Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

DFIR 전문가 “랜섬웨어, 엔드포인트 위협이 가장 큰 보안 문제”

2020년 3월 코로나19 팬데믹 이후 증가한 랜섬웨어 공격은 여전히 큰 문제다. 그러나 위협은 랜섬웨어뿐만이 아니다. IDC와 마그넷 포렌식(Magnet Forensics)의 조사에 따르면, 사이버보안 기술 격차와 사이버 위험의 증가로 인해 보안에 대한 우려가 더욱 커지고 있다. IDC와 마그넷 포렌식은 ‘엔터프라이즈 DFIR 현황(State of Enterprise DFIR)’ 보고서에서 하이브리드 근무의 확산과 DFIR(Digital Forensics and Incident Response)팀이 다루는 데이터량의 증가가 기업에 미친 영향을 조명했다. 연구팀이 산업 전반에 걸친 DFIR의 글로벌 현황에 대해 평가한 결과, 가장 눈에 띄는 분야는 금융 서비스와 의료 및 기술 분야로 나타났다.   BYOD와 모바일 기기 및 클라우드 인프라와 관련된 근무 환경 시나리오에는 이제 매개변수가 필요하지 않다. 이 같은 하이브리드 근무환경은 위협 행위자에게 더 큰 공격 표면을 제공한다. 마찬가지로 노트북이나 모바일 기기와 같은 BYOD 기기는 관리자의 보호를 받지 않는 경우가 있으므로 데이터 침해나 내부자 위협에 노출되기 쉽다. 실제로 금융 산업에 종사하는 응답자의 38%는 내부자 위협을 가장 큰 보안 문제로 꼽았다. 마그넷 포렌식 CEO 아담 벨셔는 “내부자 위협에 대응하는 가장 좋은 전략은 예방 조치와 대응 조치의 결합이다. 탄탄한 데이터 손실 방지 프로그램을 마련하면 발생할 수 있는 데이터 침해나 탈취를 방지하고, 원격 에이전트의 디지털 포렌직 툴을 사용해 조사까지 할 수 있다”라고 말했다.  필요 및 예상되는 DFIR 자원 증가 보고서는 약 500명의 DIFR 전문가를 대상으로 증가하는 사이버 위협과 다양한 기업 내 DFIR의 현황을 자세히 조사했다. 주요 조사 결과는 다음과 같다.    응답자의 59%는 DFIR 부문에 상당한 투자가 있을 것으로 예상함 응답자의 절반가량은 상당한 양의 추가 자원이 필요...

보안 보고서 설문조사 2022.03.29

SEC 사건 보고서에 드러난 숨겨진 랜섬웨어 비용과 손실

2021년 랜섬웨어 피해가 전례 없는 수준에 이르렀다. 랜섬웨어 공격자들은 수백만 달러의 몸값을 요구하고, 이를 받아내는 사례가 많아졌다. 세계 최대의 육류가공업체인 JBS는 2021년 6월, 운영 시스템에 대한 몸값으로 1,100만 달러를 지불했다. 미국 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)은 2021년 5월 랜섬웨어 공격자에게 443만 달러를 지급했지만, 이후 미 법무부가 이 몸값 가운데 230만 달러를 압류했다. 같은 달 백업 어플라이언스 공급업체인 엑사그리드(ExaGrid)는 콘티 랜섬웨어로 공격한 사이버 범죄자에게 260만 달러의 몸값을 지불했다.    랜섬웨어 공격으로 인한 실제 피해 비용은 매출 손실을 포함해 지불한 몸값을 훨씬 능가한다. 대부분 민간 기업은 랜섬웨어 공격의 피해 비용은 물론 공격 자체도 공개하지 않을 수 있다. 그래서 최근 미국은 모든 기업의 몸값 지급 보고를 의무화하는 법을 제정했다.  한편, 상장 기업은 랜섬웨어 공격 등 업무에 중대한 영향을 미치는 사이버 사고를 미 증권거래위원회(SEC)에 보고할 의무가 있다. SEC에 등록된 대부분 상장기업은 사이버 공격을 8-K 형식으로 SEC에 보고해야 한다. SEC는 모든 상장 기업이 사이버보안 사고가 발생했다고 인지한 후, 4일 이내에 보고하도록 의무화할 계획이다.   본지가 SEC에 제출된 8-K 보고서를 조사한 결과, 2020~2021년 동안 랜섬웨어 관련 사건(랜섬웨어 몸값을 지불하거나 랜섬웨어 관련 보험금을 받음)으로 보고한 상장 기업 30곳을 발견했다. 하지만 대부분은 사고를 처리하는 데 소요된 비용에 대한 설명에서 재무 데이터가 부족하거나 누락했다. 다만 7곳의 사례는 랜섬웨어 사고로 인한 비용이 얼마나 많이 드는지 파악할 수 있는 충분한 데이터를 갖고 있었다.  다음은 이 사건들의 내용을 요약한 것이다.  미국 최대 규모의 지상파 방송사인 싱클레어 방송 그룹...

