랜섬웨어는 최대의 위협
코로나19로 인해 텔레워크 등 근로 방식이 달라진 요즘 랜섬웨어 공격이 진정될 기미가 보이지 않습니다. 2022년 2월에는, 일본 대기업 자동차 브랜드의 관련 기업이 감염되어 제조설비가 정지되었습니다. 이 사건 외에도 다수의 심각한 피해 보고가 이어지고 있으며, 경찰청과 경제산업성, 정보처리추진 기구(IPA) 등 정보보안 관련 부처와 업계단체가 발표하는 보고서 등을 보면 랜섬웨어는 현재 최대의 위협이라고 할 수 있는 상황입니다.
또한 IPA가 2022년 2월에 공개한 "정보보안 10대 위협 2022"에 의하면 조직의 부문에서 1위가 "랜섬웨어", 2위 "표적형 공격", 3위 "공급망 공격", 그리고 4위 "텔레워크" 등의 새로운 근로방식을 노린공격' 등 랜섬웨어와 관련이 깊은 위협이 상위에 올랐습니다.
그렇기 때문에 각국의 연구기관과 보안기업들은 공격을 차단하기 위해 계속 노력하고 있지만 한번 공격받으면 방어하기가 쉽지 않은게 현실입니다. 그 요인은 랜섬웨어 자체의 공격력강화, 특정조직에 초점을 맞추는 표적형공격, 공급망을 구성하는 기업 중 보안대책이 취약한 곳을 노리는 공급망 공격, 혹은 재택근무에서 사용하는 VPN 기기의 취약성을 노려 기업 네트워크로의 침입 등 다른 공격기법과 조합함으로써 검지와 방어가 어려워지고 있다는 점을 들 수 있습니다.
최근 유행하는 랜섬웨어는 "폭로형"
랜섬웨어는 시스템에 저장된 데이터를 암호화하여 데이터를 복호화 하는 키 대신 몸값(랜섬)을 요구하는 방식입니다. 이 공격은 2010년대 초부터 보고되고 있었지만, 단번에 화제성을 높인 것은, 2017년의 봄에 전 세계적으로 감염을 확대한 "워너크라이" (WannaCry)였습니다. "워너크라이"가 만연했던 시기의 공격은 데이터 암호화 및 시스템을 잠그는 것이었지만, 지금은 더욱 교묘하고 악랄해졌습니다.
그중 하나는, "이중 갈취 공격" (double extortion)이라고 불리는 타입입니다. 예전과 달리 몸값을 요구할 뿐만 아니라, 몸값을 지급하지 않으면 데이터를 공개하겠다고 위협하는 방식입니다. 또한 암호화하는 공격은 백업이 있으면 데이터를 되찾을 수 있었습니다만, 폭로형은 복원할 수 있어도 몸값지급을 거부하면 기밀정보가 공개되어 버릴 수도 있기 때문에 데이터의 내용에 따라서는 기업의 존속과도 관련되어 있을 것입니다.
2021년 여름 무렵에는 "진정한 피해자"라고도 할 수 있는 원래의 정보보유자에게 공격을 가한 사실을 전하는 새로운 수법도 발견되었습니다. A사의 네트워크에 침입해 데이터를 착취·암호화한 후, A사의 거래처 기업이나 제품의 유저에게, "정보를 공개해 원하지 않으면, A사에 몸값을 지불하도록 요구해 주세요" 등이라고 기록한 메일을 보내는 "고자질형"이라고 할 수 있는 공격입니다.
랜섬웨어의 비즈니스 모델이 확립
염려해야 할 점은 또 하나, 랜섬웨어가 비즈니스로 성립했다는 점입니다.
이 범죄를 성취하려면 보안상의 약점이 있어 몸값 지급에 응할 만한 표적의 선정, 보안 소프트웨어를 뚫고 나갈 프로그램의 조달, 기업 네트워크로의 침입, 데이터를 공개하는 서버의 운용, 그리고 몸값 징수 등의 작업이 필요하며 사이버 범죄 중에서도 난도가 높은 부류에 속합니다.
