“랜섬웨어, 근무시간 외에 공격 진행”
상태바
“랜섬웨어, 근무시간 외에 공격 진행”
  • 김선애 기자
  • 승인 2020.03.20 10:50
  • 댓글 0
이 기사를 공유합니다

파이어아이 “랜섬웨어 76% 근무시간 외 발생”
RDP·스피어피싱으로 사용자 감염시킨 후 랜섬웨어 공격
초기 침해 차단하면 랜섬웨어 피해 막을 수 있어

[데이터넷] 랜섬웨어는 근무시간이 아닐 때 침해시도를 하며, 초기 감염 후 3~4일 정도 지난 후 공격이 시작되는 것으로 나타났다. 파이어아이가 20일 공개한 ‘랜섬웨어 배포 트렌드 리포트’에 따르면 랜섬웨어 76%가 근무시간 외에 일어났으며, 75%는 악성활동이 최초에 감지된 시점부터 랜섬웨어 배포까지 최소 3일 걸린 것으로 나타났다.

파이어아이 맨디언트가 조사한 랜섬웨어는 2017년부터 2019년까지 860% 증가했고, 이 중 대다수의 사례는 사전 공격으로 인해 사용자 시스템을 먼저 감염시킨 후 랜섬웨어를 배포하는 방식으로 금전적 이익을 극대화했다.

많은 공격이 원격 데스크톱 프로토콜(RDP)과 악성 링크 또는 첨부파일을 이용했으며, 피해자가 멀웨어를 다운로드 하도록 유도해 후속 공격 활동을 이어갔다. 즉 사용자가 직접 랜섬웨어 악성코드를 실행시키지 않아도 피해를 입을 수 있다는 뜻이다.

또한 악성 활동이 감지된 최초의 시기부터 랜섬웨어 배포까지 걸린 시간은 최대 299일까지도 걸렷으며, 침해 사고의 75%는 첫번째 감염 시도부터 랜섬웨어 배포까지 최소 3일 걸렸다. 따라서 침해 사고를 초기에 탐지·차단하고 신속하게 조치한다면, 많은 조직이 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 피할 수 있다.

파이어아이가 검토한 랜섬웨어 침해사고 중 76%가 근무시간 외에 일어났다. 예를 들어, 공격 대상이 위치한 시간대를 고려해 직원이 근무하지 않는 주말 혹은 평일 오전 8시 이전, 오후 6시 이후에 공격을 실행한 것이다.

랜섬웨어 공격에 따른 피해자가 감당해야 할 손실과 비용이 크고, 최근 몇 년간 사이버 공격 그룹이 진화하며 랜섬웨어 감염을 통한 피해를 지속적으로 증가시키고 있다. 파이어아이는 금전 탈취 목적을 띈 공격 그룹이 랜섬웨어를 통한 수익을 극대화하기 위해 공격 전술을 계속해서 발전시킬 것으로 예상하고 있다. 랜섬웨어 감염 후에 따르는 피해가 증가할 것으로 보이며, 공격자는 랜섬웨어를 통해 데이터 도용 및 탈취, 주요 시스템을 표적한 공격에 지속적으로 이용할 것으로 전망된다.

긍정적인 시사점도 있다. 사전 공격으로 시스템 감염 후 랜섬웨어를 배포하게 되면 최초 공격 시도와 랜섬웨어 배포 사이에 어느 정도 시간차가 존재한다. 네트워크 보안 담당자가가 초기 공격을 신속하게 탐지하고 적절한 방어 조치를 할 수 있다면, 랜섬웨어 감염으로 인해 심각한 피해를 줄일 수 있을 것으로 보인다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.