들의 공조가 눈에 띄게 향상하면서 적잖은 범죄 단체가 일망타진 되기도 했다. 그래서 공격자들도 점점 더 조심스럽게 일을 벌이는 추세다. 그래서 이제는 그 어떤 언론도 관심을 가지지 않을 무명의 기업이나 조직들을 노린다. 요즘은 기업들 간 협력 관계가 복잡하게 얽혀 있기 때문에 작은 기업을 통해 큰 기업으로 들어가는 것도 훨씬 쉬워졌다. ‘우리 회사 털어봤자 가져갈 게 없어’는 정말로 옛날 말이 되어버렸다.
4. 내부자에 대한 유혹도 노골적으로
1번 트렌드와 맞물리는 현상인데, 이제 랜섬웨어 공격자들은 최초 침투에 대하여 그리 큰 고민을 하지 않는다. 보다 정확히 말하면 기술적인 고민을 하지 않는다. 대신 침투해 줄 사업자들인 IAB 단체가 얼마든지 있기도 하지만, 침투하려는 기업의 내부인을 돈으로 유혹하는 것도 괜찮은 방법으로 떠오르고 있기 때문이다.
아이덴티티 보안 업체 히타치ID(Hitachi ID)가 2021년 12월 7일부터 22년 1월 4일까지 조사한 바에 의하면 기업들의 65%가 “랜섬웨어 단체의 유혹과 제안을 받은 임직원이 1명 이상”임을 밝혔다고 한다. 네트워크에 접속하게만 해 준다면 대가를 지불하겠다는 내용이 대부분이었다. 회사나 상사에 불만을 품어 왔던 사람들이라면 이 제안을 받아들이기도 했다고 한다. 흔히 제안되는 금액은 50만 달러 언저리였지만 많게는 100만 달러 이상 부르는 공격자들도 있었다. 떨쳐내기 쉽지 않은 유혹이라는 게 히타치ID 측의 설명이다.
그렇다면 어떻게 방어해야 할까?
아쉽지만 랜섬웨어 방어에 있어 왕도란 존재하지 않는다. 여러 가지 보안 강화 노력이 겹치고 겹쳐야 효과가 난다. 그 여러 가지 노력들 중 일부를 정리하자면 다음과 같다.
1) 제로트러스트 도입 : 다중인증 시스템과 최소 권한의 법칙을 적용하면 랜섬웨어 및 침해 사고가 발생한다 하더라도 피해가 최소화 될 수 있다. 또한 비정상적인 행동 패턴을 탐지하는 것도 더 쉬워진다.
2) 내부자 위협 최소화 : 내부자는 비단 랜섬웨어가 아니더라도 항시 기업들의 뒤통수를 칠 수 있는 위협이 된다. 내부자 위협은 회사에 불만을 품은 ‘배신자’만을 말하는 건 아니다. 평소답지 않은 실수를 저지르거나 잘 몰라서 실행한 위험한 일들도 전부 내부자 위협에 포함된다. 내부자인 척 스스로를 가장한 외부자도 내부자 위협으로 분류된다. 이런 위협들을 가려낼 기술적/정책적 방법들을 도입하고, 임직원 대상 교육을 실시하는 것이 필수다.
3) 주기적인 위협 점검 및 제거 : 공격이 일어나기를 기다렸다가 대응하는 전통적인 방법으로는 랜섬웨어를 완전히 막을 수 없다. 랜섬웨어 공격자들이 이용할 만한 공격 경로를 주기적으로 찾아서 미리미리 제거해 두어야 한다.
공격자들은 항상 먹잇감을 노린다. 같은 방법을 고집하지 않으며, 늘 새로운 것 혹은 너무 오래된 것이라 잊힌 것을 발굴 혹은 재발굴하기 위해 눈을 번뜩인다. 그렇기 때문에 높은 공격 성공률을 현재까지 기록하는 것이며, 그렇기 때문에 이들의 주머니는 점점 불룩해지고 있다. 하지만 기업들이라고 해서 희망이 없는 건 아니다. 기본 보안 수칙들을 귀찮아하지 않고 지키면 큰 효과를 볼 수 있기 때문이다. 우리에게도 충분히 검증된 방어의 기법들이 존재한다. 너무 익숙해 생각나지 않을 뿐이다.
글 : 올리버 로치포드(Oliver Rochford), 응용 연구 분야 연구원, Securonix
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