그래서 공격을 지원하는 상용 클라우드 서비스로서 "RaaS(Ransomware as a Service) "가 시작되었습니다. RaaS를 이용해 공격을 거는 사람은 "제휴 마케팅" 등으로 불려 RaaS를 운영하는 측의 "심사"에 합격한 인물에게는, 공격에 필요한 기능을 제공하는 관리 화면에의 접근을 허용합니다. 또한 공격을 실행하여 몸값 착취에 성공하면 RaaS로부터 일정한 성공 보수를 얻을 수 있는 구도입니다.
RaaS의 운영 이미지
"SaaS(Software as a Service) " 등 정규 클라우드 서비스와 마찬가지로 RaaS도 수익 향상을 도모하려면 기능을 충실하게 하여 제휴 마케팅을 늘려가야 합니다. 현재 주요 RaaS에는 공격 프로그램과 데이터를 공개하는 서버 등 기본적인 장비를 비롯해 몸값 지급에 응하지 않을 때 협박에 쓰는 디도스 공격(DDoS대량 데이터를 보내 시스템을 정지시키는 공격)과 기업 콜센터에 협박 전화를 거는 기능 등을 추가한 것으로 알려졌습니다.
RaaS의 "공격 가이드" 유출
2021년 8월, 불법 거래를 다루는 러시아어의 불법 사이트에서 "Conti"라고 하는 그룹이 운영하는 RaaS 가이드가 공개되는 사건이 일어났습니다. 유출한 제휴 마케팅의 개시에 의하면, "Conti"가 약속한 대로의 성과 보수의 지급에 응하지 않았던 것으로 인한 "보복"이라고 여겨지고 있습니다. 사건의 진위는 모릅니다만, 관계자 사이에서 화제가 된 것은 가이드 내용입니다.
이어 공개된 압축파일은 수십 개의 폴더와 파일로 구성되어 내용은 다양했습니다. 예를 들면 데이터를 암호화하는 프로그램 본체 외에 표적 기업의 보안 진단, Windows Defender 중지, 데이터베이스 복사 및 인증 정보 검출 등에 사용하는 각종 툴, 그리고 백업 파일을 찾는 방법, 해킹에 도움이 되는 정보를 담은 사이트 링크 모음 등도 포함되어 있었습니다.
또한 해외 보안전문가의 분석을 종합하면 "개개의 프로그램, 도구, 조언 집에는 특별히 새로운 것은 없지만 공격에 필요한 요소는 거의 망라되어 있다"라고 집약할 수 있으며, 고도의 전문 지식과 경험을 해야 하는 랜섬웨어는 RaaS에 의해 그 문턱이 현격히 낮아지고 공격자의 규모가 넓어졌다고 할 수 있습니다.
몸값 지불 규제가 강화되다
랜섬웨어의 진정 대책으로는 미국과 유럽을 중심으로 몸값 지급을 규제하는 움직임이 확산하고 있습니다. 몸값은 공격자를 이롭게 되어 영속적인 공격으로 이어지고, 한 번 지급해 버리면 제2 제3의 공격을 받는 경우도 많기 때문입니다. 호주에서는 지급할 때 당국에 보고를 의무화하는 법안이 검토되고, 네덜란드 등에서는 랜섬웨어에 대한 지급을 보험 대상으로 하는 서비스를 금지하는 움직임도 있습니다.
물론, 나쁜 것은 공격자이기 때문에, 어쩔 수 없이 지급에 응한 기업·단체를 일방적으로 비난할 수는 없습니다만 지급을 규제하는 각국의 움직임에 더해 지급에 응해 봐야 데이터를 되찾을 수 있다는 보증은 없다는 점은 인식해야 합니다.
