랜섬웨어뉴스

네트워크 인프라 공격, 상품로더, 암호화 대신 데이터 탈취 수법 추세
ALPHV, Clop 그룹도 활개, Qakbot, Ursnif, Emotet 등 악성코드 난무
기본자격증명 악용, 스파이 행위나 의료․공중보건 집중 공격도

 

(사진=어도비 스톡)  

[애플경제 전윤미 기자] 최근의 랜섬웨어 공격은 LockBit, ALPHV, Clop 등의 그룹이 주도하는 가운데, 전보다 더욱 제로데이를 악용하는 한편, 암호화보다는 노골적인 데이터 탈취와 협박을 일삼는 경우가 많은 것으로 나타났다.

8일 시스코(Cisco Talos)가 공개한 요즘 랜섬웨어 실태 조사 결과에 따르면 또 의료 및 공중 보건 부문이 랜섬웨어의 가장 만만한 표적이 되었다. 또 상품으로 위장하는 ‘상품 로더’ 수법이나 네트워크 인프라 공격수법은 더욱 은밀하고 정밀해졌다. 특히 네트워크 공격의 경우는 일부 국가가 은밀히 지원하는 사이버 범죄자들로 인해 더욱 그 빈도와 수법이 극심해지는 것으로 밝혀졌다.

사이버공격자들, 끊임없는 위장과 명칭 변경

시스코가 밝힌 이같은 현상은 국내 역시 마찬가지여서 주목할 만하다. 이에 따르면 의료와 공중 보건 부문은 상대적으로 사이버 보안에 대응하는 예산이 미흡하고, 개인의 중요한 건강 정보를 보유하고 있기 때문에 범죄자들의 더욱 탐나는 먹잇감이 되고 있다.

지난 2년 간 가장 극성을 부린 랜섬웨어 그룹은 LockBit로서 데이터 유출 사이트 전체 게시물 수의 25.3%를 차지할 정도였다. 이어서 ALPHV(10.7%), Clop(8.2%)이 그 뒤를 이었습니다.

일부 랜섬웨어 그룹은 단속을 피하기 위해 사법기관이나, 자신들을 추적하는 연구자들을 속이기 위해 자기들끼리 합치거나, 명칭을 수시로 바꾸곤 했다. 이들은 또 여러 개의 서비스형 랜섬웨어(RaaS)를 운영하기도 한다.

이번 조사에서 가장 눈길을 끄는 것 중 하나는 ‘제로데이’의 취약점을 전례없이 활발하게 악용하고 있는 점이다.

특히 Clop 랜섬웨어 그룹은 지난 9~10월에 그랬듯이, ‘GoAnywhere MFT 플랫폼’이나, ‘MOVEit’, ‘PaperCut’ 등의 취약점을 포함, 다양한 제로데이 취약점을 악용하고 있다. 특히 “제로데이 취약점을 악용하려는 Clop의 반복적인 노력은 눈물겨울 정도“라며 ”그러한 공격 수법을 자체적으로 개발하는지 여부는 여전히 확실하지 않다“는게 시스코의 설명이다.

이들 랜섬웨어 범죄자들은 또 암호화 모델이 아닌 데이터 도난 강탈 모델로 전환하고 있는게 최근의 추세다. 즉, 어렵사리 암호화를 할 것도 없이, 인증정보 등을 탈취해 네트워크에 엑세스하여 바로 데이터를 강탈해가는 수법을 더 많이 쓴다는 얘기다. 그런 식으로 민감한 정보를 훔친 후 몸값을 요구하는 것이다.

그나마 최근엔 각국에서 엔드포인트 감지, 대응을 위한 소프트웨어가 많이 보급되고 있다. 특히 미국을 비롯한 주요국들이 이들 랜섬웨어 행위자에 대해 공격적으로 추적하고 있는 점도 이들 범죄자들로선 큰 장애물인 셈이다.

각국의 취약한 네트워크 인프라 공격 증가

그럼에도 불구하고 특히 2023년에는 네트워킹 디바이스에 대한 공격이 여느 때보다 증가했다. 특히 중국이나 러시아에 기반을 둔 사이버 공격자들이 사실상의 스파이 활동을 위해 다른 나라의 공적 네트워크를 공격하는 경우가 많았다.

반면에 각국의 (공적) 네트워킹 장치는 모든 조직의 IT 인프라의 핵심 구성 요소임에도 불구하고 보안이 상대적으로 취약한 편이라는 지적이다. 보안 검사를 게을리하고, 제대로 패치되지 않은 경우가 많아 사이버 범죄자의 구미를 동하게 했다. “특히 디바이스마다 흔히 표준화되지 않은 운영 체제에서 실행되고, 기본 자격증명도 허술하므로, 사이버 범죄자가 악용하기 쉽고 표준화된 보안 솔루션으로 모니터링되지 않는 경우가 많다”는 지적이다.

