Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

사이버 공격자가 2021년 가장 주목한 표적은 “교육 분야”

지난 2021년에는 교육 및 연구 분야에서 가장 많은 사이버 공격이 발생한 것으로 조사됐다. 체크 포인트 소프트웨어 테크놀로지(Check Point Software Technologies)의 연구 결과, 교육 및 연구 분야의 2021년 사이버 공격은 2020년보다 75% 증가했다. 기업당 매주 약 1,605건의 공격을 받은 셈이었다.   사이버 위협을 증가시킨 코로나19 팬데믹 코로나19 팬데믹으로 많은 기업과 교육 분야의 직원이 재택근무를 하게 됐다. 디지털 기술과 온라인 강좌의 필요성은 자연스럽게 디지털 교육 시장을 활성화했다. 이런 변화로 인해 학습 기회가 증가했지만, 사이버 공격 기회도 덩달아 증가했다. 체크 포인트의 데이터 리서치 매니저 오메르 뎀빈스키는 “원격교육의 확산과 직원이 아닌 사용자가 원격지에서 기업의 시스템에 액세스하는 경우가 많아지면서 사이버 공격에 대한 노출이 확대되고 공격 위험이 증가했다”라고 설명했다. 교육 및 연구 분야 다음으로는 정부와 군 부문에 대한 2021년 사이버 공격이 기관당 매주 1,136건 발생해 2020년보다 47% 증가했다. 정부 기관은 사업의 민감성 때문에 항상 사이버 공격의 주요 표적이 됐다. 하지만 전 세계 정부가 서비스 제공 방식을 온라인으로 전환하면서 사이버 공격자에게 또 다른 공격 지점이 생긴 것이다. 정부 및 군 부문 다음으로는 커뮤니케이션 분야가 사이버 공격을 많이 받은 것으로 조사됐다. 커뮤니케이션 분야에서 발생한 2021년 사이버 공격은 2020년보다 51% 증가해 기업당 매주 1,079건의 공격을 받은 것으로 집계됐다. 컨스텔레이션 리서치(Constellation Research) 애널리스트 리즈 밀러는 교육 분야가 사이버보안을 우선시하지 않았기 때문에 쉬운 표적이 된 것으로 봤다. 밀러는 “코로나19로 인해 교사, 직원, 학생이 가정에서 새로운 기술을 사용하기 위해 강제적으로 CIO가 될 수밖에 없었던 상황이었다. 그동안 학교가 의료기관처럼 강화된 보안 태세와 중요 업데이...

연구결과 보안 랜섬웨어 1일 전

숫자로 보는 2022년 사이버보안 동향 9가지

코로나19 팬데믹이 2년째에 접어들었다. 코로나19가 사람의 개인적 일상과 업무의 모든 측면에 영향을 미쳤다 해도 과언이 아니다. 엔터프라이즈 보안 측면에서도 팬데믹은 많은 것을 바꿔 놓았다.   수많은 근무자가 이제 집안의 와이파이를 통해 기업 네트워크나 클라우드 기반 리소스에 액세스한다. IT 작업자는 원격 액세스를 통해 핵심 시스템의 문제를 해결한다. 공급망이 큰 압박에 휘청거리고, 사이버 공격자는 이런 잠재적 취약점을 지체하지 않고 악용한다.  불행한 일이지만, 2022년에도 사이버 공격의 범위와 수준은 더욱 높아질 것이 분명하다. 2022년 전망되는 사이버보안과 관련한 9가지 동향을 살펴보자.  2022년 사이버보안 동향 9가지 1. 강세 : 랜섬웨어 2. 강세 : 크립토마이닝/크립토재킹 3. 강세 : 딥페이크 4. 강세 : 화상회의 공격 5. 약세 : VPN 6. 강세 : IoT 및 OT 공격 7. 강세 : 공급망 공격 8. 강세 : XDR 9. 약세 : 암호 강세 : 랜섬웨어는 사라지지 않는다 랜섬웨어 공격이 계속해서 증가하고 있으며 누그러질 기미도 보이지 않는다. 사이버보안 전문가 시라 루비노프는 “랜섬웨어 공격은 기하급수적으로 증가했고, 팬데믹으로 인해 온라인 활동과 디지털 환경이 늘어난 만큼 앞으로도 증가할 것이다. 재택근무 전환에 따라 기업은 사이버보안 태세를 서둘러 강화하고 있다. 이제 기업은 안전이 보장되지 않은 환경에서 여러 디바이스로 일과 개인적 활동을 병행하는 직원에 대처해야 한다”라고 말했다. 루비노프는 기업이 피싱 공격 방지에 도움이 되도록 전 직원을 대상으로 교육을 진행하는 등 사이버 위생을 구현하는 데 초점을 두어야 하며, 데이터 보호를 선제적으로 다루고 제로 트러스트 보안 모델 구현을 고려해야 한다고 조언했다. 주요 수치 : 가트너가 최근 발행한 ‘새로운 위험 모니터 보고서(Emerging Risks Monitor Report)’에 따르면, 기업 경영진이 가장 우려하는 것은 ‘새로운 ...

