SK쉴더스 “완벽해진 랜섬웨어, 버그바운티까지 운영”
상태바
SK쉴더스 “완벽해진 랜섬웨어, 버그바운티까지 운영”
  • 김선애 기자
  • 승인 2022.12.06 14:19
  • 댓글 0
이 기사를 공유합니다

랜섬웨어 공격 툴에 대한 버그바운티 운영하며 공격도구 취약점 제거하고 탐지·분석 회피
공개키 기반 암호화로 공격자에게 키 받지 않으면 복구 불가하게 해
다중탈취 공격으로 금전 탈취…서비스형 피싱 활용해 공격 진입장벽 낮춰

[데이터넷] 랜섬웨어 공격이 이전과 완전히 달라졌다. 공격 도구와 전략·전술, 협상 방법까지 모든 것이 완벽해졌다.

공격자들은 공개키 기반 암호화를 사용해 공격자가 복호화 키를 주지 않으면 시스템과 데이터를 복구할 수 없게 한다. 자신의 공격 툴에 대한 ‘버그바운티’를 진행해 취약점 없는 공격도구로 공격한다. 사전에 피해 조직의 지불 능력, 사이버 보안 보험 등을 조사해 피해 기업이 지불할 수 있는 최대 금액을 책정한 후 데이터와 시스템을 암호화하고 금전을 요구한다.

협상이 시작되면 최초 요구한 몸값보다 낮은 금액으로 타협한다. 그리고 미리 유출한 데이터를 공개한다고 협박하며 2차 금전 요구를 시작한다. 그리고 피해 기업이 공격당한 원인과 취약점에 대한 리포트를 제공한다며 3차 금전요구를 진행한다. 여러 차례의 협박으로 결국 공격자는 애초에 요구한 금액을 모두 받아낸다.

이호석 SK쉴더스 EQST 랩장은 6일 ‘2023년 5대 보안 위협 전망’을 발표하며 새로워진 랜섬웨어 공격 방법에 대해 설명했다.

이호석 랩장은 “최근 발생하는 공격의 50~80%가 랜섬웨어다. 공격자는 백업 시스템을 무력화하고 백업 데이터를 파괴한 후 내부 서버에 랜섬웨어를 유포한다. 감염된 서버 내의 중요 정보를 유출하고 블랙마켓에 판매한다. 사용할 수 있는 모든 취약점을 이용해 목표 기업에게 피해를 입힌 후 마지막으로 랜섬웨어 공격을 한다. 그 후에도 2차, 3차 금전요구하면서 수익을 얻는다”며 “랜섬웨어 피해액은 평균 한 회 20~30억원 정도로 추산된다. 랜섬웨어 공격자들은 매우 고도화되고 정교하게 공격하기 때문에 공격이 시작되면 막기가 매우 어렵다”고 말했다.

▲이호석 SK쉴더스 EQST Lab장이 2023년 5대 보안 위협 전망을 주제로 발표하고 있다.
▲이호석 SK쉴더스 EQST Lab장이 2023년 5대 보안 위협 전망을 주제로 발표하고 있다.

데이터 파괴형 랜섬웨어 성행

EQST가 설명한 랜섬웨어 동향에 따르면 랜섬웨어 공격자들은 매우 고도화되고 전문화 되고 있는 것으로 보인다. 서비스형 랜섬웨어(RaaS)가 자리잡으면서 랜섬웨어 개발그룹과 공격그룹, 유출한 데이터를 관리하고 협박이나 판매를 위한 블로그를 운영하는 그룹, 피해 기업과 협상하고 암호화폐를 받아들이는 그룹, 범죄자금을 세탁하는 그룹 등으로 세분화 돼 운영된다.

랜섬웨어 공격 방법은 데이터 파괴형이 크게 늘어나고 있는데, 특히 콜로니얼 파이프라인을 공격한 다크사이드가 블랙캣이라는 이름으로 다시 활동하면서 데이터 파괴형 랜섬웨어 공격을 벌이고 있다.

이 처럼 고도화되는 랜섬웨어 공격에 대응하기 위해 SK쉴더스는 랜섬웨어 대응 서비스를 제공하는 한편, 국내 기업과 함께 랜섬웨어 대응 협의체 KARA를 운영하고 있다.

EQST는 랜섬웨어를 더욱 쉽게 만드는 공격 방법 중 하나로 서비스형 피싱(Phishing-as-a-Service, PhaaS)이 유행하고 있다고 설명했다. 카페인(Caffeine)이라는 PhaaS가 블랙마켓 뿐 아니라 일반 인터넷 검색으로도 쉽게 접근할 수 있게 됐다. PaaS는 판매자가 타깃 조직에 대한 세부 정보를 받아 원하는 형태로 피싱사이트를 제작해주는 서비스형 모델로, AI로 피싱 방어 솔루션을 우회하는 것으로 알려진다.

이호석 랩장은 “공격장벽이 점점 낮아지고 있다. 공격자들은 공격 단계를 세분화하고 전문화하며, 서비스형으로 제공해 누구나 쉽게 범죄에 참여할 수 있게 한다. AI를 통해 자동화되고 강화되는 공격툴, 버그바운티를 활용해 취약점을 제거하고 탐지되거나 분석되지 않게 하는 공격 기술 등을 사용하고 있다”고 지적했다.