SEC 랜섬웨어 8-K 2022.03.23

레트로스펙트 솔로 리뷰 | '옛 명성 그대로' 랜섬웨어 방지 기능 더하다

레트로스펙트 백업(Retrospect Backup) 같은 수십 년 동안 사용된 프로그램은 분명 계속 출시되는 이유가 있다. 최신 버전인 레트로스펙트 솔로 18.5는 사용자가 모르는 사이에 이전 백업을 암호화된 파일로 덮어쓰는 것을 방지하는 백업 전 파일 시스템 스캔 기능을 추가했다.     피할 수 없는 랜섬웨어, 레트로스펙트로 대비 가능 직접 경험하기 전까지는 랜섬웨어라는 개념이 흥미롭다고 생각했다. 어느 날 드롭박스에 (자체 네트워크에서 동기화된)새롭게 암호화된 파일들이 많이 나타났다. 지나치게 많았다. 일일 로컬 백업 덕분에 영구적인 피해는 없었지만 오싹하고 짜증나는 경험이었다. 범인이 같은 방 안에 있었다면 필자는 지금 감옥에 있었을 것이다. 이런 경험에서 얻은 몇 가지 교훈은 다음과 같다. •    워드프레스 구 버전과 NAS 박스로 웹 사이트를 호스팅하지 말자. 해야 할 경우 중요한 데이터가 없는 전용 박스로 사용하자. •    인터넷 액세스를 LAN 또는 컴퓨터로 제한하거나 홈 와이파이 네트워크와 라우터를 보호하는 조치를 취한다.   이상 감지 기능이 있다면 백업을 랜섬 파일로 덮어쓰는 공격을 막아줄 것이다. 레트로스펙트는 기본적으로 백업의 60%가 변경되면 감지하지만 더 주의하는 것이 좋기 때문에 필자는 백분율을 15%로 설정했다. 일반적으로 랜섬웨어는 중단되지 않는 한 드라이브의 모든 것을 암호화한다. 레트로스펙트의 로컬 안티 랜섬웨어 기능은 전문 백그라운드 안티 멀웨어 애플리케이션처럼 실시간으로 작동하지는 않는다. 대신에 레트로스펙트 18.5가 백업을 시작하면 데이터가 얼마나 변경되었는지 확인할 수 있다. 새 파일, 변경된 파일의 수가 사용자 정의 백분율을 초과하면 경고를 보내고 기존 백업에 아무 것도 덮어쓰지 않는다. 이 기능이 이상 감지다. 물론 전체적인 효과는 자주 백업해야 더 좋다. 그래야 랜섬 및 암호화가 적용되지 않은 파일로 복구하기가 ...

