Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

콘티

글로벌 칼럼 | 라틴 아메리카 사례를 통해 살펴보는 사이버보안의 3가지 기반

최근 라틴 아메리카 지역에서 사이버 공격이 증가하고 있다. 멕시코 대통령 로페스 오브라도르는 정보부와 군대에 대한 민감한 공격이 있었음을 확인했다. 칠레 군대와 사법 시스템, 콜롬비아 국립식품의약품감시원(Instituto Nacional de Vigilancia de Medicamentos y Alimentos, INVIMA)도 비슷한 공격을 받았다. 올해 대규모 랜섬웨어 공격을 받은 코스타리카에서는 보건부의 시스템을 침해하려는 시도가 있었다.   왜 라틴 아메리카를 공격하는가 라틴 아메리카가 사이버 공격의 표적이 되는 이유에 대해서는 여러 이론이 제기되고 있다. 공격 배후에 있는 그룹 중 하나인 과카마야(Guacamaya)는 해당 지역의 천연자원을 착취하는 서방 기업을 "사보타주"하려는 의도라고 주장한다. 라틴 아메리카에서 활동하는 또 다른 범죄 집단 콘티(Conti)는 러시아와 연관되어 있다. 이들의 공격은 러시아가 우크라이나와 그 동맹국의 주요 인프라 시설에 대규모 사이버 공격을 계획하고 있으며, 라틴 아메리카가 테스트 또는 시나리오 지역으로 사용될 수 있다고 한 우크라이나 국방부의 최근 발표와 시기적으로 부합한다. 선진국들은 외부의 위협 행위자가 민간 기업을 포함해 국가와 경제의 안정에 큰 영향을 미칠 수 있다는 점을 잘 이해하고 있다. 대표적으로 미국, 유럽 연합 및 영국 같은 국가는 지난 몇 년 동안 비즈니스 및 중요 인프라에 대한 사이버 공격의 위험을 완화하도록 설계된 정책과 규정을 마련했다. 또한 이들은 기업과 정부 기관이 스스로를 보호하기 위해 갖추어야 할 기술적 능력에 대한 지침도 발표했다. 하지만 라틴 아메리카는 상황이 다르므로 접근 방법도 달라야 한다. 라틴 아메리카의 정부와 민간 기업 리더가 사이버 공격 위험을 완화하기 위해 취해야 하는 3가지 조치를 살펴보자.  1. 사이버보안에 재정 자원 할당 현재까지 라틴 아메리카의 15개국은 국가 차원의 사이버 보안 전략을 개발했지만, 이 전략에 따른...

보안 라틴아메리카 사이버공격 2022.10.11

록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다.  조사 기간 동안 록빗을 사용한 공격은 총 208건이었다. 보고서에 따르면 록빗은 버그 바운티 프로그램을 운영하면서 공격으로 얻은 수익의 일정 비율을 사용료로 지불하며, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 소프트웨어 사용을 제한하는 등 상당히 체계적인 구조를 가지고 있다.  2분기에 새로 등장한 공격 그룹 블랙바스타(Blackbasta)는 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 또한 콘티 랜섬웨어라는 그룹은 지난 5월 없어져 2분기 공격 횟수가 감소했지만, 조사 기간 동안의 공격 횟수는 록빗2에 이어 2위에 오를만큼 많았다. 콘티는 공격적인 접근 방식과 더불어 일반적인 대형 랜섬웨어 그룹과 달리 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를...

랜섬웨어 록빗 콘티 2022.07.25

콘티, 러시아 정부 지지에 따른 주요 인프라 공격 태세 선언

러시아 군대가 우크라이나를 침공 중인 가운데, 콘티(Conti) 랜섬웨어 배후의 악명 높은 사이버 범죄 단체가 러시아 정부를 전면 지지하겠다고 선언했다. 러시아에 사이버 공격이나 전쟁 행위를 개시하는 모든 국가 및 기업의 주요 인프라를 공격하겠다고 위협했다. 이런 움직임은 핵티비스트 단체인 어나니머스(Anonymous)와의 연계성을 주장하는 수많은 트위터계정이 러시아 정부를 상대로 사이버 전쟁을 선포하고 러시아 투데이(RT)와 크렘린, 러시아 국방부 웹사이트에 대한 DDoS 공격이 자신의 소행이라고 밝힌 이후에 보인 것이다. 이처럼 서로 반대 진영을 지지하는 핵티비스트와 사이버 범죄 단체의 충돌은 파상 공세로 확대되거나 정부기관이 지시한 파괴적 사이버 행위를 위장할 목적으로도 활용될 수 있다.     콘티란 무엇인가 콘티 랜섬웨어는 2018년 이후 회사와 정부 기관 수백 곳을 공격한 악명 높은 류크(Ryuk) 랜섬웨어의 후계자이다. 보안 업계는 콘티와 류크 모두 위저드 스파이더(Wizard Spider)라는 사이버 범죄 단체가 만든 것으로 파악하고 있다. 위저드 스파이더는 류크 배포에 자주 사용된 트릭봇(TrickBot) 봇넷의 배후에 있기도 하다. 9월 사이버 보안 및 인프라 보안국(CISA)과 연방수사국(FBI)의 경고에 따르면, 콘티는 미국과 국제 기관을 표적으로 삼은 400여 건의 공격에 사용됐다. 콘티도 류크처럼 수동으로 배포되는 랜섬웨어 프로그램이다. 해커가 기관에 침투한 후 잠행 수동 기법으로 수평 이동해 환경에서 관리 권한을 확보한다. 즉, 이들 집단은 정교한 공격 개시에 필요한 기술을 보유하고 있는 것이나 다름없다. 2월 25일 콘티는 피해자 관련 정보를 게시하고 데이터 유출로 피해자를 위협하는 데 사용하는 웹 사이트를 통해 “콘티는 러시아 정부에 대한 전면 지지를 공식 선언한다. 누구든 러시아에 사이버 공격이나 전쟁 행위를 개시할 경우, 우리는 최대한 모든 자원을 동원해 적의 주요 인프라에 반격을 가할 것이다”라고...

