[2021년 10월 05일] - 랜섬웨어 주간 평균 활동은 1년 전 대비 10배 이상 증가한 것으로 조사됐다. 그나마 다행인 것은 공공 및 민간 부문 협력이 사이버범죄 공급망을 저해하는데 기여했다는 것. 포티넷이 공개한 2021년 상반기 ‘글로벌 보안 위협 전망 보고서’에 적시된 내용이다. 보고서는 개인 및 기업은 물론, 중요 인프라를 타겟으로 하는 공격의 규모와 정교성이 크게 강화되고 있으며, 기존 네트워크 내, 외부의 하이브리드 근무자 및 학습자가 증가하면서 공격 범위가 확장되고 주요 공격 대상이 되고 있다는 점을 강조한다.
“사이버범죄 공급망을 교란시키려면 협업을 통해 힘을 조절하는 것이 우선시되어야 한다. 정보 공유 및 파트너십을 통해 보다 효과적인 대응이 가능하고 미래의 공격 기법을 효과적으로 예측해 공격을 차단할 수 있다. 지속적인 사이버 보안 인식 교육은 물론, 엔드포인트, 네트워크 및 클라우드 전반에서 통합된 AI 기반 예방, 탐지 및 대응 기술은 사이버범죄에 대응하는데 매우 필수적이다."라고 말했다.
법 집행 기관은 물론 공공 및 민간 부문 전반에서의 적절한 협력 및 파트너십의 중요성에 대해 목소리톤을 높인 배경이다.
△ 랜섬웨어는 단순히 ‘돈’ 이상의 의미 : 2021년 6월 주간 평균 랜섬웨어 활동은 1년 전보다 10배 이상 증가했다. 공격은 여러 주요 기업들의 공급망을 손상시켰으며, 일상적인 업무는 물론, 생산성과 상업 활동에 그 어느 때보다 큰 영향을 미쳤다. 또한, 통신 분야 기업들이 가장 많은 공격을 받았으며 정부, 관리형 보안 서비스 제공업체, 자동차 및 제조 부문 기업이 그 뒤를 이었다.
또한, 일부 랜섬웨어 운영자는 이메일로 침투하는 페이로드에서 기업 네트워크에 대한 최초 접근 권한을 확보 및 판매하는데 주력하는 전략으로 전환했으며, 이는 사이버범죄를 증가시키는 RaaS(Ransomware-as-a-Service, 서비스형 랜섬웨어)가 계속 진화하고 있다는 점을 시사한다.
중요한 사실은 랜섬웨어가 산업이나 기업 규모에 상관없이 모든 기업이 직면한 명백한 위험 대상이라는 점이다. 기업들은 제로-트러스트 액세스 접근 방식, 망 분리, 암호화와 더불어, 비즈니스 환경을 보호하기 위한 실시간 엔드포인트 보호, 탐지 및 자동화된 응답 솔루션을 구축하여 사전 예방적 접근방식을 도입해야 한다.
△ 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 탐지한 기업은 불과 1/4 : 멀웨어 군별로 많이 탐지된 멀웨어 순위를 보면 사회공학적 기법을 이용하는 멀버타이징(Malvertising)과 스케어웨어(Scareware)가 증가한 것으로 나타났다. 4개 중 1개 이상의 기업이 멀버타이징(Malvertising) 또는 스케어웨어(Scareware) 시도를 감지했다.
이처럼 많은 양이 감지된 것은 멀버타이징(Malvertising)으로 보일 수 있는 이와 유사한 자바스크립트(JavaScript) 캠페인이 합해졌기 때문일 가능성이 높다. 하이브리드 근무 환경이 확산되면서 증가했음은 의심할 여지가 없다. 달라진 환경을 악용하려고 시도하는 것은 단순히 겁을 주기 위해서가 아니라, 실제 정보 강탈(extortion)을 목표로 한다. 스케어웨어(Scareware) 및 멀버타이징(Malvertising) 공격을 피하기 위해서는 사이버 보안에 대한 인식을 높이고 시기적절한 훈련과 교육을 실시가 필요한 이유다.
