Home > 전체기사
랜섬웨어 공격자들, 방어자들에게 틈을 주고 있다
  |  입력 : 2020-03-18 10:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
요즘 랜섬웨어 공격자들, 침투 후 3일 동안 정찰에 주력해
근무 외 시간 노리고 랜섬웨어 공격 시작할 때 많아...보안을 24시간 가동해야


[보안뉴스 문가용 기자] 랜섬웨어 공격자들 대부분 본격적으로 파일을 암호화 하기 직전까지 꽤나 여러 날 동안 네트워크를 기웃거린다고 한다. 이를 잘 활용하면 치명적인 피해가 발생하기 전에 방어하는 게 가능하다는 소식이다.

[이미지 = iclickart]


보안 업체 파이어아이(FireEye)가 발표한 보고서에 의하면 “최근 2년 동안 나타난 랜섬웨어 공격 데이터를 분석한 결과 최초 침투 경로와 방법에서 꽤나 많은 공통점이 있었다”고 한다. 또한 “공격자들의 평균 체류 시간과, 랜섬웨어가 본격적으로 가동되기 시작하는 시간에서도 패턴이 나타났다”고 한다.

지난 2년여 동안 발생한 랜섬웨어 사건들 중 대부분에서 공격자들은 최초로 네트워크에 침투한 후 최소 3일 동안은 공격을 실시하지 않았다. 대신 정찰 행위를 통해 가장 핵심적인 부분들을 파악하는 데에 전력을 다했다. 이런 식의 ‘침해 후 정찰’을 곁들인 랜섬웨어 공격이 점점 인기를 끌고 있는데, 그 이유는 보다 확실한 피해를 안겨주고, 그만큼 피해자들이 돈을 낼 확률이 높아지기 때문이다.

파이어아이의 첩보 분석가인 켈리 반덜리(Kelli Vanderlee)는 “공격자들은 그 3일 동안 주로 민감한 데이터나 기밀, 백업 등이 저장되어 있는 시스템을 찾아내는 데에 주력한다”며 “랜섬웨어를 최대한 많이 퍼트릴 수 있게 해주는 네트워크 요소들도 주요 표적”이라고 설명한다. “이렇게 했을 때 피해자들을 조금 더 쥐고 흔들 수 있어 공격자들에게 유리합니다. 수익성도 높아지고요. 랜섬웨어에 외 다른 공격을 실시할 수 있는 기반도 닦을 수 있습니다.”

그러나 역으로 생각하면 공격자들 사이에서 나타나는 이러한 트렌드는 방어자들에게도 좀 더 긴 시간이 주어진다는 것과 같다. 랜섬웨어가 파일들을 암호화 하기 전에 공격 시도 자체를 무력화시킬 수 있다는 것이다. “공격자들의 수상한 행위를 빠르게 알아챌 수만 있다면, 랜섬웨어를 막는 것도 가능합니다.”

반덜리에 의하면 류크(Ryuk) 랜섬웨어 패밀리가 이런 식의 ‘충분한 정찰 후 공격’을 실시하는 대표적인 사례라고 한다. 그 외에 클롭(Clop), 비트페이머(Bitpaymer), 도펠페이머(Doppelpaymer), 로커고가(Lockergoga), 메이즈(Maze), 소디노키비(Sodinokibi) 랜섬웨어도 비슷한 패턴을 보이는 중이라고 한다.

그 외에도 파이어아이는 보고서를 통해 “랜섬웨어 사건 중 76%가 일반적인 근무 시간 외에 발생했다”고도 밝혔다. 이는 랜섬웨어 페이로드가 본격적인 암호화를 실시하는 시간을 의미한다. 공격의 49%는 주중 오전 8시 전이나 오후 6시 이후에 발생했고, 24% 정도만이 근무 시간 동안에 일어났다.

이는 꽤나 당연한 현상이다. “공격자들이 이런 식으로 움직이는 건 쉽게 예상할 수 있습니다. 근무 시간 동안 공격을 실시하면 대응 가능성이 높아진다는 걸 알고 있기 때문입니다. 최대한 사람이 없을 때 공격을 해야 원하는 바를 이룰 수 있게 됩니다.” 반덜리의 설명이다.

반덜리는 “이런 트렌드를 종합해보면 모든 조직들에 긴급 대응 체계가 마련되어야 한다는 걸 알 수 있다”고 정리한다. “보안 기능은 24시간 돌아가야 하며, 이를 통해 어느 시간대에라도 수상한 점을 간파할 수 있어야 합니다. 또한 수상한 점이 실제로 발견되었을 때 취할 수 있는 행동 지침도 미리부터 수립되어 있어야 합니다.”

랜섬웨어 공격자들이 최초 침투에 가장 흔하게 악용하는 건 원격 데스크톱 프로토콜(RDP) 서비스인 것으로 나타났다. 그 외에 악성 파일이나 링크를 피해자에게 보내는 것도 흔히 사용되는 기법이었다. 드라이브 바이 다운로드(drive-by-downloads) 기법도 꽤나 인기가 높다는 것이 이번 조사를 통해 밝혀졌다.

3줄 요약
1. 랜섬웨어 공격자들, 최초 침투 후 평균 3일 동안 정찰해 가장 치명적인 곳 파악함.
2. 게다가 사람이 근무하지 않는 시간대를 주로 노림.
3. 따라서 보안 시스템을 24시간 운영하고, 재빠른 대응 체제를 구축하는 것이 중요.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)