또한 영국의 보안기업이 2021년 발표한 보고서에 따르면, 세계 30개국의 기업·단체를 대상으로 조사한 결과 랜섬웨어의 피해를 본 조직 중 몸값을 지급한 조직은 32%입니다. 이 중 데이터를 완전하게 복구할 수 있던 것은 8% 이하, 거의 반을 되찾을 수 있던 기업은 29% 정도에 머물렀다고 여겨지고 있습니다. 이런 종류의 조사는, 대상국과 조직의 규모·업태에 따라서 숫자에 차이는 있습니다만, 몸값 지급은 보상받지 못하는 경우가 많다고 하는 것은 공통적입니다.
백업 체제 및 모니터링 점검
모든 사이버 공격과 마찬가지로 랜섬웨어에 대해서도 위험을 낮추기 위한 행동이 제시되고 있습니다. 우선 몸값 지급이 아니라 적절한 백업에서 데이터를 복구할 수 있도록 해 두는 것으로 인해 백업만으로 데이터가 공개될 위험성은 낮아집니다. 또한 업무의 조기 복구·계속을 위해서는 적절한 백업과 복구의 훈련은 빠뜨릴 수 없습니다.
그리고 가장 효과적인 대책은 예방 및 침입 방지에 도달할 수 있습니다. 다른 악성코드와 마찬가지로 랜섬웨어의 주요 감염경로도 메일 첨부파일, 유도된 사이트에서의 악성 프로그램 다운로드, VPN 기기의 취약성 등 텔레워크 환경의 약점을 찌른 기업 네트워크로의 침입입니다.
백업 체제 강화와 더불어 로그인 시 다 요소 인증, PC나 서버의 수상한 움직임을 즉시 감지할 수 있는 모니터링 기능 강화, 외부 접속 제한 등 부정 액세스와 악성 프로그램의 혼입을 방지하는 대책 점검이 시급합니다. 그리고 마지막은 사람과 운용입니다. 종업원 각자가 보안대책을 확실히, 계속 실행하기 위한 계발도 계속해 나아가야 합니다.
by Yozawa Shinichi, 번역 전윤경
랜섬웨어는 최대의 위협
코로나19로 인해 텔레워크 등 근로 방식이 달라진 요즘 랜섬웨어 공격이 진정될 기미가 보이지 않습니다. 2022년 2월에는, 일본 대기업 자동차 브랜드의 관련 기업이 감염되어 제조설비가 정지되었습니다. 이 사건 외에도 다수의 심각한 피해 보고가 이어지고 있으며, 경찰청과 경제산업성, 정보처리추진 기구(IPA) 등 정보보안 관련 부처와 업계단체가 발표하는 보고서 등을 보면 랜섬웨어는 현재 최대의 위협이라고 할 수 있는 상황입니다.
또한 IPA가 2022년 2월에 공개한 "정보보안 10대 위협 2022"에 의하면 조직의 부문에서 1위가 "랜섬웨어", 2위 "표적형 공격", 3위 "공급망 공격", 그리고 4위 "텔레워크" 등의 새로운 근로방식을 노린공격' 등 랜섬웨어와 관련이 깊은 위협이 상위에 올랐습니다.
그렇기 때문에 각국의 연구기관과 보안기업들은 공격을 차단하기 위해 계속 노력하고 있지만 한번 공격받으면 방어하기가 쉽지 않은게 현실입니다. 그 요인은 랜섬웨어 자체의 공격력강화, 특정조직에 초점을 맞추는 표적형공격, 공급망을 구성하는 기업 중 보안대책이 취약한 곳을 노리는 공급망 공격, 혹은 재택근무에서 사용하는 VPN 기기의 취약성을 노려 기업 네트워크로의 침입 등 다른 공격기법과 조합함으로써 검지와 방어가 어려워지고 있다는 점을 들 수 있습니다.
