랜섬웨어 버그 찾아주면 '포상금'?…대담해진 랜섬웨어 조직
등록 2022.09.22 09:37:54수정 2022.09.22 09:54:13
'KARA', 랜섬웨어 동향 보고서서 지적
락빗3.0, 랜섬웨어 최초로 버그바운티 프로그램 도입
원격 근무 환경 노려 기업 네트워크 침투…공격 대상 확대하며 랜섬웨어 고도화
코로나19 이후 조직화된 서비스형 랜섬웨어 위협 ‘최고조’…종합적인 대응 촉구
민간 랜섬웨어 대응 협의체(KARA)는 랜섬웨어 동향 보고서를 통해 진화하는 랜섬웨어에 대한 대응을 촉구했다. (사진=민간 랜섬웨어 대응 협의체 제공) *재판매 및 DB 금지
[서울=뉴시스]송종호 기자 = 최근 랜섬웨어 조직이 버그바운티(보안 취약점 신고 포상 제도)까지 도입, 공격 프로그램 공격 완성도를 높이고 있는 것으로 나타났다. 점점 랜섬웨어 범죄조직이 전문화·고도화·대형화 되고 있음을 방증한다.
22일 민간 랜섬웨어 대응 협의체(KARA)가 발표한 랜섬웨어 동향 보고서에 따르면, 지난 2019년 첫 등장했던 서비스형 랜섬웨어(RaaS) 락빗이 올해 7월 3.0버전으로 업그레이드되면서 랜섬웨어 조직이 버그바운티 프로그램을 내놨다. 버그바운티 제도는 자사의 소프트웨어에 대한 버그나 취약점을 알려주면 포상을 지급하는 프로그램으로 랜섬웨어 조직이 공개적으로 이 프로그램을 도입한 건 처음이다.
KARA는 SK쉴더스의 주도로 구성된 랜섬웨어 대응 민간 협의체로, 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여중이다. 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유를 통해 사고 접수와 대응, 복구, 대책 등을 제공하고 있다.
랜섬웨어는 매년 공격 대상과 전략, 몸값 요구 방법 등이 다양해지면서 피해 규모가 기하급수적으로 증가하고 있다. 여기에 코로나19로 증가한 원격 근무 환경을 노린 공격이나 취약한 가상사설망(VPN) 등을 악용해 기업 네트워크에 침투한 후 피해 규모를 확대시키는 공격이 지속적으로 발생하고 있다. 특히 최근에는 개발자가 랜섬웨어를 제작해 판매하고 공격자는 이를 구매해 유포하는 형태로 공격에 성공할 경우 수익을 나눠가지는 서비스형 랜섬웨어(RaaS)가 증가하고 있다.
우선 KARA는 가장 주의해야할 랜섬웨어 조직으로 ‘비너스락커(VenusLocker)’를 꼽았다. 비너스락커는 2016년부터 ‘스피어 피싱’ 공격 방법을 사용해 랜섬웨어를 유포하며 활동을 시작해왔다. 스피어피싱은 특정 개인·회사를 대상으로 한 해킹 방법으로 공격 대상에 대한 정보를 사전에 충분히 수집한 후 정밀하게 공격하는 방식을 말한다.
이 조직은 공공기관을 사칭하거나 입사지원서 관련 이력서, 포트폴리오 등의 메일로 위장해 첨부파일에 랜섬웨어를 유포하며 활동을 이어 나가고 있다. 최근에는 락빗 랜섬웨어를 3.0 버전으로 업데이트하며 버그바운티를 도입하고 복호화 지불 방법을 다양화하는 등 공격 방법을 다각화하고 있다.
KARA는 2017년 발생해 꾸준히 변종이 발견되고 있는 포보스(Phobos) 랜섬웨어와 최근 국내 기업만을 겨냥해 화제가 된 ‘귀신’ 랜섬웨어에 대해서도 분석했다. 이들은 공통적으로 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 내부 인프라에 침입, 데이터를 암호화해 시스템을 마비시킨 것으로 조사됐다. 이후 데이터를 유출하겠다는 협박을 통해 공격을 수행하는 정밀하고 고도화된 전략을 사용하고 있는 것으로 나타났다.
KARA는 이같은 랜섬웨어 피해를 예방하기 위해서 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 미리 탐지하고 차단해야 한다고 강조했다.
먼저, 기업 내부의 네트워크와 인프라 자산 등에 대한 관리가 체계적으로 이뤄져야 하며 사고 발생 시 대응 프로세스가 수립돼야 한다. 이를 위해 ▲네트워크 침입 탐지 및 차단 시스템 도입 ▲엔드포인트 침입 탐지 및 대응(EDR) 솔루션 구축 ▲네트워크 내 접근 최소화 ▲정기적인 보안 교육 및 모의 훈련 등 종합적인 대책이 마련돼야 한다. 또 백업 장비에 보안 시스템과 망분리가 적용된 ‘보안 백업’ 솔루션을 도입해 정기적으로 데이터를 백업하고 내부 데이터를 보호하는 방안을 고려할 수 있다.
KARA는 앞으로도 랜섬웨어 동향 분석 보고서를 주기적으로 발행하고 정기적인 세미나, 대외 홍보활동을 이어 나갈 예정이다. 주요 랜섬웨어 그룹 및 해당 악성코드를 주기적으로 분석하는 활동을 통해 랜섬웨어 통합 대응 프로세스 또한 고도화해 나간다는 계획이다.
김병무 SK쉴더스 김클라우드사업본부장은 “최근 랜섬웨어 공격자들은 조직적인 시스템을 갖춰 표적 공격을 수행하며 수십억 원의 몸값을 요구하는 등 랜섬웨어 공격이 심각한 사회적 문제로 이어지고 있다”며 “KARA는 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련하고 주요 랜섬웨어 정보와 대비책을 공유하는 활동을 지속적으로 이어 나갈 것”이라고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
