플랫폼 기반 보안으로 공격 접점 축소…보안 역량 강화해야
[데이터넷] 2021년 세계 각국의 정부기관과 수사기관, 보안기업들이 협력해 악명높은 랜섬웨어 집단을 검거하고 공격 인프라를 압수하며 범죄 수익금을 환수하거나 범죄자금 현금화를 막아 범죄 수익률을 낮추는데 성공했다. 그 결과 랜섬웨어 공격자의 수익이 2022년 38% 감소하고 랜섬웨어 공격그룹이 잇달아 해체했다.
그렇다고 해서 랜섬웨어 공격이 멈춘 것은 아니다. 트렌드마이크로에 따르면 랜섬웨어 조직은 이름을 바꾸고 다른 조직과 협력하면서 활동을 이어가고 있다.
트렌드마이크로 ‘2022 사이버 보안 보고서’에서는 여러 랜섬웨어 그룹의 최근 활동을 자세히 설명하면서 랜섬웨어 공격자 생태계의 변화를 분석했다.
내분으로 해체된 콘티 랜섬웨어는 블랙 바스타, 블랙 바이트, 카라쿠르트, 로얄 등으로 이름을 바꾸었으며, 블랙캣 랜섬웨어는 업계 경험이 상당한 랜섬웨어 서비스(RaaS) 그룹과의 인맥이나 네트워크를 활용해 운영을 개선하고 있다.
심지어 공격도구의 취약성을 제거하려고 버그바운티를 운영하는 정황도 발견됐다. 록비트3.0은 지난해 6월 랜섬웨어 취약점을 찾는 사람에게 현상금을 주는 프로그램을 운영, 보안 연구원들에게 보상을 제공하면서 운영 개선에 도움을 주었다.
2022년 후반 아젠다, 블랙캣, 하이브, 랜섬엑스 공격자들이 리눅스 운영 체제를 목표로 하기 위해 바이러스 백신 엔진으로 분석하고 탐지하기 어려운 크로스 플랫폼 언어인 러스트로 랜섬웨어 버전을 개발하는 것도 탐지됐다.
쿠바의 랜섬웨어 사업자는 몸값을 지불하려는 피해자를 지원하면서 랜섬웨어 조직의 수익을 개선하고 있다.
트렌드마이크로는 랜섬웨어 집단이 향후 주식 사기, 비즈니스 이메일 사기(BEC), 자금 세탁, 암호화폐 도난 등 초기 접속을 수익화 하는 분야로 영역을 이동할 것으로 예측했다.
지난해 사이버 위협 탐지 1460억건
이 보고서에서는 웹서버 악성코드 중 웹셸이 103% 늘면서 2022년 가장 많이 탐지된 악성 프로그램으로 선정됐다고 설명했다. 재확산된 이모텟이 뒤를 이었고, 랜섬웨어 부문에서는 ‘록빗(LockBit)과 블랙캣(BlackCat)을 선정했다.
백도어 악성 프로그램 탐지 결과가 86% 가량 증가했으며, 이는 향후 공격을 위해 위협 행위자가 네트워크에 침입하려는 경향을 보여준다. 해당 결과는 주로 웹 서버 플랫폼의 취약점에서 발견됐다.
또한 마이터 어택(MITRE ATT&CK)의 상위 세 가지 기술을 통해 위협 행위자들이 원격 서비스를 통해 초기 액세스를 얻은 다음 유효한 계정을 활용하기 위한 자격 증명 덤핑 방식을 사용해 사이버 환경 내에서 활동 반경을 확장하고 있는 것이 탐지됐다.
지난해 2022년 한 해 사이버 위협 탐지가 기록적인 1460억 건을 달성했으며 위협 탐지 수와 차단된 악성 파일 수가 각각 55%와 242% 급증했다.
존 클레이(Jon Clay) 트렌드마이크로 위협 인텔리전스 부사장은 “트렌드마이크로 위협 인텔리전스가 수집한 방대한 결과는 지난 2022년 위협 행위자가 수익화를 위해 올인했음을 보여준다”며 “특히 백도어 탐지가 급증했는데, 이는 위협 행위자의 네트워크 내부 침투 성공을 나타내는 지표로 우려를 가중시킨다. 이미 과부하 된 보안팀이 빠르게 확장되는 공격 접점 전반에서 위험을 효과적으로 관리하려면 간소화된 플랫폼 기반의 접근 방식을 취해야한다”고 강조했다.
ZDI 취약점 발견, 3년 연속 최대치 기록
한편 트렌드마이크로는 2022년 제로데이 이니셔티브(ZDI) 자문 건이 1706건으로, 3년 연속 사상 최대치를 기록했다고 설명했다. 이는 기업의 공격 접점이 빠르게 확장되는 와중, 자동화 분석 툴에 대한 투자 확대로 더욱 많은 버그가 탐지됐기 때문이다. 2022년에 ‘위급(critical)’ 취약점 개수는 예년 대비 2배 증가했으며, 보고된 상위 CVE 3개 중 2개가 로그4j와 연관됐다.
트렌드마이크로는 플랫폼 기반 접근 방식을 채택해 사이버 공격 접점을 관리하고, 부족한 보안 역량과 보안 범위를 보완하는 동시에 개별 솔루션의 관리 비용 최소화할 것을 권장한다. 기업 내 자산을 검사해 중요도, 잠재적 취약점, 위협 활동 수준 및 자산에서 수집되는 위협 인텔리전스 정보를 확인해야 한다는 점도 강조했다.
더불어 클라우드 인프라 구축 단계부터 보안을 우선시 해 차후 보안 격차 또는 보안 취약점 공격을 예방해야 한하며, 공격 발생 시 소프트웨어 업데이트를 최우선 순위로 진행해 취약점 악용을 최소화해야 한다고 강조했다. 사이버 보안 사건 발생 시 신속한 대응을 위해 사일로화 되는 영역이 생기지 않도록 조직 내 다양한 기술 및 네트워크와 이를 보호하는 모든 보안 시스템을 모니터링 해야 한다는 점도 언급했다.
