[기업] 문서 및 웹 통한 랜섬웨어 선제 방어

랜섬웨어, 선제방어부터
백업·복구까지 빈틈없이 대응해야

올해 랜섬웨어 수익 9억달러 추정 … 공격 탐지·대응·복구까지 종합적인 대안 마련해야

올해 랜섬웨어 공격자의 수익이 역대 2번째로 높을 것으로 예상된다. 가장 높은 수익은 콜로니얼 파이프라인 등 대규모 랜섬웨어 공격이 잇달았던 2021년이며, 올해 역시 무브잇 취약점 공격 등 대형 사고가 발생하면서 공격자의 수익이 높아질 것으로 예상된다. 공격자 수익성이 매우 높은 랜섬웨어에 대응하기 위해서는 보안 전략으로 공격을 어렵게 만들면서 복구 전략으로 공격에 성공해도 소용없게 만들어야 한다.
랜섬웨어 공격 동향과 대응 방법을 알아본다. <김선애 기자·iyamm@datanet.co.kr>

파일 전송 소프트웨어 무브잇(MOVEit) 취약점을 이용한랜섬웨어 피해자가 2000만명을 돌파했으며, 이 취약점을 이용하는 클롭(Cl0p)은 피해자의 데이터를 다크웹이 아닌 일반 인터넷에 공개하면서 몸값 협상에 나섰다. 데이터 공개를 위해 개설된 사이트는 PWC, 에이온, EY, 커클랜드, TD 아메리트레이드 등이다.
무브잇 랜섬웨어 공격으로 글로벌 보안기업 노턴라이프록의 내부정보가 유출됐다는 사실이 알려지기도 했다. 셸, 지멘스 에너지, 영국항공, 오프콤, DHL, 피델리티 앤 개런티라이프 보험, 어메리칸 내셔널 보험, 에스티로더, 프로스카우어로즈 로펌 등 전 세계 383개 조직이 피해를 입은 것으로 알려지고 있으며, 앞으로 피해 기업은 더 많이 나올 것으로 보인다. 이 공격으로 클롭은 7500만달러에서 1억 달러에 달하는 수익을 올릴 것으로 예상된다.
클롭은 무브잇 취약점을 2년 전부터 알고 공격을 준비한 것으로 분석된다. 실제로 이 취약점이 있다는 것이 공개돼 패치가 배포된 것은 5월 31일이었는데, 한달 반만에 전 세계 수 백개의 조직이 공격을 당했으며, 일부 데이터는 일반 인터넷까지 공격하고 있은 것을 보면 클롭이 그만큼 철저하게 이 공격을 준비해왔다는 것을 알 수 있다.
클롭은 주로 취약점 기반 공격을 수행하는 그룹으로, 새로운 취약점이 발견되고 사용자가 많으면 빠르게 공격 방식을 바꾸어 진입하는 경향을 보인다. 이들은 러시아를 기반으로 한 것으로 알려지며, 데이터를 암호화하지 않고 탈취하는 것을 선호한다. “돈을 지급하면 피해조직의 데이터는 안전할 것”이라고 주장하면서 몸값을 받아낸다.

상용 보안 소프트웨어의 서명된 구성요소를 사용하는 로르샤흐(Rorschach) 랜섬웨어도 주의가 필요하다. 로르샤흐는 암호화 속도가 가장 빠른 락비트3.0 보다 2배 빠른 암호화 속도를 자랑한다. 윈도우 도메인 컨트롤러(DC)에서 실행될 때 자동으로 그룹 정책을 생성하여 네트워크를 통해 빠르게 전파되며 “syscall”명령을 사용해 직접 시스템 호출을 수행한다

출처: NETWORK TIMESAUGUST 2023

※ 아래 PDF 파일을 다운로드하여 자세한 내용을 확인해 보세요.