금융·클라우드, 가장 많은 공격당해…보안 솔루션 위장하는 공격도 증가
[데이터넷] 랜섬웨어 범죄자들이 활동하는 지하시장에 ‘풍선효과’가 발생하고 있다. 미국 정부가 대규모 랜섬웨어 피해를 입은 후 랜섬웨어 범죄자들에 대해 강력한 수사를 펼치면서 다크사이드 등 악명높은 조직의 활동을 중단시키고 피해금액 일부를 회수하는 등의 성과를 거뒀다. 그러자 지하시장에서는 랜섬웨어 캠페인 광고를 금지하고 범죄자들의 활동이 위축되는 듯한 모습을 보였다.
그러나 이들이 활동을 중단했다고 안심하고 있어서는 안된다. 새로운 랜섬웨어 전용 포럼이 생기고, 랜섬웨어 범죄자들이 정보를 공유하기 위해 속속 모여들고 있다.
맥아피의 ‘어드밴스드 쓰렛 리서치 보고서 2021’에서는 “다크사이드 랜섬웨어 공격그룹의 활동 중지 선언 후 가장 영향력 있는 몇 개 포럼에서 랜섬웨어 광고 금지를 발표했지만, 이는 범죄자들의 생존을 위한 요식행위일 뿐, 랜섬웨어가 진정될 기미는 보이지 않고 있다”며 “오히려 랜섬웨어 전용 포럼이 시작되고 범죄자들이 전략·전술·프로세스를 공유하기 위해 모이고 있다”고 지적했다.
공공·의료기관·생산시설 최다 피해 기록
랜섬웨어는 올해 특히 대규모 피해 사례를 기록하고 있다. 일반 기업은 물론, 시민들의 생명·안전과 관련된 주요 인프라까지 공격하고 있으며, 소프트웨어 공급망을 이용해 상상 초월의 광범위한 피해를 양산하고 있다.
글로벌 사이버 수사를 통해 다크사이드 등 일부 범죄그룹의 활동이 중단됐지만, 이들은 TTP를 바꿔 활동을 계속하거나 이들의 계승자를 자처하는 세력이 다시 등장하고 있다. 일부 조직들은 서로 싸우거나 내부 분쟁으로 세력이 약화되는 일도 겪지만, 이러한 혼란은 일시적일 뿐, 수익성 높은 공격 활동을 중단할리 없다.
공격자들은 성공한 랜섬웨어 TTP를 공유하고 악성코드와 공격도구를 매매하면서 공격을 발전시킨다. 중요한 데이터를 유출한 후 공개하겠다고 협박하면서 더 많은 돈을 뜯어낸다. 몸값을 많이 지불할 수 있는 의료기관, 대규모 생산·제조시설, 정부 공공기관 등이 최대 피해그룹이다.
중요한 정보와 금전 수익을 얻을 수 있는 금융기관은 랜섬웨어 뿐 아니라 다양한 사이버 위협의 집중 대상이 되고 있다. 특히 금융혁신을 진행하는 기관에서 다양한 클라우드를 사용하면서 가장 많은 공격을 받고 있다. 2021년 2분기 발생한 클라우드 사고 중 가장 많은 공격이 금융서비스를 노린 것으로, 가장 많은 공격을 받은 10대 산업 중 33%의 공격이 금융 클라우드에서 발생했다.
2분기 가장 흔히 발생한 클라우드 위협은 비정상적인 위치에서 과도한 사용이 발생한 것이었으며, 사용자가 짧은 시간 내에 큰 볼륨의 데이터에 액세스하거나 다운로드하는 등의 이상행위가 발생했다. 내부자 데이터 유출, 권한 액세스 오용 등이 그 뒤를 이었다.
초기 침투 위해 스피어피싱 사용
2분기 공개적으로 보고된 사이버 위협은 모든 산업에서 발생했으며, 공공·엔터테인먼트 분야의 공격이 이전에 비해 크게 늘었다. 초기 액세스를 위해 사용되는 방식은 스피어피싱을 이용한 악성파일과 악성링크였다. 신뢰할 수 있는 프로그램의 업데이트로 위장하거나 윈도우 디펜더와 같은 보안 솔루션을 위장하는 방법도 자주 사용되는 것이다.
또 파워셸이나 윈도우 명령셰을 이용해 메모리에서 멀웨어를 실행하거나 이중 사용, 비 악성 도구를 사용해 보안 탐지를 우회하는 방법을 선택했다.
키로깅을 이용해 자격증명을 수집했으며, RAT 등 원격 액세스 툴과 화면캡처 등을 이용한 침투도 다수 발생했다. 불법 수집한 정보를 유출하기 위해 공격자들은 다양한 클라우드 스토리지 사업자를 사용했으며, 랜섬웨어 공격 전 볼륨 섀도 사본까지 삭제해 피해 기업이 시스템과 데이터를 복구하지 못하게 했다.
보고서는 이러한 지능적인 공격에 대응하기 위해 EPP·EDR, 패치관리·엔드포인트 관리, NDR·XDR 등의 보안 솔루션을 사용하며, SIEM·SOAR 등 차세대 보안관제 서비스를 이용해 보안 사각지대 없이 지능적으로 관리할 것을 권고했다.