레트로스펙트 랜섬웨어 백업 2022.03.14

“해커들도 들고 일어났다” 러시아에 대한 핵티비즘 확산

러시아가 우크라이나를 침공한 이후 여러 핵티비스트 단체와 해커들이 전쟁에 가담하고 있다. 이중에는 우크라이나 정부의 독려를 받고 움직이는 핵티비스트도 포함된다. 사이버 전쟁에 참전을 선언한 핵티비스트는 대부분 러시아의 정부 조직을 상대로 움직이지만, 반대로 러시아 편에 선 핵티비스트 역시 우크라이나를 상대로 공격을 벌이고 있다.    지금까지 러시아의 우크라이나 침공과 관련해 발생한 주목할 만한 핵티비스트 사건은 다음과 같다.  우크라이나 IT 부대 창설. 우크라이나의 개발자들이 우크라이나 IT 부대에 합류하고 있다. 2월 26일에 발표된 우크라이나 IT 부대의 임무 할당 및 작전에 사용되는 텔레그램 채널의 사용자 수는 거의 20만 명에 달한다. 러시아의 주요 은행 중 하나인 스베르방크(Sberbank)와 러시아 정부와 한패인 벨라루스의 공식 정보 정책 사이트를 공격해서 마비시킨 주체가 이 부대인 것으로 추정되고 있다. 우크라이나 정부 인사들이 이 부대의 활동을 지지하는 발언을 하긴 했지만, 우크라이나 정부가 우크라이나 IT 부대의 배후에 있는지 여부는 공식적으로 확인되지 않고 않다.  어나니머스, 러시아 방송국 웹 사이트 공격. 어나니머스임을 주장하는 한 트위터 계정이 “어나니머스 공동체가 러시아 프로파간다 방송국인 RT 뉴스의 웹사이트를 다운시켰다”는 트윗을 올렸다. 러시아 국영 TV 채널인 RT 웹사이트도 해커 공격을 받았다고 발표하면서 어나니머스를 공격자로 지목했다.  벨라루스 사이버 파르티잔의 열차 해킹 주장. 벨라루스의 액티비스트 해커 집단인 사이버 파르티잔(Cyber Partisans)이 벨라루스의 열차를 통제하는 컴퓨터에 침투해 민스크와 오르샤의 몇몇 도시와 오시포비치 마을의 열차 운행을 중단시켰다고 주장했다. 알려진 바에 따르면, 이들은 철도 시스템의 라우팅 및 스위칭 장비에 침투, 저장된 데이터를 암호화하는 방법으로 장비를 작동 불능 상태에 빠트렸다.  어게인스트더웨스트...

러시아 우크라이나 전쟁 2022.03.07

“암호화폐 이용한 자금 세탁 막는다” 블록체인 수사 방식의 이해

2021년 5월 7일 랜섬웨어의 공격을 받은 미국 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)은 시스템 복원을 위해 비트코인 75개를 지급했다. 그러나 그 돈을 다 잃은 것은 아니었다. 여러 디지털 지갑을 거쳐 움직이는 돈을 미국 연방수사국(FBI)이 추적해 냈기 때문이다. 5월 27일 어느 한 시점에 비트코인 75개 중 63.7개가 어떤 주소로 전송된 후 이동을 멈췄고, FBI는 해당 비트코인 지갑을 풀 수 있는 개인키를 확보했고, 콜로니얼 파이프라인이 낸 몸값의 일부를 회수했다.   미국 법무부 랜섬웨어 대책반의 쾌거였다. 랜섬웨어는 한 해에 전세계 조직 중 1/3 이상에 심각한 피해를 입혔고, 피해 조직 중 2/3은 상당한 수익 손실을 호소했다. 블록체인 데이터 플랫폼 체이널리시스(Chainalysis)의 최근 보고서에 따르면, 2021년 지급된 랜섬웨어 몸값 총액은 6억 달러가 넘는다.   FBI는 개인키를 입수한 경위와 콜로니얼 파이프라인의 몸값 일부를 회수한 방법에 대해서 말을 아꼈지만, 블록체인 상에서의 트랜잭션 추적은 사이버범죄 수사의 필수 요소로 자리잡고 있다. 사법 당국은 원시 블록체인 데이터에 대한 인사이트를 제공하는 소프트웨어 툴을 제공하거나 전담 전문가를 보유한 분석 회사와 자주 공조를 진행한다.  암호화폐 트랜잭션 추적 소프트웨어를 제공하는 블록체인 정보 전문업체 TRM 랩의 티알엠 랩(TRM Labs)의 사법 및 공공 책임자 아리 레드보드는 “우리는 자금의 흐름을 예전에는 불가능했던 방식으로 추적할 수 있다”고 강조했다.  원시 블록체인 데이터를 파악하면, 랜섬웨어 피해자가 지급한 몸값을 회수하는 것은 물론, 블록체인 상의국가 지원 해킹 활동부터 금융 사기와 심지어 유괴 사건에 이르기까지 다양한 범죄 행각을 해결하는 데도 도움이 된다.   블록체인 조사 대행업체인 사이퍼블레이드(CipherBlade)의 사건 책임자 폴 시베니크는 수사에는 대개 몇 주가 걸리고...

