Cappuccino sapiens

지난 9월, 독일 대학병원에서 수술 예정이었던 한 환자가 랜섬웨어 공격으로 병원시스템이 마비 되면서, 수술을 제때 받지 못해 사망하는 사건이 발생하였으며, 이는 랜섬웨어 공격으로 환자가 사망한 첫번째 사례로 기록되었습니다.

COVID-19으로 인한 팬데믹 이후 사이버 보안위협은 크게 증가(71%) 하였으며, 특히 금전적인 이익을 챙길 수 있는 랜섬웨어 공격은 상반기 대비 50% 증가하였습니다.  또한, 최근 랜섬웨어 공격은 보안이 상대적으로 약한 의료기관을 주요 표적으로 삼고있습니다 (2분기 2.3%에서 3분기 4%로 1.7%p 증가).

 ※ Source: 체크포인트 & 디멘셔널 리서치, ”코로나 바이러스가 기업 보안에 미치는 영향“, 6월 3일

의료기관은 의료정보 및 진단결과, 질병관리, 영상정보 처리 등을 위한 EMR, OCS, PACS 시스템 활용도 증가와 기존 폐쇄망의 개방에 따라, IT  보안위협은 물론, 의료기기의 랜섬웨어 공격에 노출되어 있습니다.

랜섬웨어 공격에 대한 모니터링, 분석, 탐지, 차단 등 예방시스템과 전 시스템의 이중화와 백업 등을 통한 대응 시스템 구축에는 막대한 자원(예산, 인력 등)이 필요하며, 이는 과도한 투자일 것입니다. 적정한 보안솔루션을 도입하는 것 외에, 랜섬웨어 공격을 효과적으로 예방 및 대응하기 위한 방안으로는 어떤 것들이 있을까요?

#랜섬웨어 공격 모의 훈련 (Table-top exercise)을 통한 인식제고

의료기관은 랜섬웨어 공격의 원인이되는 이메일 피싱 훈련을 통해, 임직원의 보안인식을 높이고, 랜섬웨어 공격 발생시 시스템 및 데이터 백업복구 등을 통해 서비스 다운타임(Downtime)을 최소화하는 훈련을 실시합니다.

시스템 #보안패치를 통한 사이버 공격에 대한 면역력 강화

해커들은 상대적으로 시간과 노력이 덜 들면서, 성공 가능성이 높은 알려진 보안취약점(CVE)을 사용하는 경향이 있습니다. 따라서, 운영중인 시스템에 대한 보안패치를 함으로써, 알려진 취약점을 차단하고 공격에 대응할 수 있습니다.

얼마전, 미국 재무부는 북한 해킹그룹 등 제재 대상에게 랜섬웨어 몸값을 지불하는 것은 국가안보 이익을 위협하는 행위라고 경고한바 있습니다. 보안 전문가들 사이에서는 랜섬웨어 몸값이 지불되는 현상이 위협을 더욱 키고 있다고 보고, 정부가 적극적으로 나서 랜섬웨어 몸값을 지불하지 못하도록 하는 규제가 필요하다는 입장도 있습니다.

지난 십 여년의 과거를 돌아 보면, 개인정보의 오·남용을 통한 금전적 이득을 차단함으로써,  개인정보 침해사고를 줄여왔던 사례를 떠올리게 됩니다.

COVID-19으로 인한 팬데믹은 우리의 일상을 변화시키고, 이는 사이버 공격 또한 촉진시켰습니다. 특히, 부동산, 은행, 기업 디지털 데이터 등 돈이 될 만한 곳을 타겟으로 하는 랜섬웨어 공격은 급속하게 증가하고 있습니다.

최근 연구조사에 따르면, 미국내 랜섬웨어 공격은 전년 상반기 대비 109%나 증가했으며,  1분기 통계만 비교했을 때 대규모 데이터 침해사고는 273%나 증가한 것으로 나타났습니다. IBM의 ‘2020 Cost of a Data Breach report’에 따르면, 랜섬웨어는 다른 사이버공격보다 증가 폭과 피해금액이 크며, 랜섬웨어 공격당 평균 피해 금액은 4.44백만달러를 지불한 것으로 나타났습니다.