최근 유행하는 랜섬웨어는 "폭로형"
랜섬웨어는 시스템에 저장된 데이터를 암호화하여 데이터를 복호화 하는 키 대신 몸값(랜섬)을 요구하는 방식입니다. 이 공격은 2010년대 초부터 보고되고 있었지만, 단번에 화제성을 높인 것은, 2017년의 봄에 전 세계적으로 감염을 확대한 "워너크라이" (WannaCry)였습니다. "워너크라이"가 만연했던 시기의 공격은 데이터 암호화 및 시스템을 잠그는 것이었지만, 지금은 더욱 교묘하고 악랄해졌습니다.
그중 하나는, "이중 갈취 공격" (double extortion)이라고 불리는 타입입니다. 예전과 달리 몸값을 요구할 뿐만 아니라, 몸값을 지급하지 않으면 데이터를 공개하겠다고 위협하는 방식입니다. 또한 암호화하는 공격은 백업이 있으면 데이터를 되찾을 수 있었습니다만, 폭로형은 복원할 수 있어도 몸값지급을 거부하면 기밀정보가 공개되어 버릴 수도 있기 때문에 데이터의 내용에 따라서는 기업의 존속과도 관련되어 있을 것입니다.
2021년 여름 무렵에는 "진정한 피해자"라고도 할 수 있는 원래의 정보보유자에게 공격을 가한 사실을 전하는 새로운 수법도 발견되었습니다. A사의 네트워크에 침입해 데이터를 착취·암호화한 후, A사의 거래처 기업이나 제품의 유저에게, "정보를 공개해 원하지 않으면, A사에 몸값을 지불하도록 요구해 주세요" 등이라고 기록한 메일을 보내는 "고자질형"이라고 할 수 있는 공격입니다.
랜섬웨어의 비즈니스 모델이 확립
염려해야 할 점은 또 하나, 랜섬웨어가 비즈니스로 성립했다는 점입니다.
이 범죄를 성취하려면 보안상의 약점이 있어 몸값 지급에 응할 만한 표적의 선정, 보안 소프트웨어를 뚫고 나갈 프로그램의 조달, 기업 네트워크로의 침입, 데이터를 공개하는 서버의 운용, 그리고 몸값 징수 등의 작업이 필요하며 사이버 범죄 중에서도 난도가 높은 부류에 속합니다.
그래서 공격을 지원하는 상용 클라우드 서비스로서 "RaaS(Ransomware as a Service) "가 시작되었습니다. RaaS를 이용해 공격을 거는 사람은 "제휴 마케팅" 등으로 불려 RaaS를 운영하는 측의 "심사"에 합격한 인물에게는, 공격에 필요한 기능을 제공하는 관리 화면에의 접근을 허용합니다. 또한 공격을 실행하여 몸값 착취에 성공하면 RaaS로부터 일정한 성공 보수를 얻을 수 있는 구도입니다.
RaaS의 운영 이미지
"SaaS(Software as a Service) " 등 정규 클라우드 서비스와 마찬가지로 RaaS도 수익 향상을 도모하려면 기능을 충실하게 하여 제휴 마케팅을 늘려가야 합니다. 현재 주요 RaaS에는 공격 프로그램과 데이터를 공개하는 서버 등 기본적인 장비를 비롯해 몸값 지급에 응하지 않을 때 협박에 쓰는 디도스 공격(DDoS대량 데이터를 보내 시스템을 정지시키는 공격)과 기업 콜센터에 협박 전화를 거는 기능 등을 추가한 것으로 알려졌습니다.
RaaS의 "공격 가이드" 유출
2021년 8월, 불법 거래를 다루는 러시아어의 불법 사이트에서 "Conti"라고 하는 그룹이 운영하는 RaaS 가이드가 공개되는 사건이 일어났습니다. 유출한 제휴 마케팅의 개시에 의하면, "Conti"가 약속한 대로의 성과 보수의 지급에 응하지 않았던 것으로 인한 "보복"이라고 여겨지고 있습니다. 사건의 진위는 모릅니다만, 관계자 사이에서 화제가 된 것은 가이드 내용입니다.
