Cappuccino sapiens

랜섬웨어 공격에 사용되는 멀웨어는 기업의 보안을 우회하기 위해 기술적으로 더욱 정교해 지고 발달하고 있으며, 이러한 잘 만들어진 멀웨어는 해커들의 기업에 대한 보안분석과 멀웨어 개발에 필요한 수고를 덜어 주고 있습니다.

MaaS는 새로운 보안기술을 우회하고 보다 강력한 암호화를 사용하는 등 공격을 위한 전문기술을 모두 위탁하는 서비스 형태를 말합니다. 따라서, 전문성이 없어서도 쉽게 공격 타깃에 따른 멀웨어 서비스를 선택적으로 이용할 수 있습니다. MaaS는 악성코드를 주문제작은 물론 제로데이 취약점, 난독화 서비스, 익스플로잇 킷, 스팸 네트워크까지 선택적으로 구매하여 사용할 수 있습니다.

모바일 보안위협 전문기업인 ThreatFabric은 최근 226개의 안드로이드 앱에서 사용자의 인증정보를 훔치는 Alien이라는 새로운 멀웨어가 등장했다고 전했습니다. 랜섬웨어 공격을 위한 첫번째 단계는 사용자의 인증정보인 크리덴셜을 수집하고, 이들 중 공격이 가능한 유효한 계정을 검증하게 됩니다. Alien 멀웨어는 패스워드, 연락처, SMS 메시지 등 사용자와 휴대폰 정보유출은 물론, 화면잠금 기능, 원격제어 등의 기능까지 제공하는 것으로 알려졌습니다.

멀웨어 서비스의 사용이 용이해지고, 강력한 멀웨어의 등장은 보안팀을 더욱 긴장하게 만듭니다.

 ※ 참고: New 'Alien' malware can steal passwords from 226 Android apps

COVID-19으로 인한 팬데믹 이후, 좀도둑과 사이버 세상에서의 해킹 건수가 증가하고 있는 것이 표면적으로 느껴지고 있습니다. 주말을 포함해 오늘 유독 많은 기사들이 해킹에 관한 기사들을 다루고 있습니다. 특히, 눈에 띄는 단어는 ”랜섬웨어 공격“ 입니다.

최근 랜섬웨어 공격은 보안이 상대적으로 취약한 병원, 행정시스템, 제조시설 등을 주요 타깃으로 하고 있으며, 단순히 데이터를 암호화하는 것 외에 데이터를 유출하여 기업을 협박하는 방식으로 진화하였습니다. 또한, 공격으로 부터 금전적인 이득을 취하려는 목적도 있으나, 군사시설 또는 주요 정보통신 기반시설의 산업기밀을 훔치는 첩보활동과도 연관되어 국가간 마찰을 빚기도 합니다.

랜섬웨어 공격은 당하고 난 이후에 어쩔 수 없었다는 허탈함 마저 들게 하곤 합니다. 랜섬웨어 공격에 대한 예방으로서 데이터 암호화, 백업, 화이트리스트 기반의 접근통제 방법들은 이미 많은 기업에서 고민하고 있을 것입니다. 또한, 사이버레질리언스를 통해, 사고 이후에 어떻게 빨리 회복하고 피해를 최소화 할 것인지에 대해서도 준비하는 기업들도 있습니다.

최근의 랜섬웨어 공격 패턴들을 보면, 해커들이 주요하게 노리는 공격 포인트는 다음과 같습니다.

1. 피싱공격

사용자의 이메일 또는 SNS 계정을 통해, 데이터 암호화를 위한 악성코드를 다운받도록 유도하는 방식으로 가장 흔히 사용되는 방식입니다. MS Word에 악성코드를 심어 전파하기도 합니다.  

2. 원격 데스크탑 프로토콜 공격

원격근무로 인해 RDP (Remote Desktop Protocol)의 사용이 증가하고, 이를 악용한 랜섬웨어 공격이 헬스케어 분야에서 증가한 것으로 나타났습니다. 해커는 훔친 인증정보나 다크웹을 통해 인증정보를 구매하기도 하며, Brute force 방식으로 공격을 시도하고 있습니다.

3. VPN 취약점 공격

 VPN 또한 팬데믹 이후 원격근무로 인해 사용이 증가하였습니다. 해커는 알려진 취약점을 사용하여 패치되지 않은 VPN을 공격합니다. 지난달 일본에서는 히타치카세이 등 38개 기업의 VPN이 뚫렸습니다.