랜섬웨어 크립토재킹 딥페이크 2022.01.13

글로벌 칼럼 | 미국의 랜섬웨어 소탕 작전의 적절성과 효과

최근 미국 사이버 사령부(United States Cyber Command) 및 국가 안보국(National Security Agency) 국장 폴 M. 나카소네는 사이버보안 전문가 대부분이 이미 알고 있는 내용, 즉 미군이 랜섬웨어 공격 집단에 대한 공세적 조치에 관여했음을 확인했다. 2021년 5월 콜로니얼 파이프라인을 비롯해 미국 산업계를 강타하고 수많은 의료 및 교육 기관에 피해를 준 랜섬웨어 공격을 억제하고자 하는 목적이었다.   지난 10월, 사이버 사령부와 FBI 및 동맹국들이 러시아 소재 레빌(REvil) 랜섬웨어 공격 집단이 사용하는 서버 트래픽을 다른 곳으로 돌려 일시적으로 공격 집단을 무력화했다. 레빌은 세계 최대의 육류 가공업체 JBS를 공격해 며칠 동안 육류 생산을 중단시키는 등 지금까지 랜섬웨어 공격을 수차례 감행했다. 사이버 사령부와 NSA의 도움으로 FBI와 법무부는 콜로니얼 파이프라인이 레빌에 지급한 암호화폐 몸값 75BTC(약 400만 달러 상당) 가운데 일부를 압류했다.  나카소네는 콜로니얼 파이프라인과 JBS에 대한 랜섬웨어 공격이 핵심 인프라에 피해를 주었다면서 “지금까지 여러 정부 기관과 함께 조치를 취해 사이버 공격자에게 금전적 타격을 입혔다”라고 말했다. 사이버 사령부가 랜섬웨어 소탕 작전을 처음 시작한 것은 2020년이다. 당시에는 군 당국도 참여했지만 기관 간 조율 없이 각자 활동했으며, 마이크로소프트가 트릭봇(Trickbot) 네트워크를 와해한 것도 초기 랜섬웨어 소탕 작전의 결과였다.  “미군까지 합세한 것은 섣부르다” 바이든 행정부가 추진하는 미국 정부의 다각적 대책에 따라 사이버 작전에 군 개입이 늘었다. 하지만 군대의 지원을 받는 비밀 사이버 작전이 랜섬웨어 공격을 멈추는 데 실질적인 효과가 있는지에 대해서는 의문이 남는다. 미국 국가 안전 보장 회의의 한 관계자는 랜섬웨어 공격 집단이 도피하며 공격이 감소하고 있다고 밝혔지만, FBI는 랜섬웨어 세력이 이대로 잦아들 것...

미국 레빌 랜섬웨어 2021.12.15

용량·속도 늘어난 테이프 스토리지, 옳은 방향으로 가고 있을까?