랜섬웨어 공격은 이메일, SNS 등을 이용한 피싱이나 악성코드에 감염된 사이트 방문시에 시스템 감염으로 인해 이루어 지는 만큼, 외부 채널에 대한 안전성을 재확인 할 필요가 있습니다. 랜섬웨어 공격에 대비하기 위해 기본적으로 제로 트러스트 (Zero Trust)와 데이터 암호화개념을 도입할 필요가 있습니다.

제로 트러스트는 기본적으로 그 어떠한 접근에 대해서도 신뢰하지 않는 다는 개념에서 출발하며, 데이터에 접속을 원하는 어떤 것이든 적절한 인증절차를 통해 신원을 확인하는 것을 말합니다. 시스템의 복잡성 증가, (멀티)클라우드 사용 증가, 재택근무 환경 등으로 인해 운영환경과 접근하려는 개체가 불명확해지는 상황에서 랜섬웨어와 같은 보안위협을 줄일 수 있는 가장 합리적인 방안으로 대두되고 있습니다. 

암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 인한 유출 사고의 발생빈도가 높습니다. 랜섬웨어 공격자가 데이터를 유출하여 협박하더라도, 기업의 중요 데이터와 민감한 고객정보 등이 암호화되어 있다면 안심하셔도 됩니다.

추가적으로 데이터 백업을 통해 랜섬웨어 공격으로 인한 손실된 데이터를 빠르게 복구할 수 있습니다. 다만, 최근 랜섬웨어 공격은 백업된 데이터 까지 찾아 암호화시키는 사례가 발생하고 있어, 데이터 백업시스템과의 온·오프라인 접근통제 방안 등 추가 대책도 고려할 필요가 있습니다.

※ 관련기사: Ransomware Attacks: How to Protect your Data With Encryption

4. 시사적 현안의 무기화

공격자들은 COVID-19 팬데믹과 같은 이슈를 이용해 사용자들의 관심을 유발하여 암호화 멀웨어를 다운받도록 유도합니다. 지난 6월, 슬로바키아 보안회사인 ESET는 COVID-19 추적앱으로 위장한 CryCryptor를 발견했으며, 이 멀웨어는 안드로이드 폰의 파일을 암호화하는 기능이 포함되어 있다고 밝혔습니다.

COVID-19은 랜섬웨어 공격 흐름에 변화를 주었습니다. 팬데믹 이전에는 일반기업 대비 헬스케어 회사를 대상으로 한 랜섬웨어 공격이 크게 증가하는 추세였으나, COVID-19 팬데믹 이후 공격이 감소하였으며, 어떤 랜섬웨어는 병원을 공격하지 않도록 설계된 것들도 있었습니다. 공격자들은 규모가 큰 병원이나 헬스케어 센터를 공격대상으로 삼을 수 있으며, 희생자가 데이터 복구의 시급성을 필요로 할 경우에는 비용지불을 기대할 수 있을 것입니다.

5. 랜섬웨어 공격자들의 체포 수 증가

예전에는 개별적으로 암호화 멀웨어 공격을 시도하는 경우, 그럭저럭 정부당국의 감시를 회피할 수 있었습니다. 그러나 최근에는 사법당국이 랜섬웨어와 같은 보안위협 인텔리전스 공유 및 대응체계를 강화함에 따라 랜섬웨어 공격자들에 대한 체포 건수가 증가하였습니다.

6. 딥페이크 랜섬웨어

트랜드마이크로에 따르면, 랜섬웨어 뿐만 아니라 딥페이크와 관련된 컴퓨터 범죄가 지속적으로 증가할 것이라고 예측하고 있습니다. Malwarebytes 역시 랜섬웨어와 딥페이크가 조합된 “딥페이크 랜섬웨어“ 공격이 가능하다고 보고 있습니다. 

Malwarebytes는 저자이자 AI 전문가인 Paul Andrei Bricman와 함께 이러한 보안위협에 대한 가능성에 대해 논의하였으며, 그 중 한가지 가능성은 딥페이크 랜섬웨어 공격자가 웹사이트에 게시된 특정인물의 비디오로 가짜 비디오 생성하여, 돈을 지불하지 않으면 가짜 비디오를 공개하겠다고 협박할 수 있습니다.

다른 한가지 가능성은 공격자는 영상물과 랜섬웨어를 결합하여, 영상물에 접근하는 사용자의 컴퓨터를 감염시킬 수 있습니다. 이러한 공격은 2015년에 페이스북 사용자들을 유인하기 위해 제작된 “Hot Video“와 유사합니다.

