몸값 높은 OT 공격 집중…OT 보안 전담조직 시급
[데이터넷] 랜섬웨어 공격을 당한 미국 송유관 기업 콜로니얼 파이프라인이 결국 500만달러(약 56억원)을 지불하고 복호화 툴을 받았다. 돈 까지 지불했지만 복호화 툴의 속도가 매우 느려 완전한 복구까지는 시일이 걸릴 것으로 예상된다. 콜로니얼 랜섬웨어 피해로 미 동부 해안 일대 석유 공급이 중단되면서 해당 지역의 휘발유 소비자가격이 급등하고 사재기가 일어나는 등 큰 혼란을 겪기도 했다.
복호화 툴을 제공한 다크사이드는 미국 사법당국과 미국 정부의 압력을 받고 해체를 선언했지만, 이들의 공격이 끝났다고 보는 전문가는 없다. 랜섬웨어 공격자들은 자신의 공격 전술·전략이 공개돼 추적될 가능성이 높아지면 공격 중단을 선언한다. 그리고 다른 공격전술·전략을 갖고 다른 이름으로 등장한다. 다크사이드 공격자들 역시 변종 혹은 완전히 다른 성격의 랜섬웨어를 유포하게 될 것이다.
실제로 다크사이드는 도시바 프랑스 사업부를 공격한 것이 14일(현지시각) 알려졌으며, 이들은 다크웹에 성명을 내고 경영관리와 신규 비즈니스, 개인정보 등 740GB 이상 데이터를 유출했다고 주장했다.
RaaS로 랜섬웨어 공격 쉬워져
랜섬웨어 공격자들이 쉽게 전술·전략을 바꾸면서 공격을 이어갈 수 있는 이유는 서비스형 랜섬웨어(RaaS) 모델을 채택했기 때문이다. RaaS는 랜섬웨어 공격을 개발하는 조직과 배포하는 운영자, 이를 돕는 파트너와 제휴그룹이 이익을 공유한다.
파이어아이는 다크사이드가 11월 이들이 RaaS 제휴자를 모집하는 광고를 진행한 것을 공개했는데, 이에 따르면 50만 달러 미만의 랜섬웨어 몸값을 받으면 25%가 RaaS 제공자에게 돌아간다. 500만 달러 이상일 경우 10%가 RaaS 제공자의 수익이다.
RaaS 제공자는 랜섬웨어 공격 전술·전략을 짜고 공격 도구를 개발하며 자신의 다크웹에 접속할 수 있는 블로그를 관리한다. 이 블로그에 피해자의 데이터를 공개한다고 협박하면서 몸값을 요구한다.
러시아 혹은 동유럽을 기반으로 하는 것으로 알려진 다크사이드는 2020년 8월부터 활동한 것으로 보이며, 2020년 10월에는 피해자로부터 탈취한 2만달러를 자선단체에 기부했다. 이들은 NGO나 교육기관, 의료기관, 사법기관 등은 공격하지 않는데, 공격으로 인해 사회적 비난을 받거나 추적당할 우려가 있는 곳은 공격하지 않는 것으로 분석된다.
파이어아이는 이들이 주가 하락을 우려하는 상장사를 노리고 있으며, 금융, 법률 제조, 전문 서비스, 소매, 기술 등 여러 산업을 대상으로 공격한다. 이들은 피해 기업의 사이버 보안 관련 보험 내용을 탈취해 몸값 협상 과정에서 유리한 협상안을 제안한다.
OT 가용성 위해 랜섬웨어 대책 마련해야
다크사이드 공격자들은 APT 공격 전술·전략을 택하고 있으며, 여러 해킹그룹이 참여하는 것으로 알려진다. 트렌드마이크로 연구소에 따르면 이들은 피싱, 원격 데스크톱 프로토콜(RDP), 알려진 취약점 등을 악용해 초기 액세스 권한을 획득한다. 공격 프로세스 전반에 걸쳐 일반적이고 잘 알려진 일반 도구를 사용하는데, 콜로니얼 공격에서는 잘 알려진 취약한 마이크로소프트 익스체인지 버전을 이용한 것으로 알려진다. 이 처럼 잘 알려진 공격을 난독화 해 탐지를 피한다.
이전의 랜섬웨어는 중요 데이터 액세스 권한을 획득하면 즉시 랜섬웨어 공격을 했는데, 최신 공격은 랜섬웨어 공격도구를 즉시 드랍하지 않고 측면이동과 권한상승을 몇 차례 이행하면서 더 넓은 범위의 시스템을 감염시킨다. 모든 준비가 완료되면 데이터를 빼내 토르 기반 사이트에 훔친 데이터를 호스팅한 후 감염된 시스템을 암호화 한다.
또 최근 랜섬웨어는 더 많은 몸값을 지불할 가능성이 있는 생산시설, 의료기관, 공공기관 등을 집중 공략하고 있으며, 데이터 탈취와 랜섬웨어를 함께 진행해 피해기관이 몸값을 지불하지 않을 수 없도록 만든다.
랜섬웨어 공격을 막는 단 하나의 방법은 없다. 사이버 공격 방어를 위한 체계를 만들고 필요한 보안 시스템을 도입하며 보안 전담 조직을 강화해 사이버 보안을 비즈니스 연속성 전략으로 세워야 한다.
특히 최근 공격이 집중되는 생산망·제어시설 등 운영기술(OT) 환경의 보안 대응도 필수다. OT는 사이버 보안 대책이 충분히 마련돼 있지 않기 때문에 공격에 쉽게 노출될 수 있다. OT 환경 전체 자산의 가시성을 확보하고, 이상행위를 탐지하며, 취약점을 찾아 제거하는 한편, OT 보안 전담 조직을 구성해 OT 시스템을 보호하는 것이 필수다.