자기 저장 테이프가 1차 데이터 백업본 저장 장소로 권장되지 않은 지도 상당히 오래되었다. 이러한 상황이 최신 테이프 오픈 표준 LTO-9 등 최근 시장의 움직임에 맞춰 변화할 것인가? 차례로 최신 테이프 드라이브 현황, 경우에 따라 변수가 될 랜섬웨어, LTO-9를 살펴 본다.     테이프 드라이브, 혼자만 너무 빠른가? 80년대와 90년대 초반에는 테이프 드라이브와 백업 인프라의 속도 차이가 거의 없었다. 백업 드라이브의 작성 속도가 백업 시스템의 전송 속도와 맞먹을 정도였다. 그 이후에는 테이프 드라이브의 속도가 월등히 빨라졌다. 불과 몇 달 전에 공개된 LTO-9의 속도는 400Mbps에 달한다. 2000년에 공개된 LTO-1보다 20배 빠르다. 하지만 백업 시스템이 백업하는 파일 시스템과 데이터베이스의 크기도 훨씬 커졌다. 사용자 정보를 보관하는 저장 장치의 속도는 빨라졌지만, 사용자 데이터의 증분 백업은 빨라지지 않았다는 뜻이다. 백업 시스템은 실제 데이터 전송이 아닌 증분 백업할 데이터 파악에 대부분의 시간을 쓴다. 최신 테이프 드라이브 수준에 맞춰 빠른 속도로 전체 백업을 실행하는 것은 가능하지만 대부분 증분식인 백업의 속도는 테이프 드라이브 속도에 비해 턱없이 느리다. 백업 소프트웨어 업체는 멀티플렉싱 같은 기능으로 대응해 왔다. 여러 개의 백업 스트림을 서로 겹쳐서 하나로 만드는 멀티플렉싱으로 속도 문제는 해결되지만 다른 문제가 생긴다. 찾고자 하는 데이터가 필요 없는 백업본과 섞여 있기 때문에 대규모 복원을 할 때 모든 데이터를 읽어내야 하고 그 중 대부분은 버려야 한다. 지난 10~15년에 걸쳐 대부분의 조직에서 테이프를 기본 백업용으로 사용하지 않게 된 이유다. 테이프를 쓴다면 디스크에 먼저 백업한 후 복사하는 용도로 쓴다. 테이프에 복사해 외부에 보관하는 회사도 아직 있지만 그마저도 드물어졌다. 중복 제거 시스템과 클라우드 백업 덕분에 디스크 사용 비용이 계속 줄어들었기 때문이다. 오늘날 테이프를 쓰...

자기저장테이프 테이프드라이브 랜섬웨어 2021.12.15

“기업화되는 랜섬웨어에 대응하라” 랜섬웨어의 현황과 대책 - ITWorld DeepDive

한 전문가는 랜섬웨어를 ‘패션’에 비유했다. 공격 효과가 입증된 랜섬웨어는 곧바로 다른 공격 집단에서도 사용하며, 오래전 등장했던 전술이 계속 진화하고 발전한다. 랜섬웨어 공격은 정부의 대대적인 공세에도 사라지지 않는다. 또한 랜섬웨어 공격 집단은 자신의 생태계를 기업화했다. IT 인프라, 개발, 홍보, 고객지원 등 체계적인 형태를 갖추고 전통적인 기업과 ‘평행세계’를 이루게 된 것이다. 피해 기업은 몸값뿐만 아니라 피해로 인한 숨은 비용까지 감당해야 한다. 하지만 “적을 알고 나를 알면 위태로움이 없다.” 2021년 더욱 정교해진 랜섬웨어 공격 집단의 특성과 공격 방법을 알아보고, 사전 대책은 무엇이 있으며, 랜섬웨어 감염 시 효과적인 대응책과 협상 방법을 정리해 본다. 주요 내용 - “강력하고 대담해졌다” 기업화된 랜섬웨어 집단의 생태계 - 랜섬웨어 위협에 숨어있는 비용 7가지 - 다크사이드 랜섬웨어의 동작 방식과 배후 - RaaS로 성공한 ‘레빌 랜섬웨어’의 주요 동향 및 대응법 - “몸값 지불해도 파일 복구 없다” 콘티에 대해 알아야 할 것 - “침해 사고는 시간 문제” 보안 사고 대응 계획 5단계 - 랜섬웨어 협상 방법과 기업이 해야 할 일