Malwarebytes는 현재까지 실질적으로 이러한 공격이 발생한 사례를 없다고 밝혔지만, 이러한 공격이 발생할 경우 희생자의 명성에 치명적인 해를 가할 수 있을 것이라고 이야기 하고 있습니다. 

랜섬웨어 공격에 대한 대응전략

진행중인 공격을 탐지하는 것 만으로는 랜섬웨어 공격을 방어하기에 충분하지 않습니다. 다음은 추가적인 랜섬웨어 대응전략을 보여 줍니다.

1. 가시성 확보

IT환경에 대한 충분한 가시성을 확보하지 않으면 랜섬웨어 공격을 모니터링할 수 없습니다. 공격자들은 보안 취약점을 악용하여 끊임없이 시스템 접근권한 획득과 내부 네트워크로의 침투를 시도할 것입니다. 따라서, 자산관리시스템을 이용해 사용중인 모든 H/W 및 S/W를 파악하고, 인공지능이 결합된 네트워크 모니터링 솔루션을 통해 내부 네트워크에서 활동 중인 랜섬웨어와 같은 공격들을 감시합니다.

2. 보안인식 제고

많은 랜섬웨어 공격들은 사회공학기법을 이용한 피싱공격이나 IT 운영 실수를 악용하고 있습니다. 이러한 점을 감안하여, 임직원들에게 다른 사회공학 기술과 피싱공격에 대한 사례전파 및 모의훈련 등의 보안교육을 함으로써 이러한 보안위협을 상당히 감소시킬 수 있습니다.

3. 강력한 보안통제 구현

잘 훈련된 경우라도, 이메일이 정상적이라고 판단하여 피싱공격에 당할 수 있습니다. 따라서, 기업은 의심스러운 링크나 악성 도메인과 같은 보안위협을 자동으로 탐지하고 차단할 수 있는 스팸 방지 솔루션을 도입합니다. 또한, 절차적·관리적 접근통제를 수립하고 내재화하여 강력한 보안통제를 구현합니다.

4. 침해사고 대응계획 수립

랜섬웨어 공격자들은 기업의 방어막을 뚫기 위해 끊임없이 새로운 기술을 개발하고, 보안헛점의 기회를 엿보며 공격할 것입니다. 따라서,  보안사고에 대응할 수 있는 전문조직을 구성하고, 보안역량을 강화해야 합니다. 또한, 침해사고 대응계획을 수립하고 정기적인 운영 및 점검을 통해 보안사고 발생시 신속하게 대응할 수 있어야 합니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020

랜섬웨어 공격은 불법적으로 기업의 네트워크에 침입하여 데이터를 암호화하고, 이를 볼모로 금전적인 이득을 취할 목적으로 수행하고 있으며, 이로 인한 기업의 데이터 손실 및 유실 뿐만 아니라 금전적으로도 상당히 심각한 피해를 주고 있습니다.

미국의 디지털 보안 및 데이터복구 회사인 Datto는 랜섬웨어로 인해 발생한 서비스 정지 등에 따른 기업의 피해는 년간 7천5백억달러(약 8조9천억원)에 달한다고 합니다. 그 외의 자료에 따르면, 랜섬웨어로 인해 기업은 시간당 평균 8천 5백달러의 손실(Govtech 조사결과)과, 크립토 멀웨어 사고당 65.645백달러의 비용손실이 발생한다(Coveware조사결과)고 이야기 하고 있습니다. 최근 스마트 기기 제조사인 가민은 랜섬웨어 공격을 당했으며, 8월 5일, 데이터 복구조건으로 해커에게 1천만 달러를 지불했다고 밝혔습니다.

랜섬웨어 공격은 새로운 상품개발을 저해하고 금전적인 피해로 인해 기업운영에 막대한 차질을 가져오고 있습니다. 따라서, 기업은 이러한 랜섬웨어 공격을 잘 이해하고 대응할 필요가 있습니다. 우선적으로 최근에 발생한 랜섬웨어 공격을 통해 변화된 공격패턴을 이해하는 것이 중요합니다. 여기서는 2020년에 발생한 랜섬웨어 공격을 통해 6가지 주요 공격특성에 대해 살펴보고, 대응방안에 대해 알아 보고자 합니다.