※ 참고: 3 Key Entry Points for Leading Ransomware Hacking Groups

PC에 랜섬웨어가 감염된 사실을 인지하였지만, 다행스럽게도 큰 피해는 발생하지 않았습니다. 별 증상도 발생하지 않았기 때문에 관계당국에 신고도 하지 않았습니다. 신고를 하면 더욱 귀찮아질 것은 분명합니다.

위의 상황은 실제 기업에서 종종 벌어지고 있는 사건과 사례이기도 합니다. 보안담당자는 침투경로를 모르는 상황에서 찜찜할 수 밖에 없습니다. 큰 피해를 입었다면, 당장에 임원진에 이러한 문제를 해결하기 위한 투자를 요청 할 수 있겠으나, 딱히 그럴 만한 상황이 아닐 수도 있습니다.

랜섬웨어가 침투했다면, 보안에 헛점(절차적, 기술적, 인적)이 내재하고 있는 것입니다. 더구나, 침투경로 조차 파악이 되지 않는다면 문제는 더욱 심각할 수 밖에 없습니다. 당장에 랜섬웨어 솔루션을 도입할 수도, 보안진단을 통해 보안 취약점을 막을 수도 없는 상황이라면 어떻게 해야 할까요?

큰 투자를 하지 않고도, 임직원들과 함께하는 보안조치를 통해 기대 이상의 효과를 볼 수 있습니다.

1. 직원들에게 사건의 경각심을 고취시키고, 이상한 이메일을 열람하지 않도록 교육을 합니다.

2. 보안정책에 랜섬웨어 관련 조항(신고절차, 담당자 역할, 조치절차, 패널티 등)을 포함하고, 직원들에게 공지 및 교육 합니다.

3. 가상의 메일(이벤트 당첨, 연봉협상 등)을 만들어, 외부 메일계정을 통해 직원들에게 발송하여 훈련을 실시 합니다.

4. 수상한 메일 수신시 신고체계를 수립·운영하고, 신고 우수자에게는 포상을 통해 동기부여를 합니다.

5. 유휴기간(야간, 장시간 서비스 중지 등) 중에 서비스에 영향이 없다면, 관련 시스템들을 정지 또는 휴면 모드로 설정합니다.

보안을 강화하기 위해 고가의 보안장비와 소프트웨어를 구입하는 것이 능수가 아닙니다. 보안 취약점은 주변상황에 따라 있을 수도, 없을 수도 있습니다. 따라서, 마스크 착용과 손만 잘 씻어도 바이러스에 감염되지 않는 것처럼, 주변 상황만 잘 정리해도 보안을 강화할 수 있습니다.

4. 시사적 현안의 무기화

공격자들은 COVID-19 팬데믹과 같은 이슈를 이용해 사용자들의 관심을 유발하여 암호화 멀웨어를 다운받도록 유도합니다. 지난 6월, 슬로바키아 보안회사인 ESET는 COVID-19 추적앱으로 위장한 CryCryptor를 발견했으며, 이 멀웨어는 안드로이드 폰의 파일을 암호화하는 기능이 포함되어 있다고 밝혔습니다.

COVID-19은 랜섬웨어 공격 흐름에 변화를 주었습니다. 팬데믹 이전에는 일반기업 대비 헬스케어 회사를 대상으로 한 랜섬웨어 공격이 크게 증가하는 추세였으나, COVID-19 팬데믹 이후 공격이 감소하였으며, 어떤 랜섬웨어는 병원을 공격하지 않도록 설계된 것들도 있었습니다. 공격자들은 규모가 큰 병원이나 헬스케어 센터를 공격대상으로 삼을 수 있으며, 희생자가 데이터 복구의 시급성을 필요로 할 경우에는 비용지불을 기대할 수 있을 것입니다.

5. 랜섬웨어 공격자들의 체포 수 증가

예전에는 개별적으로 암호화 멀웨어 공격을 시도하는 경우, 그럭저럭 정부당국의 감시를 회피할 수 있었습니다. 그러나 최근에는 사법당국이 랜섬웨어와 같은 보안위협 인텔리전스 공유 및 대응체계를 강화함에 따라 랜섬웨어 공격자들에 대한 체포 건수가 증가하였습니다.