보안 랜섬웨어 레빌 2021.12.08

“앱 하나로 기업 무너뜨린다” 사이드로딩 공격의 A to Z

이메일 관리업체 마임캐스트(Mimecast)의 위협 센터(Threat Center)가 최근 발생한 사이드로딩 악성코드 공격에 대한 보고서를 발간했다. 보고서에 따르면, 이번 공격은 마이크로소프트 스토어에서 다운받을 수 있는 ‘앱 설치 관리자’ 앱을 표적으로 한 공격이었다. 앱 설치 관리자는 사용자가 윈도우 10 앱을 사이드로드할 수 있는 기능을 제공하는 앱이다. 마임캐스트는 이번 공격이 트릭봇(Trickbot)과 바자로더(BazarLoader)를 퍼뜨리는 것으로 알려진 공격자의 소행이라고 추측했다. 트릭봇과 바자로더는 종종 랜섬웨어 공격으로 이어지는 스팸 도구다.   보고서에 담긴 내용은 사이드로딩 공격의 대표적인 사례다. 사이드로딩 공격은 정확히 무엇일까? 사이드로딩 공격의 작동법과 예상되는 피해, 예방 방법 등 사이드로딩 공격에 대한 모든 것을 알아보자. 사이드로딩 공격이란? 네타시아(Netacea)의 위협 연구 책임자 메튜 그레이시 맥민은 “스마트폰 또는 컴퓨터 등의 기기에 애플리케이션을 설치하는 것이 사이드로딩이다. 일반적인 앱 설치와의 차이점은 기기 운영체제의 개발자가 승인하지 않은 애플리케이션을 설치한다는 것에 있다”라고 설명했다.  사이드로딩 공격자는 사용자가 정당하고 신뢰할 만한 애플리케이션을 설치하고 있다고 믿도록 만든다. 하지만 사이드로딩 애플리케이션은 보안 테스트를 거치지 않고, 근본적으로 악의적인 앱일 수 있기 때문에 설치하면 위협에 노출된다. 대다수 기기는 사용자가 메뉴에서 활성화하기 전까지 사이드로딩을 할 수 없지만, 윈도우 10은 사이드로딩을 기본값으로 허용한다. 레드스캔(Redscan) 위협 인텔리전스 책임자 조지 글래스는 “일반적으로 사이드로딩 애플리케이션은 피싱 이메일이나 팝업 광고 등으로 소셜 엔지니어링 공격을 진행한 후 다운로드된다. 혹은 악성코드가 포함되어 있을 수 있는 ‘무료’ 또는 ‘크랙’ 버전의 소프트웨어를 사용자가 직접 다운로드하는 경우도 있다”라고 말했다. 최근 관찰된 사이드로딩 공격의...

사이드로딩 랜섬웨어 2021.12.07

“IT 인프라 보안의 약한 고리는 스토리지 시스템” : 컨티뉴어티 보고서

사이버 보안 업체 컨티뉴어티 소프트웨어(Continuity Software)의 최근 보고서에 따르면, IT 인프라의 3대 구성요소 중 스토리지 시스템이 다른 두 요소, 즉 서버와 네트워크 장비보다 훨씬 더 보안 상태가 취약한 것으로 나타났다. 기업 400곳의 스토리지 장비 데이터를 분석한 컨티뉴어티의 조사에서 스토리지 장비는 평균 15개의 취약점과 관련된 6,300건의 보안 문제가 있는 것으로 드러났다. 조사 대상 스토리지 장비는 브로케이드, 시스코, 델, IBM, 히타치 데이터 시스템, 넷앱 등의 제품이었다.   컨티뉴어티의 CEO 질 헥트는 “IT 인프라의 3대 요소 중 스토리지는 보안과 비즈니스 관점에서 가장 가치가 크다”라며, “스토리지 장비의 보안 취약점과 잘못된 구성은 기업 대상의 랜섬웨어 공격이 증가하는 상황에서 심각한 위협이 된다. 분석에 따르면, 대부분 기업의 스토리지 시스템은 보안 태세가 놀랄 정도로 약하다”고 지적했다. 또 각 기업은 랜섬웨어를 비롯한 사이버 공격으로부터 데이터를 보호하기 위해 백업 시스템은 물론 스토리지를 보호하기 위한 조처를 즉시 실행해야 한다고 덧붙였다. 이번 조사에서 발견된 15개의 주요 취약점 중 3개는 특히 치명적이고 보안 위험성이 매우 높다고 분류된 것이다. 또한 기업의 여러 부서가 제대로 따르지 않은 보안 원칙도 170가지나 되는 것으로 나타났다.   취약한 프로토콜이 포함된 주요 보안 위험 보고서는 취약한 프로토콜이나 프로토콜 설정 사용, 해결되지 않은 CVE(common vulnerabilities and exposure) 취약점, 액세스 권한 문제를 가장 위험한 취약점으로 지목했다. 이외에 주요 취약점은 안전하지 않은 사용자 관리 및 인증, 불충분한 로깅 등과 관련된 것이다. 취약한 프로토콜 사용 문제는 종종 SMB 1이나 NFS 3 같은 스토리지 프로토콜을 비활성화하지 않아서 발생한다. 즉 오래 된 버전의 프로토콜을 사용한 것이다. TLS 1.0/1.2, SSL 2.0/3.0 ...

취약점 프로토콜 SMB 2021.11.26

‘기업 규모 가리지 않는 랜섬웨어’ 최소 대비책은?