1. 데이터 탈취 및 공개 협박

최근 몇 년까지만 해도 데이터 백업은 랜섬웨어 공격자의 데이터 랜섬을 묵살하고, 추가 비용없이 데이터를 복구함으로써 빠르게 서비스를 정상화하는 랜섬웨어 공격 대응기법 중 하나였습니다. 하지만, 최근에 와서는 데이터백업만으로는 랜섬웨어에 대한 공격에 대응할 수 없는 사건들이 발생하고 있습니다.

2019년 11월, 컴퓨터 장애를 해결해주는 Bleeping Computer의 웹사이트에 2십만명 이상의 직원을 보유한 보안인력회사의 네트워크에 Maze 랜섬웨어 공격이 발생했다는 글이 올라왔습니다. 공격자는 해당회사의 데이터를 암호화하기전에 외부 서버에 복사하고, 돈을 지불하지 않으면 데이터를 온라인에 공개하겠다고 협박하였습니다. 이러한 공격수법은 기존의 데이터 백업을 통한 복구를 무색하게 하였습니다.

이후 다른 랜섬웨어 역시 데이터 백업을 우회하고 랜섬을 거부하는 희생자를 협박하는 방식으로 진화를 해오고 있습니다. 이들 멀웨어 갱단들은 Maze의 데이터 유출과 데이터 공개 협박이라는 방식을 따랐으며, 올해 3월과 4월에 미국의 제조사와 헬스케어 회사를 공격할 때 이와 같은 수법을 사용했습니다.

2. 서로 다른 랜섬웨어와의 협업 증가

Maze는 암호화 멀웨어를 통해 이익을 극대화했다고 할 수 있을 정도는 아니었습니다. 랜섬웨어 군들은  몇몇의 변종들이 컴플라이언스를 준수하지 않는 기업의 데이터를 유출하고 위협하는 방식으로 진화했습니다. 2020년 6월 초 Bleeping Computer에 따르면, 보안회사인 KeLa는 한 건축회사의 데이터가 ”Maze News” 데이터 유출 웹사이트에 추가된 것을 발견하였으며, 훔친 데이터는 Maze의 공격에 의한 것이 아닌, LockBit RaaS (Ransomware-as-a-service) 플랫폼에 의해 감염된 데이터라고 전했습니다. 공격자들은 데이터 유출 플랫폼을 공유하고 덜 완성된 랜섬웨어 실행자들의 경험을 얻기 위해 LockBit와의 협업을 결정했다고 밝혔습니다.

3. 다른 유형의 멀웨어와 공조

랜섬웨어와 다른 형태의 멀웨어간의 공조는 탐지를 더욱 어렵게 하고 공격의 성공률을 높이게 됩니다. 이러한 공격형태는 2020년 상반기에 나타났습니다. 지난 3월, Bleeping Computer는 윈도우 시스템 성능향상 유틸리티를 다운받을 수 있는 포털을 통해 멀웨어가 유포되고 있음을 발견하였습니다. 일단 프로그램을 다운받으면 ”file2.exe” 파일과 함께 데이터를 암호화하는 ”coronavirus ransomware” 파일이 자동으로 다운로드 됩니다. 이 멀웨어는 ”file1.exe”파일과 함께 패스워드 유출 멀웨어를 배포하는 Kpot이라는 멀웨어에 랜섬웨어 멀웨어를 추가한 것으로, 감염된 컴퓨터로 부터 데이터를 훔친 후, 공격자가 미리 장악한 서버에 데이터를 전송합니다.      

2020년 5월, 보안솔루션 회사인 Group-IB는 PwndLocker랜섬웨어군의 후속 버전인 ProLock를 발견하였습니다. 이 공격은 두 종류의 초기 접근 벡터 중 한나를 선택하고, 공격 대상의 RDP(Remote Desktop Protocol) 서버에 접근하기 위해 약한 인증정보를 공격하였습니다. 어떤 경우에는 Qakbot를 문서에 심어 보내기도 했으며, 이후 프로세스 인젝션 기술을 실행하거나 .BMP 또는 .JPG파일에 숨겨진 ProLock 페이로드를 불러오기 위해 explorer.exe를 사용하는 등 다양한 전술을 시도했습니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020