특히 문제는 취약한 기본 자격 증명이다. 사이버 공격자들은 이를 무차별 공격하거나 비밀번호 스프레이(임의의 수많은 비번을 입력)를 함으로써 이를 악용하고 있다. 이를 통해 획득한 자격 증명을 아예 다크 웹에서 판매하며 돈벌이를 하기도 한다.

이런 식으로 침해를 당한 네트워크에서 공격자는 민감한 정보를 캡처, 대상 네트워크에 대한 추가 액세스를 자유롭게 할 수 있다. 결국 인증 없이 네트워크에 초기 기반을 구축하거나, 네트워크 트래픽을 공격자가 제어하는 서버로 ‘리디렉션’하기 위해 악성 코드를 심기도 한다. 뿐만 아니라 이렇게 장악한 네트워크 디바이스는 공격자가 또 다른 대상을 공격하기 위한 일종의 기지 역할을 하는 ‘익명화 프록시’로 악용되기도 한다.

이에 “기업이나 조직이 기본 자격 증명을 사용하는 대신, 고유하고 복잡한 비밀번호를 생성하고, 가능한 경우 MFA(다중인증)를 사용하는게 바람직하다”는 조언이다.

산업 부문별 랜섬웨어 공격 비율. (출처=시스코)  

상품 로드 수법…‘트로이 목마’ 대신 ‘드로퍼’ 강화로

상품으로 위장하는 악성코드도 날로 진화하며 기승을 떨고 있다. 그 중에서도 Qakbot, Ursnif, Emotet, Trickbot 및 IcedID와 같은 악명높은 상품 로더 악성코드가 대표적이다. 이미 지난 수 년 간 활동하며, 이들은 날로 수법이 발달하고 있다.

처음 등장했을 때만 해도, 감염된 컴퓨터에서 신용 카드 정보를 도용하는 ‘뱅킹 트로이 목마’ 수준이었다.

그러나 이달 들어, IcedID와 Ursnif은 이전 버전과 전혀 다른 변종으로 바뀌었다. 종전의 ‘뱅킹 트로이 목마’ 기능이 없어지는 대신, ‘드로퍼 기능’이 개선된 것이다. 이같은 새로운 IcedID 변종은 랜섬웨어 그룹에 네트워크 액세스 툴을 판매하는 것으로 알려진 브로커들이 즐겨 사용되고 있다. 마찬가지로 Ursnif도 비슷한 기능의 변종이 등장, ‘Royal’ 랜섬웨어 그룹에서 사용되고 있다.

이처럼 ‘뱅킹 트로이 목마’ 기능을 제거하면, 사법당국이나 연구자들이 이들 악성 코드를 탐지하기가 더 어려워진다. 실제로 ‘오피스365’ 등 제품에 대한 MS의 새로운 보안 조치가 맬웨어 위협 환경에 영향을 미치면서 Qakbot, IcedID 및 Ursnif에의 감염 벡터도 진화했다. 즉, 이들 사이버 범죄자들은 미처 탐지가 잘 안 되는 매크로를 사용하거나, 아예 매크로를 완벽하게 피하는 새로운 방법을 찾기도 했다.

매크로 완벽하게 피하는 술수도 구사

이들 공격자들은 또 자바스크립트, 파워셀, 원노트 문서나, HTA 파일을 사용하는 등 악성 코드를 확산하고 디바이스를 감염시키기 위해 전과는 다른 방법을 사용하고 있다. 또 ‘Google Ads’ 플랫폼을 사용하여 매크로를 완전히 피하면서, Ursnif, IcedID 또는 Trickbot과 같은 악성 코드를 배포하고 있다.

이에 보안 전문가들은 이러한 사이버 보안 위협에 대처하는 방법을 조언하고 있다. 가장 중요하면서도 기본적인 것은 모든 운영 체제와 소프트웨어가 최신 상태를 유지하고, 패치가 적용되어 있어야 한다는 점이다. 강력한 비밀번호로 변경하되, 모든 디바이스의 구성 파일을 주의 깊게 분석, 조정해야 한다.

시스코는 “가능하다면 해당 장치에 다단계 인증을 배포해야 하고, 악의적인 통신을 탐지하려면 장치의 인바운드 및 아웃바운드 통신을 모니터링해야 한다”면서 “또 랜섬웨어 범죄자들은 민감한 정보를 암호화하는 대신, 아예 훔치려는 시도가 점점 더 많아지고 있다. 이에 민감한 데이터를 저장하기 위해 데이터 분할을 적용할 필요가 있다.”고 당부했다.

[ 애플경제 ] 전윤미 기자원문보기