암호화폐 비트코인 랜섬웨어 2022.03.07

2021년 주요 사이버 공격 키워드는 ‘랜섬웨어, 피싱, 제조업, 아시아’

IBM 시큐리티(IBM Security)의 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’에 따르면, 2021년 기업의 주요 사이버보안 문제는 ‘랜섬웨어’와 ‘피싱’이었으며, 아시아에서 가장 많은 사이버 공격이 발생했다. 해당 보고서는 IBM의 위협 정보 공유 플랫폼 엑스포스(X-Force)가 관찰한 트렌드와 패턴을 종합한 것으로, 네트워크 및 엔드포인트 탐지 기기와 같은 주요 데이터 포인트와 침해사고 대응(Incident Response, IR)R까지 포괄적으로 다뤘다.    보고서에 따르면, 2021년의 최상위 공격 유형은 랜섬웨어이며, 피싱과 패치되지 않은 취약점이 가장 많이 사용된 공격 벡터였다. 또 클라우드와 오픈소스, 도커 같은 환경에 가장 초점을 맞춘 악성코드가 증가했으며, 가장 많은 사이버 공격을 받는 업종은 제조업, 지역은 아시아인 것으로 조사됐다.  정부의 감시에도 확산한 랜섬웨어 IBM 시큐리티의 조사 결과 랜섬웨어는 2021년 전체 사이버 공격의 21%를 차지했다. 이는 2020년보다 2% 감소한 수치다. IBM 시큐리티는 2021년 많은 정부가 랜섬웨어에 주목하면서 공격 건수가 줄었지만, 2022년에는 다시 증가할 가능성이 높다고 예상했다. 2021년 발생한 랜섬웨어 공격의 37%는 레빌(REvil)이 사용됐고, 류크(Ryuk)가 13%, 록빗 2.0(Lockbit 2.0)이 7%로 뒤를 이었다. 이외에 2021년 사이버 공격에 사용된 랜섬웨어는 다크사이드(DarkSide), 크리스탈(Crystal), 블랙매터(BlackMatter), 라그나로커(Ragnar Locker), 비트록커(BitLocker), 메두사(Medusa), E킹(Eking), 엑소리스트(Xorist)가 있다. 보고서에 따르면, 랜섬웨어 공격 집단의 평균 수명은 평균 17개월이다. IBM 시큐리티 엑스포스의 사고대응 부문 글로벌 총괄 로렌스 다인은 “IB...

IBM시큐리티 보고서 랜섬웨어 2022.02.28

글로벌 칼럼 | 제조업계 노린 랜섬웨어 공격 심화에 따른 사이버 보안 태세의 필요성

산업 사이버 보안 선두 기업인 드라고스(Dragos)가 발행한 보고서에 따르면, 작년 랜섬웨어가 주요 인프라에 대한 공격 벡터 1위를 차지했다. 드라고스는 23일 공개된 업계가 직면한 사이버 위협에 관한 연례 리뷰에서 이들 공격의 65%가 제조 부문을 겨냥했다고 밝혔다.   드라고스 CEO 로버트 리는 보고서가 발행되기 전, 한 설명회에서 “다른 부문이 입은 피해를 모두 합쳐도 제조업계가 받은 타격만 못하다”라고 강조했다. 리는 “랜섬웨어 공격자 및 단체가 기업을 표적으로 삼으면 유리하다고 인지한 것으로 평가된다”라고 전망했다. 그 이유에 대해 "기업은 랜섬웨어 공격을 받으면 사업을 운영을 중단하게 되며, 이런 점은 기업 전반에 큰 문제가 된다. 따라서 몸값을 빠르게, 혹은 더욱 많은 액수를 지불하도록 직원을 재촉할 수 있다”라고 설명했다. 이번 보고서에 따르면, 업계를 노린 랜섬웨어 공격의 절반 이상(51%)은 콘티(Conti)와 록빗(Lockbit) 2.0이라는 2가지 위협 단체가 벌인 것이다. 이들 공격의 70%는 제조업계를 표적으로 삼고 있다. 따라서 모든 업계는 미국 통신사인 버리즌(Verizon)처럼 데이터 침해를 막기 위해 매년 사이버 보안 태세를 갖춰야 한다. 리는 랜섬웨어 공격이 감소하고 있다는 보도를 대수롭지 않게 여기며, “정부에 공격을 신고하는 사람은 줄고 있지만, 실제 사례가 감소하고 있는 것은 아니다”라고 말했다.   아직도 랜섬웨어 방지에 준비가 안 된 주요 인프라 사업자 드라고스 보고서는 주요 인프라 사업자의 사이버 보안 개선이 필요한 분야를 파악했다.   운영 네트워크의 가시성을 개선한다. 기업의 86%가 산업 통제 시스템 환경에 대한 가시성 확보에 제약이 있다. 이로 인해 기업은 구조적으로 탐지와 분류, 대응이 어려울 수 있다. 리는 보고서에 명시된 기업은 드라고스 기업 고객에 한정된 것으로, 실제로 이런 문제를 겪는 기업은 훨씬 더 많을 것이라며 주의를 당부했다. 경계 보안을 강화한다....