이어 공개된 압축파일은 수십 개의 폴더와 파일로 구성되어 내용은 다양했습니다. 예를 들면 데이터를 암호화하는 프로그램 본체 외에 표적 기업의 보안 진단, Windows Defender 중지, 데이터베이스 복사 및 인증 정보 검출 등에 사용하는 각종 툴, 그리고 백업 파일을 찾는 방법, 해킹에 도움이 되는 정보를 담은 사이트 링크 모음 등도 포함되어 있었습니다.
또한 해외 보안전문가의 분석을 종합하면 "개개의 프로그램, 도구, 조언 집에는 특별히 새로운 것은 없지만 공격에 필요한 요소는 거의 망라되어 있다"라고 집약할 수 있으며, 고도의 전문 지식과 경험을 해야 하는 랜섬웨어는 RaaS에 의해 그 문턱이 현격히 낮아지고 공격자의 규모가 넓어졌다고 할 수 있습니다.
몸값 지불 규제가 강화되다
랜섬웨어의 진정 대책으로는 미국과 유럽을 중심으로 몸값 지급을 규제하는 움직임이 확산하고 있습니다. 몸값은 공격자를 이롭게 되어 영속적인 공격으로 이어지고, 한 번 지급해 버리면 제2 제3의 공격을 받는 경우도 많기 때문입니다. 호주에서는 지급할 때 당국에 보고를 의무화하는 법안이 검토되고, 네덜란드 등에서는 랜섬웨어에 대한 지급을 보험 대상으로 하는 서비스를 금지하는 움직임도 있습니다.
물론, 나쁜 것은 공격자이기 때문에, 어쩔 수 없이 지급에 응한 기업·단체를 일방적으로 비난할 수는 없습니다만 지급을 규제하는 각국의 움직임에 더해 지급에 응해 봐야 데이터를 되찾을 수 있다는 보증은 없다는 점은 인식해야 합니다.
또한 영국의 보안기업이 2021년 발표한 보고서에 따르면, 세계 30개국의 기업·단체를 대상으로 조사한 결과 랜섬웨어의 피해를 본 조직 중 몸값을 지급한 조직은 32%입니다. 이 중 데이터를 완전하게 복구할 수 있던 것은 8% 이하, 거의 반을 되찾을 수 있던 기업은 29% 정도에 머물렀다고 여겨지고 있습니다. 이런 종류의 조사는, 대상국과 조직의 규모·업태에 따라서 숫자에 차이는 있습니다만, 몸값 지급은 보상받지 못하는 경우가 많다고 하는 것은 공통적입니다.
백업 체제 및 모니터링 점검
모든 사이버 공격과 마찬가지로 랜섬웨어에 대해서도 위험을 낮추기 위한 행동이 제시되고 있습니다. 우선 몸값 지급이 아니라 적절한 백업에서 데이터를 복구할 수 있도록 해 두는 것으로 인해 백업만으로 데이터가 공개될 위험성은 낮아집니다. 또한 업무의 조기 복구·계속을 위해서는 적절한 백업과 복구의 훈련은 빠뜨릴 수 없습니다.
그리고 가장 효과적인 대책은 예방 및 침입 방지에 도달할 수 있습니다. 다른 악성코드와 마찬가지로 랜섬웨어의 주요 감염경로도 메일 첨부파일, 유도된 사이트에서의 악성 프로그램 다운로드, VPN 기기의 취약성 등 텔레워크 환경의 약점을 찌른 기업 네트워크로의 침입입니다.
백업 체제 강화와 더불어 로그인 시 다 요소 인증, PC나 서버의 수상한 움직임을 즉시 감지할 수 있는 모니터링 기능 강화, 외부 접속 제한 등 부정 액세스와 악성 프로그램의 혼입을 방지하는 대책 점검이 시급합니다. 그리고 마지막은 사람과 운용입니다. 종업원 각자가 보안대책을 확실히, 계속 실행하기 위한 계발도 계속해 나아가야 합니다.
by Yozawa Shinichi, 번역 전윤경