랜섬웨어의 진화와 대응전략

• 이제 랜섬웨어 공격자들은 단순히 암호화 후 복호화키 제공만으로 협박하지 않습니다. 그들은 암호화와 더불어 데이터 도난 협박을 함께 사용하는 이중 협박 전략을 기본으로 채택했습니다.
• 이러한 이중 협박을 위해 공격자들은 데이터 유출 사이트(이하 DLS: Data Leak Sites)를 운영합니다. DLS는 2022년 잠시 주춤했으나, 2023년에 큰 폭으로 증가했으며, 2024년에도 많은 DLS가 활발히 운영되고 있습니다.

• 랜섬웨어 공격자들의 목적은 일반적인 기업과 마찬가지로 적은 투자로 높은 수익을 얻는 것입니다. 이들은 더 많은 수익을 위해 끊임없이 진화하고 있으며, 그 대표적인 예가 RaaS(Ransomware as a Service)입니다.
• RaaS에서는 운영 주체와 공격자가 분리되어 있습니다. 공격자들은 Deep/Dark 웹의 다양한 마켓에서 활동하는 Access Broker를 통해 침투에 필요한 계정, 접속 권한, 경로 등을 구매하여 공격을 수행합니다.
• 이로 인해 랜섬웨어 제작 기술이나 초기 침투 경로 확보 능력이 없어도 쉽게 공격할 수 있는 시대가 열렸고, 그 결과 더 많은 공격자들이 손쉽게 공격을 감행하고 있습니다.

• 그렇다면 보안 담당자들은 어떻게 해야 할까요? 계속 진화하는 데이터 도난과 랜섬웨어 전술에 무기력하게 당해만 있어야 할까요? 그렇지 않습니다. 공격자들의 전략을 분석하고 그들이 사용하는 기술에 대응할 수 있는 능력을 갖추면 됩니다. Google Threat Intelligence에서 발표한 랜섬웨어 대응 가이드라인을 소개하며 마무리하겠습니다.

• Google Cloud Security는 2024년 5월 1일 "랜섬웨어 보호 및 격리 전략"이라는 보고서를 발간했습니다. 이 보고서는 변화하는 데이터 도난 및 랜섬웨어 전술에 맞춰 조직의 공격 표면 범위를 파악하고 적절한 보안 제어 및 가시성을 확보할 수 있도록 가이드를 제시합니다. 이를 통해 조직은 최신 랜섬웨어 배포 방식을 이해하고 효과적인 대응 전략을 수립할 수 있을 것입니다.

• 참고자료   Ransomware Protection and Containment Strategies

• 랜섬웨어의 기원과 발전: 랜섬웨어는 “랜섬”과 “소프트웨어”의 합성어로, 처음 등장한 것은 1989년 AIDS Trojan이었으며, 암호화 기술과 인터넷의 발전으로 2000년대부터 본격적으로 확산되었습니다. 2017년의 WannaCry 랜섬웨어는 전 세계적인 큰 피해를 입히며 랜섬웨어의 위험성을 부각시켰습니다.

• 진화와 최신 트렌드: 초기에는 단순한 암호화와 몸값 요구 방식이었지만, 최근에는 표적화된 공급망 공격이나 피싱 이메일을 통한 전파, 그리고 암호화와 데이터 유출 협박을 병행하는 이중협박 방식 등으로 다양화되고 있습니다.

• 주요 전파 경로: 랜섬웨어는 주로 피싱 이메일, 악성 웹사이트, 불법 소프트웨어 등을 통해 확산되며, 취약점을 악용해 공격이 이루어집니다. 또한 분업화와 RaaS(Ransomware as a Service) 서비스를 통해 기술력이 낮은 공격자들도 손쉽게 랜섬웨어 공격을 수행할 수 있게 되었습니다.

• 방어 전략: 단순한 솔루션 도입보다는 다층 방어 시스템과 Cyber Kill Chain을 활용한 다단계 방어가 필요합니다. 랜섬웨어만을 방어하는 전략보다는 사이버 방어 체계 구축을 통해 탐지 및 대응, 검증, 지속적인 모니터링이 중요해지고 있습니다.

• 미래 전망: 랜섬웨어는 AI와 결합되어 더욱 정교한 맞춤형 공격을 수행할 가능성이 높으며, 자율주행 자동차나 스마트홈을 대상으로 한 공격도 잠재적인 위협으로 지적됩니다. AI 기반 방어 시스템 구축이 필수적입니다. 

결국, 랜섬웨어 대응은 단순한 보안 솔루션 도입을 넘어서 지능화된 해킹에 대한 포괄적인 사이버 방어 시스템의 구축이 요구됩니다.

• OpenAI의 ChatGPT 맥OS 앱에서 발견된 'SpAIware' 취약점은 공격자가 메모리 기능을 악용해 스파이웨어를 심고 사용자 데이터를 유출할 수 있도록 한 문제였다. 오픈AI는 이를 패치했으며, 사용자는 메모리 내용을 정기적으로 검토하고 삭제할 것을 권고받았다.
  

• 경찰청은 베트남에서 모바일 스미싱 범죄를 저지른 해외 조직원 7명을 검거하고, 총책 등 3명을 9월 14일 송환했다. 이번 작전으로 총 86명이 검거되었으며, 피해 규모는 약 100억 원이다. 경찰은 국제 공조를 통해 신종 사기 범죄에 강력히 대응할 방침이다.

• 보안 연구진이 기아차 딜러 포털의 취약점을 발견해 차량이 원격 공격에 노출될 수 있음을 경고했다. 차량 번호판만으로 잠금, 시동, 위치 추적 등이 가능했다. 기아는 즉시 취약점을 수정했으며, 전문가들은 강화된 인증과 정기적인 보안 감사를 강조했다.

• CVE-2024-9486에서 쿠버네티스 이미지 빌더의 심각한 보안 취약점이 발견되어, 공격자가 특정 조건에서 루트 권한을 획득할 위험이 있다. 기본 자격 증명 사용 중 발생하며, Proxmox 프로바이더로 생성된 VM 이미지에 영향을 미친다. 보안 조치로는 비밀번호 무작위 생성과 계정 비활성화가 권장되며, 패치된 버전으로의 재구축이 필요하다. 전 세계 사이버 보안 커뮤니티가 큰 우려를 표하고 있다.

• 일시 : 11월 29일(금) 오후 2시-3시
• #사이버보안 #사이버위협인텔리전스                            >>> 사전등록 하기