랜섬웨어(Ransomware) 공격이란
랜섬웨어 침입 포인트 5가지 유형
한화 계열사이자 석유화학계 기초 화학물질 제조업을 중심으로 하는 한화솔루션이 세계적인 랜섬웨어 그룹 록빗(Lockbit)의 해킹 공격을 받았으며, 800GB에 달하는 데이터가 탈취된 것으로 알려졌다. 현재 록빗은 다크웹을 통해 이 같은 사실을 알리며 협상을 요구하고 있다.
록빗은 다크웹의 자사 웹페이지를 통해 한화 소유물이라고 주장하는 데이터의 샘플을 공개했다. 공개된 데이터는 한자와 영문으로 돼 있으며, 엑셀 파일, 계약 서류, 도면 등 다양한 자료였다. 록빗 측은 확보하고 있는 한화의 데이터가 800GB 이상 된다고 밝혔다.
랜섬웨어에 의한 공격에서는 사이버 범죄자는 고도의 수법을 사용해 기업이나 조직에 있는 ‘침입구’를 찌른다. 그리고 랜섬웨어를 감염시켜 컴퓨터의 파일이나 데이터를 암호화해 버려 기능을 정지시킨다.
몸값을 지불하면, ‘복호열쇠’를 공격자로부터 받고, 잘하면 시스템을 복구하는 것이 가능하게 된다. 또 몸값을 지불하지 않아도, 비용은 걸리지만 스스로 시스템을 바꾸면, 데이터 등에 액세스 할 수 없게 될 가능성은 있지만 치명적인 손실을 받는다.
◇ 랜섬웨어(Ransomware) 공격이란
랜섬웨어는 사용자의 컴퓨터를 장악하거나 데이터를 암호화한 다음 정상적인 작동을 위한 대가로 금품을 요구하는 유형의 악성코드다.
요즘의 랜섬웨어 공격에서는, 공격자가 표적의 시스템을 암호화할 때에, 시스템으로부터 기업의 내부 데이터를 훔치는 것이다. 그리고 그것을 “공개되고 싶지 않으면 몸값을 지불하라”며 이중으로 협박해온다.
그렇게 되면, 몸값을 지불할지, 기업 비밀이나 고객이나 거래처 정보를 포함한 정보 누설을 허락할지의 궁극의 선택을 해야된다. 즉, 랜섬웨어 피해를 받으면 기업이나 조직 등은 데이터가 손실되어 시스템 다운타임이라는 피해, 더욱 조직으로서 신용을 잃는 사태가 된다.
랜섬웨어 공격의 피해를 피하기 위해서는 사전 예방이 핵심이다. 사이버범죄자의 움직임을 제대로 분석할 수 있다면 대책에 나설 수 있다. 거기서 키가 되는 것은 역시 정보(인텔리전스)이다.
사전에 사이버 위협을 철저히 조사하는 사이버 대책 중 하나인 ‘위협 인텔리전스’는 필수적이다. 이번에는 사이버 범죄자가 기업이나 조직에 침입하는데 사용하는 5개의 ‘침입 포인트’를 설명한다.
이러한 포인트를 제대로 인식하고 대책에 연결하는 것은 사이버 공간상의 안전 확보와 데이터 보호로 이어진다. 되는 것은 역시 정보(인텔리전스)이다. 이러한 포인트를 제대로 인식하고 대책에 연결하는 것은 사이버 공간상의 안전 확보와 데이터 보호로 이어진다.
◇ 랜섬웨어 침입 포인트 5가지 유형
① 피싱(Phishing) 메일
피싱은 사기성 이메일, 메시지, 광고 또는 이미 사용 중인 사이트와 비슷해 보이는 사이트를 통해 개인 정보를 도용하거나 온라인 계정에 침입하려는 시도를 말한다.
피싱 메일은 랜섬웨어 공격의 가장 많은 침입 포인트 중 하나이다. 사이버 범죄자는, 기업등에 메일을 보내 악의가 있는 링크를 클릭시키거나, 부정한 프로그램을 담은 첨부 파일을 다운로드나 실행시킨다.
그러한 메일은, 은행이나 동료 등 신뢰할 수 있는 상대로부터의 것인 것처럼 교묘하게 치장하고 있는 일이 있다. 보낸 사람 등을 신중하게 찾는 것이 중요하다.
② 악의가 있는 웹사이트와 드라이브 바이 다운로드 (Drive-by download)
드라이브 바이 다운로드는 사용자에게는 매우 치명적이다. 사이버 범죄자는, 바이러스에 감염시키기 위해서 준비된 웹 사이트나 드라이브 바이 다운로드를 사용해, 기업이나 조직 컴퓨터에 랜섬웨어를 감염시키려고 한다.
“드라이브 바이 다운로드”란, 아무것도 모르는 사용자가 사이버 범죄자에 의해 침해된 웹사이트에 액세스하면, 자동적으로 맬웨어가 다운로드되어 버리는 수법을 가리킨다. 신뢰할 수있는 웹 사이트 만 방문하고 자동 다운로드를 비활성화해야한다.
