[SecuritIST] KISA_2021 사이버 위협 전망_1. 랜섬웨어의 확산

안녕하세요, 에디터 푸린입니다.

지난번에 간단하게 소개드렸던 "KISA(한국인터넷진흥원)의 2021 사이버 위협 전망"의 각 항목들에 대한 오버뷰를 정리하기 위해 다시 돌아왔습니다.  그 중에서 한국, 호주, 인도, 스리랑카의 침해사고 대응팀과 함께 뽑은 첫번째 글로벌 전망은 바로 "표적형 공격 랜섬웨어의 확산과 피해규모 증가" 입니다. 특히나 모든 국가에서 공통으로 소개한 위협전망인 만큼 첫번째로, 그리고 중요한 순위로 다뤄지고 있습니다.

아래는 실제 KISA에서 발표한 “2021, 우리를 위협하는 시그널에 주목하라!”의 내용 중 일부입니다. 

---

▶ 정부 및 기업 등 특정 대상을 표적한 공격
▶ 서비스 및 제조, 의료 등 다양한 산업 분야로 랜섬웨어 공격 확대
▶ 내부 정보 유출부터 파일 암호화까지, 협박수단 강화

□ 사이버 위협 전망
2020년의 랜섬웨어는 코로나-19 대유행에 따른 위장형 공격과 원격근무 시스템을 노린 이메일, 원격접속(RDP)등에 대한 공격이 유행하였다. 공격자는 더 많은 금전적 이득을 위하여 랜섬웨어의 변화를 시도하고 있으며 공격 양상이 바뀌고 있다. 따라서 2021년에는 랜섬웨어 표적형 공격대상의 범위가 확대되고 감염 될 경우 발생하는 피해 역시 증가할 것이다. 랜섬웨어의 주요 변화는 표적형 공격의 대상이 다양한 산업군으로 확대되는 것이다. 최근 발생한 랜섬웨어 사고는 영국 여행서비스기업 트레블엑스, 미국 GPS기기 제조 기업 가민, 일본 자동차기업 혼다, 독일의 뒤셀도르프 대학병원 등에서 발견되었으며 서비스 및 제조, 의료 등 다양한 산업 분야로 공격이 확대되고 있다. 특히 산업제어 시스템을 표적으로 하는 신종 스네이크(Snake) 랜섬웨어가 발견되는 등 랜섬웨어 공격 대상은 모든 산업 전반으로 확대 될 것이다. 또한, 금전적 이득을 위하여 협박수단을 강화할 것으로 보인다. 메이즈(MAZE) 랜섬웨어는 파일을 암호화하기 전에 밖으로 빼돌려 협박의 수위를 높이는 전략을 처음으로 구사한 랜섬웨어다. 감염자가 돈을 내지 않으면 빼돌린 민감한 정보를 대중에 공개한다. 최근 소디노키비(Sodinokibi)랜섬웨어의 경우 결재용 포스기기(PoS)를 검색하고 카드정보를 수집하는 형태의 변종이 보고된바 있다. 이처럼 최근 공격자들은 협박 수단을 강화하기 위하여 피해자의 민감한 정보를 유출하고 2차 범죄수익을 발생시키기 위한 다양한 시도를 수행하고 있어, 랜섬웨어의 피해규모 역시 확대될 것이다.

---

특히나 일반적으로 사람들이 인식하는 전자기기인 노트북이나 스마트폰 등의 개인용 업무 기기들만 그 대상이 되는 것이 아니라, KISA에서 발표한대로 매장 내 POS기, 공장 내 기계 제어용 혹은 공용 컴퓨터, "스마트한" 기타 인테리어 기기 등 외부망 즉, 공용인터넷에 연결이 가능한 기기라면 모두 잠재적 공격 대상이라고 봐도 무방합니다. 이런 기기들 중 특히 회사의 민감한 정보를 다루거나 기밀 정보를 포함하고 있는 기기가 있다면 그 피해와 후속감염은 규모가 더 커지죠. 근로자의 개인 PC가 혹여나 랜섬웨어에 감염되었다면 임시방편으로 포맷을 할 수 있으나 내부망을 통해 전파되었으며 감염규모가 정확하게 파악되지 않은 상태라면 더더욱이요.

왜 다시?

IBM의 글로벌 보안 연구소인 X-Force에서 배포한 Threat Intelligence Report를 참고하자면, 2020년에 신고된 랜섬웨어의 수만해도 이전년도의 41%가 증가한 폭을 보였다고 합니다. 물론 랜섬웨어 자체는 이전에도 그 심각성과 피해 등으로 인해 문제가 되었지만, 최근 들어 그 피해가 급격하게 확산되었다는 뜻이죠. 누구나 아는 국내 대기업부터 해외 기업, 글로벌 다국적 기업 등 랜섬웨어의 피해는 산업과 분야를 가리지 않고 확산되고 있습니다.

그럼 왜 갑자기 다시 확산세가 보이는가? 프롤로그 아티클에서 말씀드렸듯이, COVID-19으로 인한 재택근무의 확산과 자연재해로 인해 진행된 급격한 DT는 회사 환경 내 hole에 대한 정보가 부족하였고 이는 손쉽게 공격자들의 먹잇감이 된 셈이죠. 즉, 근로자들이 기존에 오피스나 지정된 공간에서 제한된 인터넷 연결을 통해 진행되던 업무에서 좀 더 다양한 장소에서 업무를 보게되었는데 회사 차원에서 이에 대한 대비가 아직 완전하게 진행된 것이 아니기 때문에 생긴 gap이 큰 원인 중 하나라고 볼 수 있는 것이죠.

