더욱더 위험해지는 랜섬웨어 <정보보안의 10대위협에서 1위 >

2021-08-25
조회수 65

최대의 위협은 랜섬웨어와 뉴노멀


IPA (독립행정법인 정보처리 추진기구)가 매년 발표하는 [정보보안 10대 위협]의 2021 년도결과가 지난1월에 공개되었습니다. 이번 발표에서 주목할 것은 지난 5년 동안 조직부문에서 1위를 차지해왔던 [표적공격] 에서 [랜섬웨어]가 최대위협으로 순위가 바뀐 것입니다 (지난해5위).

이외에도 [재택근무등 뉴노멀근무방식을 노린공격]이 3위를 차지했습니다. 전세계에 닥친 최대의 위협은 기업의 보안대책에도 심각한 영향을 미치고 있습니다.

[10대위협 2021]에서 지금의 사회와 정보보안의 상황을 짙게 반영한 이 두가지 부분에 착안하여 상위에 랭크 된 배경과 대책을 살펴 보았습니다.


[정보보안 10대위협 2021]

출처 : IPA (정보처리추진기구)

https://www.ipa.go.jp/security/vuln/10threats2021.htm



더욱더 위험해지는 랜섬웨어


랜섬웨어는PC나 서버등의 데이터를 암호화하고 복호화를 위한 키에 대한 대가로 몸값 (랜섬)을 요구하는 악성코드입니다.

2017년 발생한 ”WannaCry 대규모 랜섬웨어 공격”으로 랜섬웨어가 널리 인식되었습니다. 이후에 대책방법이 널리 알려진 것으로 주목되지 않았지만 최근에 다시 위험도가 증가하고있는 것들을 보면 주의가 필요합니다.



방어력을 해마다 늘리고 있는 기업의 가드를 깨기 다른 사이버공격과 뿐만 아닌 랜섬웨어도 그 수법이 나날이 발전하고 있습니다.

수법내용으로는 “무작위형에서 표적형으로",  "협박형에서 이중협박형으로"의 두가지 요소에 집중해서 보시면 좋을 것입니다.


먼저 표적형은, 처음에는 공격프로그램을 첨부 한 메일을 기계적으로 뿌리는 방식 이었지만, 특정조직을 노리고 사내네트워크내부에 침입하는 수법이 눈에 띄고 있습니다. 공개서버의 취약성을 악용, 직원에게 부여 된 인증정보를 도용하는등의 방법으로 네트워크에 침투, 중요한 보고데이터의 암호화를 해버리는 것입니다.


이중협박형은 암호화뿐만 아니라 착취 한 정보의 일부를 "증거"로 서버에 공개하여 몸값을 지불하지 않으면 모든 데이터를 불특정 다수에게 공개하겠다고 위협하는 수법입니다. "노출형"이라고도 합니다. 또한 노출형 네트워크에 침입하여 데이터를 검색하는 작업을 수반하기 때문에 많은부분 표적형과 같은 양상을 띠고 있습니다.



높아지는 기밀정보 노출위험


기업이나 단체에게는 중요한정보가 검색되는 표적형도 위험한 존재이지만, 더욱 주목하고 싶은것은 악질적인 노출형입니다.


노출형랜섬웨어에 감염이 판명 된 시점에서 기밀정보는 이미 공격자의 손에 넘어 가 있습니다. 몸값을 치르더라도 공격자가 데이터를 파괴한다는 보장은 없습니다.

미국의 예로,  "NetWalker "라는 랜섬웨어로 공격한그룹은 기업에서 몸값지불을 받았음에도 불구하고 착취한 데이터를 자신의 서버에 공개했습니다.

기밀정보가 불특정 다수에게 공개되어 버리면, 기업은 비즈니스 연속성에 심각한 손상을 입게 됩니다.