드라이브 바이 다운로드를 막기 위해선 웹 필터링 어플리케이션이 있으면 좋다. 드라이브 바이 다운로드가 존재할 수 있는 사이트에 대한 접근을 경고 및 통제해준다.
③ 원격 데스크톱 프로토콜 (RDP) 취약점
원격 데스크톱은 한 컴퓨터에서 멀리 떨어진 데스크톱 컴퓨터에 원격으로 연결할 수 있는 기능이다. 원격 데스크탑 연결(RDP)에서 가장 심각한 취약점 중 하나는 “블루킵(BlueKeep)”이다.
BlueKeep (CVE-2019-0708)은 공격자가 특수하게 조작된 요청을 올바른 포트(보통 3389)로 보낼 경우 컴퓨터에서 원하는 모든 코드를 실행할 수 있게 되는 취약점을 가지고 있다.
정상적인 사용자의 경우, RDP프로토콜을 사용할 때 Password를 입력해서 인증을 해야하지만, 취약점을 이용하면 특별히 정교하게 만든(specially crafted) request를 보내면 사용자 인증 과정 없이 바로 접속해서 모든 명령어를 사용할 수 있게 된다고 한다.
그러나 보안이 제대로 확보되지 않은 경우 사이버 범죄자의 랜섬웨어의 주요 침입 지점이 될 수 있다. 공격자는 약한 패스워드를 추측해 시스템에 침입해 와서, 랜섬웨어를 감염시키기 때문에, 리모트 접속에서는 제대로 패스워드등을 설정해야 한다.
④ 소프트웨어의 취약성과 익스플로잇
업데이트하지 않은 미수정의 보안 구멍, 낡은 소프트웨어와 부적절한 소프트웨어 관리는 모두, 랜섬웨어 공격의 침입 포인트가 된다.
사이버 범죄자는 이러한 보안 틈을 악용하여 시스템에 침입하여 랜섬웨어를 설치하고 민감한 데이터를 위험에 빠뜨린다.
운영 체제, 웹 브라우저, 플러그인을 포함한 소프트웨어를 항상 최신 상태로 유지하고 수정하는 것이 필수적이다.
⑤ 약한 패스워드와 크리덴셜 스터핑(Credential Stuffing)
크리덴셜 스터핑은 해커가 다크 웹에서 구매한 인증정보로 봇을 사용해 웹사이트에 지속적으로 접속하려 시도하는 자동화된 사이버 공격유형이다.
사이버 범죄자는, 계정의 약한 패스워드나, 크레덴셜 스터핑을 이용해 시스템에의 부정한 액세스를 시도해, 랜섬웨어를 감염시킨다.
자격 증명 스터핑은 어딘가에서 도난당한 로그인 정보를 사용하여 여러 서비스 (회원 사이트 등)에 액세스할 수 없는지를 시도하는 것이다.
이를 막기 위해서는 여러 회원 사이트 등에서 쉽게 추측되지 않는 강력하고 독특한 비밀번호를 각각 사용하고 여러 계정에서 같은 비밀번호의 사용을 피해야 한다.
또한 가능한 경우 이중 인증을 사용하는 것을 권장한다. 전세계에서 일어나고 있는 랜섬 공격에서는 반드시 사이버 범죄자가 여기까지 해왔던 공격 등으로 랜섬웨어를 감염시킨다.
기사 출처 : 디지털비즈온(https://www.digitalbizon.com/news/articleView.html?idxno=2333198)
—
이번 추석은 ‘황금연휴’로 불려질 만큼 오랜 기간 연휴를 즐길 수 있는데요. ‘2021 사이버보안 위협 동향 보고서’에 따르면 피싱 공격은 휴일을 전후로 급증하며, 전세계적으로 랜섬웨어 공격 시도 평균 횟수가 월평균 대비 30% 증가하는 것으로 나타난다고 합니다. 때문에 긴 연휴를 보내기 전에는 반드시 랜섬웨어에 걸리지 않도록 준비를 해야 하는데요.
네트워크 장치들은 정기적으로 취약성 검사를 진행하고 소프트웨어는 최신 버전으로 유지하는 것이 중요합니다. 또한, 외부 수신자에게 이메일 부재중 메시지 전송을 자재하고 직원들에게 의심되는 링크를 클릭하거나, 피싱에 속지 않도록 상시 교육을 하여 예방하는 것이 좋습니다. 주요 시스템에 연결된 원격 엑세스, VPN, 계정에 다단계 인증(MFA)을 구현하여 사이버 범죄가 일어나지 않도록 대비해야 합니다.
사이버 범죄가 명절연휴에도 일어날 수 있는 만큼 보안과 관련한 수칙을 준수하여 긴 추석연휴 걱정없이 연휴를 보낼 수 있도록 보안에 만전을 기하시기 바랍니다.
기사 참고 : 한경비즈니스(https://magazine.hankyung.com/business/article/202309218397b)