랜섬웨어 사이버공격 보안 2022.02.28

헬스케어 산업의 가장 큰 보안 위협은 ‘미패치 IoT 기기’

의료용 기기 보안 솔루션 업체 사이네리오(Cynerio)가 IoT 및 IoMT(Internet of Medical Things) 기기를 분석한 결과, 53%가 중대한 사이버보안 위험에 노출된 것으로 나타났다.   사이네리오는 네트워크 코어 스위치에 있는 SPAN(Switched Port Analyzer) 포트와 연결했을 때 네트워크에 연결된 각 장치의 트래픽 정보를 수집하는 커넥터를 사용해 미국의 병원 300여 곳에서 사용하는 1,000만대 이상의 기기의 조사했다. 사이네리오 연구팀은 커넥터가 수집한 정보를 자체 AI 알고리즘으로 분석해 취약점과 사이버 위협을 식별했다. 보고서에 따르면, 병원에서 사용하는 전형적인 의료용 IoT 기기의 38%는 정맥 주입 펌프다. 하지만 정맥 주입 펌프의 73%는 환자의 안전이나 데이터 기밀성, 서비스 가용성을 위태롭게 할 수 있는 취약점을 적어도 하나씩 보유하고 있는 것으로 조사됐다. 시장조사업체 콘스텔레이션 리서치(Constellation Research) 부사장 리즈 밀러는 “의료 시스템은 병원의 의료 인프라 그 자체와 디지털화된 의료 기록에 이르기까지 다양한 공격 표면을 가지고 있다. 코로나19 팬데믹으로 의료 시스템은 사이버 공격자에게 매력적인 공격대상이 되었고 의료 네트워크와 시스템, 기기는 언제든지 공격받을 수 있다”라고 설명했다. 사이네리오 조사 결과, 매달 한 번 이상 사용하는 IoT 기기는 79%에 달했으며, 한 달에 한 번도 사용하지 않을 수 있는 기기는 21%인 것으로 나타났다.  가장 큰 위협은 패치하지 않은 기기 사이네리오 CTO 다니엘 브루디는 “한 명의 환자에게 의료 기기를 사용하기 시작하면 적어도 며칠이나 몇 주 동안 사용해야 한다. 병원에는 24/7 중단 없이 사용해야 하는 의료 기기가 매우 많다. 의료 기기에 대한 패치 작업조차도 의료 워크플로우와 환자의 안전, 병원 운영에 심각한 영향을 미칠 수 있다”라고 설명했다. 의료용 기기를 정기적으로 업데이트하지 않는 또...

랜섬웨어 의료기기 IoMT 2022.02.03

사이버 공격자가 2021년 가장 주목한 표적은 “교육 분야”

지난 2021년에는 교육 및 연구 분야에서 가장 많은 사이버 공격이 발생한 것으로 조사됐다. 체크 포인트 소프트웨어 테크놀로지(Check Point Software Technologies)의 연구 결과, 교육 및 연구 분야의 2021년 사이버 공격은 2020년보다 75% 증가했다. 기업당 매주 약 1,605건의 공격을 받은 셈이었다.   사이버 위협을 증가시킨 코로나19 팬데믹 코로나19 팬데믹으로 많은 기업과 교육 분야의 직원이 재택근무를 하게 됐다. 디지털 기술과 온라인 강좌의 필요성은 자연스럽게 디지털 교육 시장을 활성화했다. 이런 변화로 인해 학습 기회가 증가했지만, 사이버 공격 기회도 덩달아 증가했다. 체크 포인트의 데이터 리서치 매니저 오메르 뎀빈스키는 “원격교육의 확산과 직원이 아닌 사용자가 원격지에서 기업의 시스템에 액세스하는 경우가 많아지면서 사이버 공격에 대한 노출이 확대되고 공격 위험이 증가했다”라고 설명했다. 교육 및 연구 분야 다음으로는 정부와 군 부문에 대한 2021년 사이버 공격이 기관당 매주 1,136건 발생해 2020년보다 47% 증가했다. 정부 기관은 사업의 민감성 때문에 항상 사이버 공격의 주요 표적이 됐다. 하지만 전 세계 정부가 서비스 제공 방식을 온라인으로 전환하면서 사이버 공격자에게 또 다른 공격 지점이 생긴 것이다. 정부 및 군 부문 다음으로는 커뮤니케이션 분야가 사이버 공격을 많이 받은 것으로 조사됐다. 커뮤니케이션 분야에서 발생한 2021년 사이버 공격은 2020년보다 51% 증가해 기업당 매주 1,079건의 공격을 받은 것으로 집계됐다. 컨스텔레이션 리서치(Constellation Research) 애널리스트 리즈 밀러는 교육 분야가 사이버보안을 우선시하지 않았기 때문에 쉬운 표적이 된 것으로 봤다. 밀러는 “코로나19로 인해 교사, 직원, 학생이 가정에서 새로운 기술을 사용하기 위해 강제적으로 CIO가 될 수밖에 없었던 상황이었다. 그동안 학교가 의료기관처럼 강화된 보안 태세와 중요 업데이...