몸값을 지불하였음에도 불구하고 정보를 공개하겠다고 협박하는 예도 여러차례 보고되고 있습니다. 기존의 랜섬웨어는 (권장하는 방법은 아니지만) 몸값을 지불하고 복호화키를 입수하면 다시 협박을 하는 일은 없었습니다. 그러나 정보를 탈취하는 노출형은 공격자그룹의 다른인물 혹은 종파가 다시 협박조치를 취할 가능성이 높다고 봐야하는 것입니다.



랜섬웨어의 거의 절반은 노출형


2020년 11월에는 국내 주요게임업체가 노출형랜섬웨어공격을 받아 고객과 직원의 개인정보 및 고객정보를 착취 당하는등 피해의 심각성이 큰 뉴스가 있었습니다.


그 후에도 유사한공격이 원인으로 보이는 피해는 여러번에 걸쳐 보고되고있으며, 노출형은 점점 증가추세에 있습니다. 내외의 조사기관이나 보안업체의 발표를 종합하면, 현재의 랜섬웨어의 40%~ 50%는 노출형으로 보는것이 좋을것입니다.


공격자는 신뢰할 수 없으며 정보공개행위에 대한 어떠한 백업도 없다고 판단하에, 공격을 허용한 기업이 할수있는 대응책이라고는 관련기관에 연락하여 사후대책을 협의하는것등에 한정되어 버립니다. 일단 감염되고나면  대응수단도 없어서 무방비 상태나 마찬가지입니다.


피해경감을 위한 대처


다시 말하지만, 노출형랜섬웨어는 사이버공격중에서도 특히 사고후의 처리가 어려운 사안입니다. 그렇다면 당연한 이야기지만, 최고의 대책으로는 감염방지의 강화 밖에 없습니다. 메일첨부파일의 취급에 취대한의 주의를 기울이고, 의심스러운 링크는 클릭하지 않으며, 시스템의 취약점은 시급하게 막는등의 기본적인 멀웨어방지대책을 평상시부터 실행하고 반복적으로 주의환기 해 나가야 할 것입니다.


또한 첨예화 된 최근의 공격은, 방화벽등의 보안만으로는 침입방지가 점점 어려워지고 있다는 현실도 인식해야합니다. 만일의 침입에 대비한 대책으로 예를들어, 랜섬웨어의 활동에 의한 파일의 변화를 실시간으로 감지하여 시스템의 훼손을 방지하는 악성코드 백신도 피해를 최소화시킬 수 있는 방법입니다.



각조직의 처한환경에 맞춘 시책이 필요


마지막으로, 위의2개 항목외에서 유의할사항으로는 바로 내부정보유출입니다.

 [10대 위협]에서는 6위의 [내부부정에의한 정보유출] (지난해 2위) , 9위 [부주의에 의한 정보유출등의 피해] (지난해7 위)를 주목해 보면 알수 있습니다.


내부부정이나 실수에 의한 정보유출은 정보보안쪽의 조사·보고서에서 상위위치하는 것이 많았으며, 사이버공격과도 거의 동등한레벨의 주의가 필요합니다. 도쿄상공리서치가 2021년1월에 발표한

[상장기업의 개인정보유출·분실사고조사](2020)에서도 [실수로공개·오송신]과 [분실·잘못폐기]를 합한 내부유출은 [바이러스감염·부정액세스]의 49.5 %에 이어 44.5 %에 달하고 있습니다.



[개인정보유출원인]

출처 : 도쿄상공리서치

https://www.tsr-net.co.jp/news/analysis/20210115_01.html


오송신 및 잘못표시에 대해서는 메일보안을 강화하는 서비스를 이용함으로 어느정도 방지가 가능하지만 보안툴만으로 완전한 대책이 되는것은 것은 아닙니다.

결국 각각의 주의력과 양심적인 자기대책에 대한 주의환기를 반복적으로 행하는 것이 중요할 것 같습니다.


#메일오송신 #랜섬웨어 #뉴노멀

By Yozawa Shinichi, 번역 전윤경 부장


2 0

오치영
Oh Dream Officer
ocy@jiran.com