콘티 류크 인프라공격 2022.03.02

“기업화되는 랜섬웨어에 대응하라” 랜섬웨어의 현황과 대책 - ITWorld DeepDive

한 전문가는 랜섬웨어를 ‘패션’에 비유했다. 공격 효과가 입증된 랜섬웨어는 곧바로 다른 공격 집단에서도 사용하며, 오래전 등장했던 전술이 계속 진화하고 발전한다. 랜섬웨어 공격은 정부의 대대적인 공세에도 사라지지 않는다. 또한 랜섬웨어 공격 집단은 자신의 생태계를 기업화했다. IT 인프라, 개발, 홍보, 고객지원 등 체계적인 형태를 갖추고 전통적인 기업과 ‘평행세계’를 이루게 된 것이다. 피해 기업은 몸값뿐만 아니라 피해로 인한 숨은 비용까지 감당해야 한다. 하지만 “적을 알고 나를 알면 위태로움이 없다.” 2021년 더욱 정교해진 랜섬웨어 공격 집단의 특성과 공격 방법을 알아보고, 사전 대책은 무엇이 있으며, 랜섬웨어 감염 시 효과적인 대응책과 협상 방법을 정리해 본다. 주요 내용 - “강력하고 대담해졌다” 기업화된 랜섬웨어 집단의 생태계 - 랜섬웨어 위협에 숨어있는 비용 7가지 - 다크사이드 랜섬웨어의 동작 방식과 배후 - RaaS로 성공한 ‘레빌 랜섬웨어’의 주요 동향 및 대응법 - “몸값 지불해도 파일 복구 없다” 콘티에 대해 알아야 할 것 - “침해 사고는 시간 문제” 보안 사고 대응 계획 5단계 - 랜섬웨어 협상 방법과 기업이 해야 할 일

보안 랜섬웨어 레빌 2021.12.08

“몸값을 지불해도 복구시켜주지 않는” 콘티 랜섬웨어에 대해 알아야 할 것들

콘티(Conti) 랜섬웨어 그룹은 피해자가 암호화된 파일을 복구하는데 도움을 주지 않고 데이터를 유출할 가능성이 더 높다.    콘티는 지난 2년 동안 공격적인 랜섬웨어 가운데 하나였으며, 많은 대기업과 정부, 법 집행기관, 의료 기관을 지속적으로 공격하고 있다. 보안 연구원들은 일반적으로 랜섬웨어 그룹이 평판에 신경을 쓰는 것과는 달리, 콘티는 피해자와의 약속을 항상 이행하지는 않는다고 경고했다.  팔로알토 네트웍스(Palo Alto Networks) 연구진은 한 분석 보고서에서 “일반적으로 성공적인 랜섬웨어 운영자는 피해자로부터 몸값 지불을 용이하게 하는 방법으로 어느 정도 ‘진실성’을 확보하고 유지하기 위해 많은 노력을 기울인다. 랜섬웨어 공격자는 ‘고객 서비스’로 신뢰를 쌓기 위해 피해자가 몸값을 지불하면 암호화된 파일을 해독하고 유출 웹사이트에 정보를 게시하지 않겠다는 약속을 이행하려 한다. 하지만 지금까지 콘티는 피해자에 대한 평판에 신경을 쓰지 않았다”라고 밝혔다.  2019년 말에 처음 등장한 콘티는 점차 성장을 거듭해 주요 RaaS(ransomware-as-a-service) 가운데 하나가 됐다. 이 그룹은 위자드 스파이더(Wizard Spider)로 알려진 러시아 사이버범죄 그룹이 운영하는 류크(Ryuk) 랜섬웨어와 관련이 있는 것으로 추정된다. 미국 CISA(Cybersecurity and Infrastructure Security Agency)와 FBI는 최근 경보에서 미국 및 국제 조직에 대한 400건 이상의 공격에서 콘티 랜섬웨어가 사용된 것을 관찰했다고 밝혔다. 사이버범죄 정보업체인 레코디드 퓨처(Recorded Future)에 따르면, 콘티는 2021년 9월 록빗(LockBit) 다음으로 많은 피해자를 낸 랜섬웨어 변종이다.  또한 콘티의 운영 방식은 다른 RaaS 그룹과 조금 다르다. 대부분의 그룹은 협력자(affiliates)라 부르는 파트너와 함께 피해자를 해킹하고 몸값 지...

콘티 Conti 랜섬웨어 2021.10.29

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.