국내외 코로나 정세로 인해 기업들이 급격한 DT를 겪게 되면서 업무 공간의 제약 등이 줄어들어 업무용 컴퓨터로 다양한 외부 네트워크에 접속가능해졌다는 점입니다. 참고로 위험=위협X취약점 이라는 공식이 존재하는 데, 이는 다양한 지표를 통해 위협, 그리고 취약점을 그 심각도와 피해예상범위 등으로 수치화해 위험을 정량적으로 계산합니다. 이에 따르면 위협이 동일하다고 하더라도 취약점이 늘어나면 당연히 위험이 커지게 된다는 뜻이죠. 이 상황에서 외부 위협이 이전과 동일한 상황이었다고 하더라도 인트라넷이 아닌 외부 인터넷에 연결되면서 좀 더 기존 환경에 비해 취약해지게 된 개인 디바이스들이 당연히 이전보다 더 큰 위험을 갖게 되는 것입니다.

특히나 업무 복잡도 등을 고려해 Virtual desktop이 아니라 그냥 vpn으로 연결을 하게될 경우 자료유출 및 직접 접속의 위험이 더욱 커질 수 있다는 점은 편리함과 보안 사이의 딜레마이제 풀리지 않는 숙제이죠.

 

진화하는 랜섬웨어

당연히 기술이 시간이 지남에 따라 더 고도화되기에 랜섬웨어 역시 공격방식이나 그 형태가 진화하고 있습니다. 그 중 하나가 바로 RaaS (Ransomware-as-a-Service)입니다.

(여담이지만, Covid-19으로 인해 사람들이 외출을 많이 하지 못하게 됨으로서 남는 시간을 할애할 일을 찾게 되는데, 불행하게도 이것이 부정적인 부분으로 발휘된 것이 바로 해킹툴, 랜섬웨어, 공격 툴 등의 발현이 되었다는 농담도 있긴 합니다). 어쨌든 이 RaaS는 단순히 "랜섬웨어를 서비스로 제공한다고?"의 문제가 아닌, 기존에 "개발된/커스터마이즈된" 형태로 제한적인 사용이 가능했던 랜섬웨어가 좀 더 대중화(?)되었다는 뜻이기도 합니다. 그렇기에 테스트용이든 직접 공격의 목적이든 공격목적을 떠나 공격시도 자체가 증가하게 된 것은 불가피한 결과라고 볼 수 있죠.

특히나 최근 랜섬웨어 공격의 트렌드는 자료들을 바로 암호화를 시켜서 이에 대한 대가를 요구하는 것이 아닙니다.. 그렇기에는 이미 기업들이 서비스 및 데이터에 대한 백업을 주기적으로 해두기 때문에 랜섬웨어 등의 이슈가 생길 시 특정 시점의 백업파일을 되살리면 피해를 최소화할 수 있습니다. 그렇기 때문에 공격자들의 수법은 더 치밀해집니다. 좀 더 오랜 기간을 거쳐 침입하고 계정을 탈취하는 등 사전작업을 다 해놓고 몇주, 몇개월 후 어느정도 정복(compromise)이 되었다고 판단하는 시점에 랜섬웨어를 활성화시키는 것이죠. 이 과정에서 기밀정보 등도 이미 탈취된 상태이고 정확한 감염 시점 파악이 어렵기 때문에 단순히 포맷을 하고 백업파일을 불러오는 것도 어려워집니다. 백업 파일 역시 감염되었을 수 있으니까요.

그러면 어떻게 대비하고 대응할 것인가

사실 공격자들이 작정하고 시도를 한다면 개인의 역할로서는 대비할 수 있는 방법이 매우 제한적입니다. 그렇지만 할 수 있다면, 무엇보다 중요한건 "지정된 것 이외에는 하지 말기"라고 볼 수 있죠. 기업들도 자체적으로 보안을 위해 노력을 하고 있는 만큼, 최소한 보호되고 있는 수준에서 틈을 주지 않는 것이 중요합니다. 

그 이외에 나머지는 회사에서 얼마나 공격에 대한 대비를 하고 가시성을 갖고 실제 사고가 발생할 경우 이에 대한 action을 취하는가에 따라 달라지는 것이죠. 외부에 대한 다운로드 제한 등이 이 노력의 일환이라고 볼 수 있습니다. 실제로 사설망이 아닌, 공개된 인터넷 상의 파일들은 검증되지 않은 파일도 많기에 언제 어떤 감염 사고가 발생할지 모르고, 그렇기에 기업들이 whitelist 기반의 프로그램과 웹사이트 사용을 제한하고 있다고 볼 수 있습니다.

 

---

이번 아티클에서는 KISA의 사이버 위협전망 중 첫번째로 꼽히는 랜섬웨어에 대해서 간략하게 다뤄봤습니다. 일단 내용 자체가 위협 전망이기 때문에 기승전결 식으로 다뤄보았는데, 아무래도 랜섬웨어가 워낙 계속 핫한 이슈기 때문에 추후에 시간이 된다면 랜섬웨의 원리 및 차단 등 좀 더 기술적인 내용도 소개드릴 수 있다면 좋겠네요^^

다음 아티클은 두번째 사이버 위협 전망인 <고도화된 표적형 악성 이메일>에 대한 아티클로 돌아오겠습니다. 
이상 에디터 푸린이었습니다. 

 

자료 참조:

대표 이미지, KISA - 랜섬웨어 소개
KISA, 2021 사이버 위협 전망
IBM X-Force, Threat Intelligence Report 2020