[데이터넷] 랜섬웨어 공격자가 목표 조직에 최초 침투한 후 공격을 개시하기까지 걸리는 평균 시간(Dwell Time)이 24시간으로, 지난해 4.5일에 비해 크게 단축된 것으로 나타났다. 이는 시큐어웍스의 ‘2023 위협 현황 보고서’에 따른것으로, 피해의 10%는 최초 접속 후 5시간 이내에 랜섬웨어가 배포됐다. 또 공격의 20%는 랜섬웨어 배포 전 일주일 이상 네트워크에 공격자가 머물렀으며, 이 중 3/4는 한달 이상 머무른 것으로 보인다.

드웰타임이 짧아진 이유는시간이 많이 걸리는 암호화보다 유출후 공개한다며 협박하는 방식으로 공격이 바뀌었다는 점을 들었다. 또 탐지 가능성을 낮추기 위해 빠르게 침투해 공격을 개시하고 있으며, RaaS를 이용하는 숙련되지 않은 범죄자들이 많아지면서 신속하게 공격하고 수익을 얻으려고 시도하는 것으로 보인다.

랜섬웨어로 시스템 중단되면 막대한 피해

보고서는 유출 사이트에 게시되는 정보가 많아졌다는 사실 자체만으로 랜섬웨어 공격이 늘어났다고 단정지을 수 없다고 설명한다. 데이터를 공개했다는 것은 몸값 협상에 실패했거나, 초기 협상이 잘 이뤄지지 않아 피해자를 압박하기 위해 유출한 데이터 일부를 공개한 것일 수 있다. 공개된 데이터가 중요하지 않아서 피해자자가 돈을 주지 않았을 수 있다. 특히 최근 규제로 인해 범죄자에게 돈을 주고 협상하지 못하는 상황도 있고, 암호화폐 추적 기술이 발달하면서 범죄자금 추적과 환수가 일어나고 있어 공격자의 수익성이 떨어지는 문제도 있다.

그럼에도 불구하고 랜섬웨어의 위험성은 매우 높다고 보고서는 경고한다. 공격자가 침투에 성공했다는 것 만으로도 조직에 큰피해를 입을수 있다. 예를들어 프로덕션 환경의 단일 서버만공격 받아도 비즈니스 운영이 중단돼 상당한 재정적 피해를 입을수 있다.

랜섬웨어 최초 침투 방법은 익스플로잇과 탈취한 인증정보로, 전체 공격의 각각 32%를 차지했다. 계정정보 탈취를 위한 인포스틸러 활동이 폭발적으로 증가하면서 인증정보 이용 공격이 크게 늘었다.

이외에 마이크로소프트가 오피스 문서의 매크로를 기본 비활성화하면서 악성 매크로 이용 공격의 성공률이 낮아지자, 원노트 파일, ISO 등을 이용해 유포했으며, 익스플로잇 스캔을 통해서도 침투했다. 더불어 AI를 이용해 공격을 정교화, 자동화해 위험을 더 복잡하게 만들고 있다.

보안 매니지드 서비스로 보호

이 보고서에서는 중국, 러시아, 이란, 북한 공격자들의 행위에 대해서도 자세히 분석했다. 최근 활동 빈도를 크게 높이고 있는 중국 기반 공격자들은 정교한 스파이 작전을 설계해 침투하는 것으로 나타났다. 이들은 프록시, 네이티브 OS의 정상 기능을 사용하는 LoL(Living off the Land), 클라우드 기반 솔루션을 이용해 공격을 진행한다.

러시아 공격자는 우크라이나와 우방국을 표적으로 공격하고 있으며, 국제물류제공업체, 무기공급업체, 난민·인권재단, 무인항공시스템(UAS) 제조사 등이 주요 타깃이다. 러시아 공격자들은 국가를 위해 활동하는 조직도 있지만, 금전 목적을 위한 공격도 상당하다. 금전목적의 공격자들이 후원을 받고 국가를 위해 활동하기도 한다. 이들은 타사 클라우드 API와 MFA의 맹점을 이용해 공격한다.

북한의 경우는 정치적 목적과 경제적 목적 공격을 수행하는데, 공격의 궁극적 목적은 정권의 안정을 위한 것이다. 북한은 금전 이익을 얻기 위해 암호화폐를 탈취에 집중하고 있으며, 리눅스·맥OS 등을 타깃으로 한 공격, 공급망 공격 등을 벌인다.

보고서에서는 진화하는 공격에 대응하기 위해서는 네트워크에서 자산과 위치를 파악하고, 보호 정책을 적용하며, 최신 위협을 분석하고 대응 방안을 마련, 취약점 우선순위를 결정해 보호 효율성을 높이는 등의 노력이 필요하다고 강조하면서 보안 전문기업의 매니지드 서비스도 좋은 대안이 된다고 설명했다.

김선애 기자 다른기사 보기