△ 봇넷 트렌드, 공격자의 엣지 공격 트렌드 감지 : 봇넷 활동의 증가에 따른 봇넷 탐지 이벤트 수가 증가했다. 연초, 기업의 35%가 한 종류 또는 다른 종류의 봇넷 활동을 감지했다고 보고했으나, 6개월 후 이 수치는 51%로 증가했다. 트릭봇(TrickBot) 활동이 크게 증가한 것은 6월에 봇넷 활동이 전반적으로 급증한데 기인한다.
트릭봇(TrickBot)은 원래 뱅킹 트로이 목마로 업계에 등장했으나, 이후 다양한 불법 활동을 지원하는 정교한 다단계 툴킷으로 개발되었다. 미라이(Mirai)는 전반적으로 가장 광범위하게 확산되어 있다. 2020년 초, Gh0st를 추월했고 2021년까지 계속 우위를 점하고 있다. 미라이(Mirai)는 지속적으로 새로운 사이버 무기를 추가하고 있으나, 미라이(Mirai)의 우세는 재택근무나 재택학습자들이 사용하는 사물인터넷(IoT) 기기를 악용하려는 공격자들로 인한 것일 가능성이 높다.
공격자가 감염된 시스템을 완전히 제어하고, 라이브 웹캠 및 마이크로폰 피드를 캡처하거나 파일을 다운로드할 수 있도록 해주는 원격 액세스 봇넷 ‘Gh0st’의 활동도 매우 활발한 것으로 나타났다. 원격 근무 및 원격 학습으로 전환된 지 1년이 지난 지금, 사이버 공격자는 지속적으로 우리의 변화하는 일상 습관을 타깃으로 공격 기회를 노리고 있다. 네트워크와 애플리케이션을 보호하려면 네트워크에 진입하는 IoT 엔드포인트 및 장치 보호를 위해 최소한의 액세스 권한을 제공하는 제로-트러스트 액세스 접근방식을 도입해야 한다.
△ 사이버 범죄를 둔화시키려는 노력이 위협을 감소 : 사이버 보안에서 모든 조치가 즉각적으로 효과적이거나 지속적인 영향을 미치는 것은 아니나, 2021년의 여러 이벤트들은 긍정적인 성장을 보여줬다. 트릭봇(TrickBot)의 최초 개발자는 6월에 여러 혐의로 기소되었다. 또한, 역사상 가장 악명을 높인 이모텟(Emotet)을 국제 공조로 무력화시키고, Egregor, NetWalker, Cl0p 랜섬웨어를 차단하기 위한 글로벌 정부 및 법 집행 기관의 노력은 사이버 방어 측면에서 상당한 모멘텀을 보여주었다.
또한, 일부 조치는 랜섬웨어 운영자들을 위축시키고 공격 중단을 이끌어냈다. 포티가드랩(FortiGuard Labs)의 데이터에 의하면 이모텟(Emotet) 중단 이후 위협 활동이 둔화된 것으로 나타났다. 트릭봇(TrickBot) 및 류크(Ryuk) 변종과 관련된 활동은 이모텟(Emotet) 봇넷이 오프라인 상태가 된 후에도 지속되었지만 그 볼륨은 감소했다. 이는 사이버 위협이나 공급망 공격을 즉시 무력화시키는 것이 얼마나 어려운지를 보여주지만, 한편으로는 중요한 성과이기도 했다.
△ 사이버 범죄자는 방어적 회피(Defensive Evasion) 및 권한 상승(Privilege Escalation) 전략을 선호 : 공격 페이로드가 타깃 환경에서 실행된 경우, 멀웨어가 수행한 부정적인 작업 목록이 나왔다. 권한을 상승시키고, 보안 시스템의 방어 기술을 회피하며, 내부 시스템에서 공격을 확산시키고, 손상된 데이터를 탈취하려는 시도다. 예를 들어, 관찰된 권한 상승(privilege escalation) 기능의 55%는 후킹(hooking)을 활용했으며, 40%는 프로세스 인젝션(process injection)을 활용했다. 즉, 방어 회피(defense evasion) 및 권한 상승(privilege escalation) 전략에 주력하고 있다는 점이다.
By 김신강 에디터 Shinkang.kim@weeklypost.kr
김현동 에디터 Hyundong.Kim@weeklypost.kr
보도자료 및 취재문의 PRESS@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
