세계 각국 협력해 랜섬웨어 공격 중단시켜…APT 방어 전략으로 랜섬웨어 대응해야
[데이터넷] 사이버 범죄 시장은 지속적으로 커지고 있다. 딜로이트는 전 세계 사이버 범죄 복구 비용이 2021년 말 6조달러에서 2025년 10조5000억달러로 증가할 것이라고 내다봤다. 2023년에는 이 규모가 훨씬 더 커질 것으로 보인다. 장기화되는 러시아-우크라이나 전쟁, 불안정한 국내외 정치상황, 심각한 인플레이션 등이 경제위기를 고조시킬 것으로 보인다. 경기가 위축되면 기업의 투자가 줄어들며, 당연히 보안 투자도 줄어든다. 공격은 진화하는데 보안은 제자리에 있으면 사이버 위협은 높아질 수 밖에 없다. 2023년 한층 더 심화될 것으로 보이는 대표적인 위협 사례를 소개한다. <편집자>
기밀정보 탈취 위한 랜섬웨어 증가
랜섬웨어는 2023년에도 가장 심각한 위협이 될 것이다. 국가정보원 산업기밀보호센터는 랜섬웨어가 데이터 유출 후 암호화하고 몸값을 요구하는 형태에서 산업기밀을 탈취하는 공격으로 진화할 것으로 내다봤다.
데이터 유출과 랜섬웨어를 병행하는 공격은 2019년 처음 등장했는데, 프루프포인트에 따르면 2021년 1분기 전체 사이버 공격의 77%가 데이터 유출과 랜섬웨어를 병행하는 수법을 사용한 것으로 나타났다. 공격자는 여기에 그치지 않고, 공격에 이용한 취약점 분석 보고서를 강매하고, 탈취한 데이터를 판매하거나 피해 조직을 효과적으로 협박하기 위한 블로그도 운영한다. 맨디언트는 ‘온라인 조리돌림(Public Shaming)’을 위해 개설된 유출 사이트도 운영되고 있다고 공개했다.
랜섬웨어 공격자들은 수익성이 좋은 산업을 주로 공격한다. 그래서 제조사를 대상으로 한 공격이 가장 빈번하게 발생하며, 공공 기관도 매우 잦은 공격을 받고 있다. 서비스 중단시 큰 피해를 입힐 수 있는 의료기관도 주요 타깃이다. 주목할만한 점은 2022년 통신사와 운송·해운 분야가 주요 타깃이었다는 사실이다. 트렐릭스 조사에 따르면 통신 분야가 전체 랜섬웨어 공격의 47%, 운송·해운 분야가 31%였다.
범죄자금 추적해 랜섬웨어 활동 중단시켜
랜섬웨어는 국가기반 공격자의 사이버전, 불법 정치 자금을 만들기 위한 목적도 있다. 그래서 세계 여러 나라에서 공격자 추적에 힘을 모으고 있다. 세계 각국 정부와 보안기업들이 협력해 공격자를 검거하고, 공격에 사용된 인프라를 압수하며, 범죄자금을 회수하는 성과를 거두고 있다.
암호화폐 거래소를 제재해 범죄자금을 현금화하지 못하게 하면서 압박하고, 암호화폐 흐름을 추적해 자 금세탁을 파악하고 범죄수익금을 찾아낸다. 또 공격자들의 포럼에 잠입해 내분을 일으켜 조직을 와해시키기도 한다. 일부 조직은 내부 갈등으로 공격도구와 암호화 키를 공개하고 자폭하는 경우도 있다.
이러한 성과는 랜섬웨어 추이를 바꾸는 결과로 이어지기도 하는데, 모든 결과가 긍정적인 것은 아니다. 이글루코퍼레이션은 압박을 받은 범죄자들이 대규모 공격을 감행한 후 은퇴할 가능성이 있다고 경고했다. 또 범죄자들은 여러 이유로 조직이 와해되면 범죄를 그만두는 것이 아니라 다른 포럼으로 이동해 활동을 이어가며, 일부 범죄자들은 자신의 ‘성과’를 과장하면서 몸값을 올리기도 한다.
APT 대응 전략으로 랜섬웨어 막아야
랜섬웨어 공격은 하나의 솔루션으로 막을 수 없다. APT 공격 기법을 활용하는 랜섬웨어는 알려지거나 알려지지 않은 공격도구와 각종 취약점, 사회공학 기법을 이용하는 악성메일, SNS, 탈취한 계정을 이용해 침입하며, 중요 시스템과 데이터에 접근하기 위해 권한을 상승시키고 데이터를 수집해 유출하며, 백업 데이터를 파괴한다. 데이터 유출 사이트를 만들어 피해 기업을 협박한다. 그리고 공격을 개시하면서 데이터와 시스템을 암호화하고 몸값을 요구한다.
이러한 랜섬웨어 공격을 막기 위해서는 보호해야 할 자산을 식별하고, 취약점을 제거하며, 의심스러운 이메일, 웹, SNS 접근을 자제하고, ID를 보호하며, 공급망 파트너 보안을 강화해야 한다. 임직원과 파트너 보안교육을 실시하고 피해를 당했을 때 복구 시스템을 즉시 가동해 비즈니스 중단을 막아야 한다. 정기적인 모의훈련으로 실제로 빠른 비즈니스 복원이 가능하도록 해야 한다.
