파일 유출·공개가 주요 갈취 수단…파일 백업만으로 피해 못 막아
[데이터넷]
랜섬웨어 공격이 피싱을 통해 시작되고 있지만, 최근 공격자들은 피싱보다 쉬운 취약점을 이용해 침투를 시작하는 것으로 분석됐다.
아카마이의 ‘멈추지 않는 랜섬웨어: 공격 테크닉과 활발한 제로데이 공격’ 보고서에 따르면, 공격자들은 제로데이·원데이 취약점 등 잘 알려지지 않은 보안 위협을 이용해 기업 내부 네트워크에 침투한 후 랜섬웨어를 배포하는 수법으로 전환한 것으로 분석됐다. 그 결과 지난해 1분기부터 올해 1분기까지 아시아 태평양 지역 랜섬웨어 피해자가 2배 증가한 것으로 나타났다.
이 기간 아태지역을 공격한 랜섬웨어는 파일 유출, 민감한 정보 무단 추출·전송을 주요 갈취 수단으로 삼았기 때문에 파일 백업으로는 피해를 막을 수 없게 됐다. 또한 랜섬웨어 피해자의 대다수가 연간 매출 5000만 달러 이하인 중소기업이었며, 여러 번의 랜섬웨어 공격을 받은 피해자는 최초 공격 후 3개월 이내에 후속 공격을 경험할 가능성이 6배 이상 높았다.
제조업 타깃 공격 가장 많아
아태지역에서 랜섬웨어의 공격을 가장 많이 받은 상위 5개 주요 산업은 제조업, 비즈니스 서비스, 건설업, 소매업, 에너지, 유틸리티 및 통신 업계로, 공격자들이 필수 인프라들을 적극적으로 노리는 것으로 나타났다. 사이버 보안 기준이 강화되지 않는다면, 해당 부문의 기업들은 계속해서 비즈니스 중단 위협에 노출될 것이다.
아태지역에서 가장 널리 구독되는 서비스형 랜섬웨어인 락비트(LockBit)는 2021년 3분기부터 올해 2분기까지 아태지역에서 공격의 51%를 차지하며 랜섬웨어 환경을 지배하고 있다. 그리고 알프파이브(ALPHV)와 클롭(CL0P) 랜섬웨어 그룹이 그 뒤를 잇는다.
락비트는 아태지역에서 가장 널리 퍼져 있는 랜섬웨어로, 제조업 공격의 60%, 비즈니스 서비스 공격의 55.8%, 건설업 공격의 57.7%, 소매업 공격의 45.8%, 그리고 에너지 분야 공격의 28.6%를 일으켰다.
클롭 랜섬웨어 그룹은 올해 6월 랜섬웨어 공격을 진행했고, 이는 2023년 1분기 아태지역에서 랜섬웨어 피해자를 급증시킨 무브잇(MOVEit)과 같이 제로데이 취약점을 공격적으로 악용한 것이다.
아카마이 아시아태평양 보안 기술 및 전략 책임자인 딘 후아리(Dean Houari)는 “랜섬웨어의 배후에 있는 공격자들은 중요하고 민감한 정보를 갈취함으로써 기업의 핵심을 공격하는 테크닉 및 전략을 지속적으로 발전시키고 있다”며 “아태지역의 민간 및 공공 부문을 아우르는 협업을 강화하여, 기업들이 나날이 증가하는 랜섬웨어 위협으로부터 방어할 수 있도록 지원해야 한다”고 말했다.
그는 “특히 아태지역의 중소기업들은 끊임없이 진화하는 사이버 공격 및 서비스형 랜섬웨어를 효과적으로 방어하기 위해 소프트웨어 정의 마이크로세그멘테이션을 시작으로 제로 트러스트 아키텍처를 도입해야 한다”며 “이것이 사이버 범죄 조직이 배포하는 공격 툴의 유형과 관계없이 기업들이 주요 자산과 브랜드 평판을 성공적으로 보호하고 비즈니스 연속성을 보장할 수 있는 방법”이라고 덧붙였다.