필자는 “우리 회사는 너무 작아서 사이버 공격을 당할 일이 없다”라는 말을 수없이 들었다. 하지만 이는 틀린 말이다. 랜섬웨어 공격자에게 크거나 작은 회사는 없다.   사이버 보안 업체 웹루트(Webroot)가 최근 발간한 보고서 ‘랜섬웨어의 숨은 비용’에 따르면, MSP(Managed Service Provider) 85%가 중소규모 업체를 겨냥한 사이버 공격을 보고한 것으로 조사됐다. 높은 수치에도 불구하고, 정작 랜섬웨어 공격을 우려하는 중소규모 업체는 28%에 불과했다. 기업 규모에 상관없이 랜섬웨어 공격은 걱정해야 하는 상황이다. 휴가 비용이 필요한 사람이라면 누구든 랜섬웨어 공격을 시도할 수 있는 시대가 됐기 때문이다. 다크 웹의 서비스형 랜섬웨어(ransomware-as-a-service) 덕분에 약간의 비트코인만 있으면 기업을 혼란에 빠뜨리기 충분하다. 보안 업체 소포스(Sophos)에 따르면, 서비스형 랜섬웨어는 전체 랜섬웨어 공격의 60%를 차지하고 있다. 랜섬웨어 공격자 사이에 신뢰 문제가 있다는 것은 아이러니하지만, 그러는 동안에도 랜섬웨어 공격은 계속되고 있다.  간단한 사실이다. 뉴스 헤드라인을 장식할 만큼의 몸값을 요구 받을 일이 없는 중소규모 기업이라도 랜섬웨어 공격으로 몇 주간의 노동력과 수만 달러의 비용을 낭비할 수 있다.   웹루트 보고서에 따르면, 랜섬웨어 공격을 받은 기업의 64%가 업무 중단을 경험했으며, 45%는 업무 중단으로 인해 사업이 위기를 겪을 정도였다고 답했다. 업무 중단으로 인한 손실액은 지난 2020년 4만 7,000달러에서 2021년 14만 1,000달러로 증가했다. 이는 랜섬웨어 공격의 평균 몸값인 6,000달러를 제외한 금액이다. 랜섬웨어 공격으로부터 살아남을 방법은 무엇일까? 사이버리즌의 최근 설문조사 결과를 보면, 응답자의 절반가량이 랜섬웨어 공격에 대응할 만한 도구를 보유하지 않은 것으로 나타났다. 특히 휴일에 발생하는 공격에 취약했다. 추수감사절을 보낸 후...

랜섬웨어 보안 보안대책 2021.11.24

미 법무부, 랜섬웨어 그룹 레빌 관련 2명 기소 및 612만 달러 압류

랜섬웨어 공격집단 소디노키비(Sodinokibi)/레빌(REvil)에 대한 미국 백악관 랜섬웨어 이니셔티브의 조사가 결실을 맺었다. 미국 법무부는 지난 8일 소디노키비/레빌 관련자 야노슬라프 바신스키와 예브게니 폴리아닌을 기소하고 612만 달러를 압류했다.   미국 법무부와 FBI, 재무부에 따르면, 폴란드 정부는 미국 정부의 요청에 따라 바신스키를 체포했다. 미국 법무부는 랜섬웨어 및 디지털 갈취 태스크포스(Ransomware and Digital Extortion Task Force)의 수사로 바신스키를 체포할 수 있었다고 밝혔다. 특히 마이크로소프트와 맥아피, 비트디펜더 등 민간 기업도 수사에 실질적인 역할을 했다. 러시아 국적의 폴리아닌은 아직 체포되지 않았다. 다만 텍사스 북부 지방 법원 판사 레베카 러더퍼드가 발부한 ‘재산권 확보’ 영장에 따라 미국 정부는 지난 9월 10일 폴리아닌의 가상통화 거래소 FTX 계정에서 612만 3,652달러를 압류했다. 바신스키는 지난 10월 8일 우크라이나에서 폴란드로 이동한 후 체포됐으며, 아직 폴란드에 구금되어 있다. 미국과의 범인 인도 조약에 따라 곧 미국으로 송환될 예정이다. 지난 11월 4일에도 레빌 관련자 두 명이 루마니아에서 체포되었으나 아직 정확한 신원은 공개되지 않았다. FBI 국장 크리스포터 레이는 “야노슬라프 바신스키의 체포와 예브게니 폴리아닌에 대한 고소 및 610만 달러 압류, 추가 관련자 2명 체포는 국제적인 공조와 미국 정부, 특히 민간 기업과의 협력으로 이뤄낸 성과다. FBI는 사이버 범죄자에 대응하기 위해 창의인 방법으로 거침없이 수사를 진행했다. 레빌과 같은 랜섬웨어 공격집단은 국민의 안전과 경제 복지에 심각하고 용납할 수 없는 위험을 끼친다. FBI는 사이버 공격 단체의 움직임과 조력자, 인프라, 자금 등을 계속해서 추적할 예정이다”라고 밝혔다. 바신스키가 우크라이나에서 폴란드로 이동한 이유를 묻자 레이는 “개인은 다양한 이유로 여행을 한다. FBI는 바신스키가 ...