스마트홈 기기 통해 기업 내 서버 침투

SK쉴더스는 올해 발생한 사이버 위협 사례에 대해서도 설명하며 스마트홈 해킹 위험에 대해 경고했다. 최근 소비자들이 저렴한 스마트 기기를 구입하기 위해 중국 기반 온라인 쇼핑몰에서 직구하는 경우가 많다. 일부 기기들은 택배비도 받지 않는 수준의 저렴한 가격으로 판매된다. 국내 온라인 쇼핑몰에서 국내생산 제품이라고 판매하는 것 중에서는 중국에서 제작한 기기의 포장만 바꿔 국산 제품이라고 판매한다.

이러한 제품의 많은 경우가 펌웨어 교체가 되지 않기 때문에 취약점 공격에 노출된다. 개인정보와 사생활 정보가 유출될 수 있는데, 그 대표적인 사례가 가정용 IP 카메라 해킹이다. IP 카메라 취약점을 이용해 사생활 정보가 외부로 유출되고, 다크웹에 판매되며, 심지어 중국 등의 유튜브에 생중계되는 사례도 있었다. 또한 이 기기들이 대규모 봇넷을 형성해 다른 공격에 이용되기도 한다.

김래환 SK쉴더스 EQST 팀장은 “공격자들은 가정용 기기를 해킹해 사생활과 개인정보를 유출할 뿐 아니라, 스마트홈 기기를 해킹한 후 가정에서 사용하는 업무용 기기에 침투, VPN이나 클라우드PC를 이용해 회사 내부 서버로 잠입한다. 이렇게 탈취한 정보가 다크웹에서 활발하게 판매되고 있다. 현재 다크웹에서 기업의 중요 계정 정보를 경매하는 사례가 많다. 회사 내 보안 정책을 마련하는 것 만큼 가정 내 보안에도 신경써야 한다”고 경고했다.

무인화·자동화로 보안위협 급증

한편 SK쉴더스는 올해 발생한 주요 사어비 위협으로 ▲랜섬웨어 ▲랩서스 해킹그룹을 꼽았다. 더불어 올해 국내에서 발생한 사고 중 가장 많은 사고가 제조업에서 발생했는데, 랩서스 해킹이 중요한 원인이 됐다고 설명했다.

국내 의료기관에서 사용되는 의료 영상정보 관리 시스템을 타깃으로 한 공격이 발견됐으며, 카카오 장애로 인한 피해, 그리고 이를 악용한 사회공학 기법 공격이 성행했다고 밝혔다. 사회적 이슈를 이용한 공격은 올해 특히 더 극심했는데, 10.29 참사와 울진 산불 등과 관련된 내용으로 위장한 공격이 다수 발생했다. 피싱과 스캠이 크게 늘어 상반기보다 하반기 4% 증가한 20%를 기록했다.

SK쉴더스는 내년에 발생할 위협으로 ▲다변화된 랜섬웨어 ▲서비스형 피싱 ▲고도화되는 모바일 보안 위협 ▲산업용 사물인터넷(IIoT) 보안위협 증가 ▲가상자산 타깃 공격 등을 전망했다. 랜섬웨어의 위험성이 커지는 가운데 모바일, 사물인터넷, DeFi 등 최근 산업 트렌드와 관련된 위협 키워드가 등장했다. 각 위협 행태는 서로 연관성을 가지며 공격의 수단이나 경로가 되고 있어 기업과 사회의 철저한 대비가 필요하다.

SK쉴더스는 하나의 앱으로 다양한 서비스를 이용할 수 있는 슈퍼앱이 활성화되는 만큼 이를 악용한 모바일 대상 공격도 유의해야 한다고 경고했다. 한 개의 앱에 여러 기능을 합치는 과정에서 보안 검증 프로세스가 누락되거나 권한 관리의 허점이 생기며 이를 노린 해킹 공격이 발생할 수 있다. 모바일 기기를 대상으로 이메일 또는 문자 메시지에 포함된 링크를 클릭하지 않아도 악성 코드에 감염될 수 있는 공격인 ‘제로클릭’ 공격도 늘어날 것으로 예측했다.

코로나19 이후 산업 전반에 확산된 무인화/자동화 기기에 대한 위협에도 대비해야 한다. IIoT가 적용된 무인화 산업·제조시설은 다양한 장비를 사용하지만 자산 관리가 미흡하고 보안 위협에 취약한 운영체제를 사용하는 경우가 많아 개인정보 유출이나 랜섬웨어 등의 사이버 공격의 대상이 되기 쉽다. 이 밖에도 가상 자산을 타깃으로 한 공격은 DeFi의 등장으로 더욱 활발해질 것으로 예측됐다.

이재우 SK쉴더스 EQST사업그룹장은 “디지털 전환이 가속화되며 사이버 위협이 일상 속으로 깊이 침투해 큰 피해를 불러일으키고 있어 사전 예방부터 대응, 체계적인 보안 관리 등이 전 산업 영역에 걸쳐 필요한 시점”이라며 “기업과 사회에 필요한 실질적인 보안 대책을 마련하는데 도움이 될 수 있도록 보안 전략 수립과 정보 공유에 앞장설 것”이라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.