6. 딥페이크 랜섬웨어

트랜드마이크로에 따르면, 랜섬웨어 뿐만 아니라 딥페이크와 관련된 컴퓨터 범죄가 지속적으로 증가할 것이라고 예측하고 있습니다. Malwarebytes 역시 랜섬웨어와 딥페이크가 조합된 “딥페이크 랜섬웨어“ 공격이 가능하다고 보고 있습니다. 

Malwarebytes는 저자이자 AI 전문가인 Paul Andrei Bricman와 함께 이러한 보안위협에 대한 가능성에 대해 논의하였으며, 그 중 한가지 가능성은 딥페이크 랜섬웨어 공격자가 웹사이트에 게시된 특정인물의 비디오로 가짜 비디오 생성하여, 돈을 지불하지 않으면 가짜 비디오를 공개하겠다고 협박할 수 있습니다.

다른 한가지 가능성은 공격자는 영상물과 랜섬웨어를 결합하여, 영상물에 접근하는 사용자의 컴퓨터를 감염시킬 수 있습니다. 이러한 공격은 2015년에 페이스북 사용자들을 유인하기 위해 제작된 “Hot Video“와 유사합니다.

Malwarebytes는 현재까지 실질적으로 이러한 공격이 발생한 사례를 없다고 밝혔지만, 이러한 공격이 발생할 경우 희생자의 명성에 치명적인 해를 가할 수 있을 것이라고 이야기 하고 있습니다. 

랜섬웨어 공격에 대한 대응전략

진행중인 공격을 탐지하는 것 만으로는 랜섬웨어 공격을 방어하기에 충분하지 않습니다. 다음은 추가적인 랜섬웨어 대응전략을 보여 줍니다.

1. 가시성 확보

IT환경에 대한 충분한 가시성을 확보하지 않으면 랜섬웨어 공격을 모니터링할 수 없습니다. 공격자들은 보안 취약점을 악용하여 끊임없이 시스템 접근권한 획득과 내부 네트워크로의 침투를 시도할 것입니다. 따라서, 자산관리시스템을 이용해 사용중인 모든 H/W 및 S/W를 파악하고, 인공지능이 결합된 네트워크 모니터링 솔루션을 통해 내부 네트워크에서 활동 중인 랜섬웨어와 같은 공격들을 감시합니다.

2. 보안인식 제고

많은 랜섬웨어 공격들은 사회공학기법을 이용한 피싱공격이나 IT 운영 실수를 악용하고 있습니다. 이러한 점을 감안하여, 임직원들에게 다른 사회공학 기술과 피싱공격에 대한 사례전파 및 모의훈련 등의 보안교육을 함으로써 이러한 보안위협을 상당히 감소시킬 수 있습니다.

3. 강력한 보안통제 구현

잘 훈련된 경우라도, 이메일이 정상적이라고 판단하여 피싱공격에 당할 수 있습니다. 따라서, 기업은 의심스러운 링크나 악성 도메인과 같은 보안위협을 자동으로 탐지하고 차단할 수 있는 스팸 방지 솔루션을 도입합니다. 또한, 절차적·관리적 접근통제를 수립하고 내재화하여 강력한 보안통제를 구현합니다.

4. 침해사고 대응계획 수립

랜섬웨어 공격자들은 기업의 방어막을 뚫기 위해 끊임없이 새로운 기술을 개발하고, 보안헛점의 기회를 엿보며 공격할 것입니다. 따라서,  보안사고에 대응할 수 있는 전문조직을 구성하고, 보안역량을 강화해야 합니다. 또한, 침해사고 대응계획을 수립하고 정기적인 운영 및 점검을 통해 보안사고 발생시 신속하게 대응할 수 있어야 합니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020

비밀번호 살짝 틀려도 'OK'… 보안상 문제는 없을까

아파트의 진화…건설업계에 부는 디지털 혁명

불안한 간편결제…60%가 '보안성 문제'

신용정보법 시행령 개정, 금융권 정보보호 상시평가제 도입 등 정보보호 체계 강화

유명인 트위터 해커, 잡고 보니 17세

'경찰에 전화하니 보이스피싱 연결'…휴대전화에 악성 앱 설치

개인정보 보호 상담·신고, 1년에 15만 9,255건 발생

[주말 이슈+] 北, 자체 랜섬웨어까지 제작...역대급 '사이버 해킹' 나선 이유

KSEB’s online payment site hacked

Numerous Malicious Photo Blur Apps Appeared On Play Store