레빌 FBI 랜섬웨어 2021.11.09

“몸값을 지불해도 복구시켜주지 않는” 콘티 랜섬웨어에 대해 알아야 할 것들

콘티(Conti) 랜섬웨어 그룹은 피해자가 암호화된 파일을 복구하는데 도움을 주지 않고 데이터를 유출할 가능성이 더 높다.    콘티는 지난 2년 동안 공격적인 랜섬웨어 가운데 하나였으며, 많은 대기업과 정부, 법 집행기관, 의료 기관을 지속적으로 공격하고 있다. 보안 연구원들은 일반적으로 랜섬웨어 그룹이 평판에 신경을 쓰는 것과는 달리, 콘티는 피해자와의 약속을 항상 이행하지는 않는다고 경고했다.  팔로알토 네트웍스(Palo Alto Networks) 연구진은 한 분석 보고서에서 “일반적으로 성공적인 랜섬웨어 운영자는 피해자로부터 몸값 지불을 용이하게 하는 방법으로 어느 정도 ‘진실성’을 확보하고 유지하기 위해 많은 노력을 기울인다. 랜섬웨어 공격자는 ‘고객 서비스’로 신뢰를 쌓기 위해 피해자가 몸값을 지불하면 암호화된 파일을 해독하고 유출 웹사이트에 정보를 게시하지 않겠다는 약속을 이행하려 한다. 하지만 지금까지 콘티는 피해자에 대한 평판에 신경을 쓰지 않았다”라고 밝혔다.  2019년 말에 처음 등장한 콘티는 점차 성장을 거듭해 주요 RaaS(ransomware-as-a-service) 가운데 하나가 됐다. 이 그룹은 위자드 스파이더(Wizard Spider)로 알려진 러시아 사이버범죄 그룹이 운영하는 류크(Ryuk) 랜섬웨어와 관련이 있는 것으로 추정된다. 미국 CISA(Cybersecurity and Infrastructure Security Agency)와 FBI는 최근 경보에서 미국 및 국제 조직에 대한 400건 이상의 공격에서 콘티 랜섬웨어가 사용된 것을 관찰했다고 밝혔다. 사이버범죄 정보업체인 레코디드 퓨처(Recorded Future)에 따르면, 콘티는 2021년 9월 록빗(LockBit) 다음으로 많은 피해자를 낸 랜섬웨어 변종이다.  또한 콘티의 운영 방식은 다른 RaaS 그룹과 조금 다르다. 대부분의 그룹은 협력자(affiliates)라 부르는 파트너와 함께 피해자를 해킹하고 몸값 지...

콘티 Conti 랜섬웨어 2021.10.29

랜섬웨어 보험 청구 감소, 사이버 보험 시장에 큰 파장 예상

최근 한 연구에서 랜섬웨어 공격 및 보험금 지급 청구에 관한 변동이 발견됐다. 분명 사이버 위협 환경에 큰 변화가 생길 것으로 예상된다. 이런 변동이 사이버 보험 시장의 변화를 유도한다면 보험회사를 비롯한 기업 전반에 어떤 영향을 미칠지 살펴보자.     보험 청구 비용에 영향을 주는 랜섬웨어 우선순위 변경 이번 연구는 코버스 보험(Corvus Insurance)의 리스크 인사이트 인덱스에서 살펴볼 수 있다. 이 보고서에 따르면, 현재 랜섬웨어 보험 청구 비용이 눈에 띄게 변동되고 있다. 코버스는 랜섬웨어 보험 청구가 2020년 2분기부터 2021년 1분기까지 증가했지만 2021년 2분기에는 50%까지 감소했고, 이런 추세는 2021년 3분기까지 지속됐다는 사실을 발견했다. 또한 몸값 지불로 이어진 랜섬웨어 보험 청구는 2020년 3분기에는 44%였지만 2021년 3분기에 12%로 감소했다. 코버스는 이런 변화가 더욱 효율적인 랜섬웨어 복구를 가능하게 하는, 효과적인 데이터 백업 관리와 같은 전략으로 보험 계약자의 준비성과 회복력에 중점을 두면서 생긴 것으로 추정된다고 밝혔다. 또한 대규모 클라이언트를 보유한 IT 업체가 운영 중단으로 인한 법적 책임을 피하기 위해 랜섬웨어 공격을 예방하고 회복하는 데 더 주의를 기울이고 있다고 덧붙였다. 예컨대 250인 이상 기업의 경우, 기술 업체를 고소할 확률이 10인 이하 기업보다 216% 더 높으며, 11~50인 기업에 비해서는 2배 높은 것으로 나타났다.   랜섬웨어 트렌드 변화가 사이버 보험에 영향을 미칠까? 이런 랜섬웨어 보험 청구 트렌드의 변화가 미래 사이버 보험 시장에 어떻게 영향을 미칠까? 가격 정책이 랜섬웨어 공격과 몸값 요구의 감소 추세를 반영하는 방향으로 바뀔까? 더 나아가 랜섬웨어 예방과 복구에 더 중점을 둔다면 더 나은 거래로 보상을 받을 수 있을까? 코버스의 최고 보험 책임자 로리 베일리는 "이런 추세에 관한 전반적인 비즈니스 연속성 전략은 사이버 보험 시장에서 ...

