팔로알토 “랜섬웨어 몸값 3000만달러…실제 지불액 800만달러”
상태바
팔로알토 “랜섬웨어 몸값 3000만달러…실제 지불액 800만달러”
  • 김선애 기자
  • 승인 2022.09.05 09:54
  • 댓글 0
이 기사를 공유합니다

금융·부동산 요구 몸값 가장 많아…탐지된 공격 70% 랜섬웨어·BEC
BEC 피해액 28만6000달러…초기 공격 벡터, 피싱·SW 취약점 가장 많아

[데이터넷] 랜섬웨어 피해가 4시간마다 하나씩 지하시장에서 공개되고 있으며, 공격자가 제시하는 몸값이 평균 3000만달러, 실제 지불금액 800만달러로 급증한 것으로 나타났다.

이는 팔로알토 네트웍스의 ‘2022 인시던트 대응 보고서’에 따른 것으로, 보고서가 작성되는 기간 동안 팔로알토 보안 연구조사 기관 유닛42에서 수집한 600여개 이상의 사고 대응 사례를 분석한 결과, 랜섬웨어 몸값 요구액이 가장 높은 산업은 금융업으로 평균 800만달러, 그 다음은 부동산으로, 520만달러의 몸값을 요구했다. 그런데 보고서 작성 후 랜섬웨어 몸값은 지속적으로 증가해 평균 몸값 3000만달러에 이른 것으로 분석됐다.

보고서에 따르면 공격이 탐지되기 전까지 공격자가 체류하는 기간은 평균 28일이었으며, 몸값을 지불하지 않을 경우 민감한 정보를 공개하겠다고 위협하는 이중 갈취 수법이 지속적으로 늘어나고 있다. 탐지된 전체 공격의 70%가 랜섬웨어와 기업 이메일 침해(BEC)인 것으로 나타났다.

보고서에서는 이번 통계를 발표한 이후 공격 빈도와 피해 금액이 지속적으로 증가해, 몸값 요구 금액 3000만 달러, 실제 지불 금액은 800만 달러로 급증했다고 설명했다.

BEC는 사회공학기법을 이용해 가장 쉽게 돈을 벌 수 있는 수단으로 공격자 그룹에 인식되고 있다. 사이버 범죄자들이 불특정 다수로부터 자격증명을 탈취해 이메일 계정에 대한 접근권한을 얻으며, 평균 38일간 공격 대상 시스템에 체류한다. 평균 피해 금액은 28만6000달러이며, 송금사기 뿐 아니라 액세스 권한을 얻어 추가 공격에 활용한다.

▲인시던트 대응 유형
▲인시던트 대응 유형

인터넷 검색만으로 취약점 공격 단행

공격자들은 주로 돈이 되는 산업군에 집중하는 한편 널리 알려진 취약점을 활용할 수 있는 시스템을 찾기 위해 단순히 인터넷을 검색하는 등의 양상도 보이고 있다. 침해 사고 대응 사례 조사 결과 가장 영향을 많이 받은 업종은 금융, 전문 및 법률 서비스, 제조, 의료, 첨단 기술 및 도소매 순으로 나타났다. 이러한 산업군은 대량의 수익 창출이 가능한 민감 정보를 저장, 전송, 처리한다는 공통점이 있다.

위협 행위자들이 가장 많이 사용한 3가지의 초기 액세스 벡터는 주로 원격 데스크톱 프로토콜(RDP)에 초점을 맞춘 피싱, 알려진 소프트웨어 취약점 악용, 무차별적인 자격 증명 공격이다. 이러한 공격 벡터는 침입으로 의심되는 전체 근본 원인의 77%를 차지한다.

초기 접속을 위해 악용된 취약점의 절반 이상은 프록시셸이 55%로 가장 많았고, 로그포제이 14%, 소닉월 7%, 프록시로그온 5%, 조호 매니지 엔진 4%로 뒤를 이었다.

인시던트 대응 사례의 절반에 가까운 비율로 기업 웹 메일, 가상 사설망(VPN) 솔루션 또는 기타 원격 액세스 솔루션과 같은 인터넷 기반 시스템에 멀티팩터 인증이 갖춰지지 않은 것으로 조사됐다. 사고 대응 사례 중 13%는 무차별 자격 증명 공격에 대한 계정 잠금을 보장할 수 있는 조치를 마련하지 않았던 것으로 나타났다.

사고 대응 사례 중 28%는 미흡한 패치 관리 절차가 침해 발생으로 이어졌다. 사고 대응 사례 중 44%는 조직에서 엔드포인트 탐지 대응(EDR) 및 확장형 탐지 대응(XDR) 보안 솔루션을 갖추지 않거나, 영향을 받은 시스템을 충분히 탐지하도록 포괄적으로 구축되지 않았던 것으로 드러났다. 사고 대응 사례의 75%는 퇴직자와 관련이 있는 것으로 조사됐다.

이희만 팔로알토 네트웍스 코리아 대표는 “사이버 범죄는 적은 비용으로 높은 수익을 낼 수 있어 진입 장벽이 무척 낮아졌다. 기술력이 뛰어나지 않은 초보 공격자들까지도 다크웹에서 성행하고 있는 서비스형 해킹 툴을 사용해 공격에 뛰어들고 있다”며 “랜섬웨어 공격자들은 고객 서비스와 만족도 조사까지 실시해가며 조직화되고 있는 추세”라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.