보안 랜섬웨어 보험 2021.10.22

미국 주도의 랜섬웨어 이니셔티브, 그 희망과 과제

미국 주도의 랜섬웨어 이니셔티브는 30여 개국이 랜섬웨어와의 전쟁에서 협력하기 위한 방안에 대해 논의하고 있는데, 러시아 주도의 UN 이니셔티브와 경쟁하고 있다.    최근 미국 백악관 국가안보회의(National Security Council, NSC) 주최로 열린 랜섬웨어 대응 이니셔티브(Counter-Ransomware Initiative) 행사가 이틀 간의 공개 세션과 비공개 세션을 끝마쳤다. 이 행사에는 EU를 비롯한 30여 개국의 장관들과 대표가 참석했다.   흥미롭게도, 사이버 범죄자들은 러시아 이외 국가들의 표적에 대해 랜섬웨어 및 악성코드 공격을 실행하는 경우가 많은 데, 은신처 역할을 하는 것으로 추정되는 러시아는 이번 회의에서 제외됐다. 미 백악관은 “러시아가 러시아 내의 범죄 행위자들이 벌이는 공격 행위에 대해 조치를 취할 것을 기대하고 있다. 전문가 그룹은 ‘솔직하고 전문적인 교류’를 해오고 있으며, 미국은 자국 영토에서 행해지는 랜섬웨어 활동과 관련해 러시아와 정보를 공유했다”라고 언급했다.   그렇다고 러시아가 사이버보안에 대한 국제적 논의를 하지 않으려는 것은 아니다. 러시아는 국제적인 논의를 형성하기 위해 노력하고 있으며, UN 내에서 사이버 범죄 조약 체결을 주도하고 있다. 2021년 5월 임시 위원회에서 2022년 1월 시작하는 6일 간의 회의를 개최하는 요구 결의안을 통과시켰다.  랜섬웨어 공격 중단을 위한 협력  조 바이든 미국 대통령은 사이버보안 인식의 달(Cybersecurity Awareness Month) 담화에서 밝힌 ‘악의적인 사이버 활동을 중단하기 위해 역량을 총동원하는 것’에 대한 중요성을 강조했다. 특히 네트워크 탄력성 향상을 위해 협력하고, 랜섬웨어 수익성을 높이는 금융 시스템 해결, 법 집행 기관들의 협력을 통해 랜섬웨어 생태계 붕괴, 외교 활동을 통한 범죄자의 은신처 해결을 위한 여러 국가 간의 협력을 향상시키는 것이 목적이다. 채택된 4가지...

랜섬웨어 2021.10.20

RaaS로 성공한 '레빌 랜섬웨어'의 주요 동향과 이를 막는 방법

레빌(Revil)은 서비스로서의 랜섬웨어(Ramsomware as a Service, RaaS) 공격으로, 지난 해 전 세계 많은 기업들의 돈을 강탈했다. 레빌의 이름은 영화 레지던트 이블(Resident Evil)을 모티브로 한 랜섬웨어 이블(Ransomeware Evil)을 의미한다. 보안업체들이 발행한 최근 보고서에서 따르면, 레빌은 가장 널리 퍼진 랜섬웨어 위협이며, 이 공격 집단은 비즈니스 데이터까지 훔쳐 이를 공개하겠다고 위협함으로써 강탈 활동을 배가시켰다.    소디노키비(Sodinokibi)라고도 알려진 레빌은 2019년 4월 처음 출현했고, 갠드크랩(GranCrab)이라는 다른 RaaS 범죄 집단이 활동을 중단한 후 유명세를 타기 시작했다. 그래서 레빌이 처음 출현했을 때 여러 전문가와 보안업체는 이 집단이 갠드크랩의 변종이거나 최소한 연관성이 있다고 주장했다. 소디노키비의 구성원으로 추정되는 언노운(Unknown)이라는 인물은 최근 인터뷰에서 레빌이 새로운 창작물이 아니고, 이들이 입수한 오래된 코드베이스를 기반으로 만들어졌음을 확인해주었다.   RaaS 공격의 배후에 있는 개발자는 이른바 ‘협력자’라고 알려진 사이버 범죄자에 의존해 랜섬웨어를 유포한다. 랜섬웨어 개발자는 불법 수익금의 20~30%를 가져가고, 나머지는 실질적으로 기업 네트워크에 접근하고 악성코드를 전개하는 일을 하는 ‘협력자’가 가져간다.  RaaS 공격이 성공적일수록 유능한 협력자를 유인할 가능성이 높아지고, 한 공격이 끝나면 협력자는 신속히 다른 공격으로 넘어간다. 이는 과거 갠드크랩(GandCrab)에서 나타났고, 최근에는 메이즈(Maze)에서 그러했다. 이 구성원들이 갠드크랩 활동 중단을 발표하자, 협력자들은 에그리거(Egregor), 또는 세크메트(Sekhmet)라고 알려진 새로운 랜섬웨어로 신속히 이동했다. 2021년 7월, 레빌 협력자는 카세야(Kaseya)라는 업체가 개발한 시스템 관리 및 모니터링 도구의 제로데이 취...

레빌 랜섬웨어 RaaS 2021.10.15

“베테랑의 귀환” 랜섬웨어 대응책으로 활용하는 테이프 백업

테이프 백업은 분명 데이터 복구를 위한 최고의 선택은 아니다. 하지만 테이프 백업의 몇 가지 특징은 랜섬웨어의 피해자가 된 시스템과 데이터를 인질 비용 없이도 복구할 수 있는 믿을 만한 방안을 제공한다. 물론, 일반적인 복구 툴로는 클라우드가 더 많은 장점이 있다. 하지만 테이프 백업을 진지하게 고려해야 할 환경이 있으며, 랜섬웨어도 그 중 하나이다.     클라우드로는 충분하지 않을 때 랜섬웨어 복구용으로 클라우드를 사용하는 것은 많은 영역에서 믿음에 대한 이야기가 되었다. 클라우드를 선택하면 비용부터 속도, 즉각적인 가용성 등 많은 긍정적인 효과를 얻을 수 있는데, 모두 랜섬웨어 공격에 대응할 때 유리한 요소다. 하지만 클라우드를 신뢰하지 않은 산업군에 있는 기업은 다르다. 특히 일부 정부기관은 데이터에 대한 직접적인 통제를 절대로 포기하지 않으려 한다. 전자적으로, 그리고 물리적으로 직접 관리할 수 있는 데이터 사본이 손에 있어야만 한다. 눈에 보이는 강철 케이지에 넣어두어야 비로소 물리적으로 안전하다고 생각한다. 클라우드는 보이지 않으니, 안전하지 않은 것으로 간주한다. 또 어떤 조직은 일부 애플리케이션은 클라우드 사용을 허용하지만, 데이터 보호에 적합하다고 생각하지는 않는다.   디스크의 위험성 오래 전 테이프 백업 솔루션 업체의 슬로건은 “디스크에 있는 것이 리스크”였다. “테이프는 형편없다. 옮겨야 한다”라는 디스크 솔루션 업체의 광고에 대응한 것이었지만, 디스크와 리스크 간의 관계는 일부 사실이다. 만약 백업이 데이터센터의 디스크 드라이브에 있고, 백업 서버 운영체제의 파일 시스템으로 액세스할 수 있다면, 똑같이 랜섬웨어에 의해 공격당할 수 있다. 불변성을 갖춘 파일 시스템이라 하더라도 해커가 루트 또는 관리자 같은 특권 계정을 가지고 있으면, 덮어쓰기를 할 수 있다. 테이프 솔루션 업체의 주장이 맞았다. 데이터가 데이터센터의 디스크에 있으면, 공격받을 수 있다.   진정한 에어갭을 제공하는 테이프 백업...

테이프백업 랜섬웨어 복구 2021.09.30

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.