연구결과 보안 랜섬웨어 2022.01.25

숫자로 보는 2022년 사이버보안 동향 9가지

코로나19 팬데믹이 2년째에 접어들었다. 코로나19가 사람의 개인적 일상과 업무의 모든 측면에 영향을 미쳤다 해도 과언이 아니다. 엔터프라이즈 보안 측면에서도 팬데믹은 많은 것을 바꿔 놓았다.   수많은 근무자가 이제 집안의 와이파이를 통해 기업 네트워크나 클라우드 기반 리소스에 액세스한다. IT 작업자는 원격 액세스를 통해 핵심 시스템의 문제를 해결한다. 공급망이 큰 압박에 휘청거리고, 사이버 공격자는 이런 잠재적 취약점을 지체하지 않고 악용한다.  불행한 일이지만, 2022년에도 사이버 공격의 범위와 수준은 더욱 높아질 것이 분명하다. 2022년 전망되는 사이버보안과 관련한 9가지 동향을 살펴보자.  2022년 사이버보안 동향 9가지 1. 강세 : 랜섬웨어 2. 강세 : 크립토마이닝/크립토재킹 3. 강세 : 딥페이크 4. 강세 : 화상회의 공격 5. 약세 : VPN 6. 강세 : IoT 및 OT 공격 7. 강세 : 공급망 공격 8. 강세 : XDR 9. 약세 : 암호 강세 : 랜섬웨어는 사라지지 않는다 랜섬웨어 공격이 계속해서 증가하고 있으며 누그러질 기미도 보이지 않는다. 사이버보안 전문가 시라 루비노프는 “랜섬웨어 공격은 기하급수적으로 증가했고, 팬데믹으로 인해 온라인 활동과 디지털 환경이 늘어난 만큼 앞으로도 증가할 것이다. 재택근무 전환에 따라 기업은 사이버보안 태세를 서둘러 강화하고 있다. 이제 기업은 안전이 보장되지 않은 환경에서 여러 디바이스로 일과 개인적 활동을 병행하는 직원에 대처해야 한다”라고 말했다. 루비노프는 기업이 피싱 공격 방지에 도움이 되도록 전 직원을 대상으로 교육을 진행하는 등 사이버 위생을 구현하는 데 초점을 두어야 하며, 데이터 보호를 선제적으로 다루고 제로 트러스트 보안 모델 구현을 고려해야 한다고 조언했다. 주요 수치 : 가트너가 최근 발행한 ‘새로운 위험 모니터 보고서(Emerging Risks Monitor Report)’에 따르면, 기업 경영진이 가장 우려하는 것은 ‘새로운 ...

랜섬웨어 크립토재킹 딥페이크 2022.01.13

글로벌 칼럼 | 미국의 랜섬웨어 소탕 작전의 적절성과 효과

최근 미국 사이버 사령부(United States Cyber Command) 및 국가 안보국(National Security Agency) 국장 폴 M. 나카소네는 사이버보안 전문가 대부분이 이미 알고 있는 내용, 즉 미군이 랜섬웨어 공격 집단에 대한 공세적 조치에 관여했음을 확인했다. 2021년 5월 콜로니얼 파이프라인을 비롯해 미국 산업계를 강타하고 수많은 의료 및 교육 기관에 피해를 준 랜섬웨어 공격을 억제하고자 하는 목적이었다.   지난 10월, 사이버 사령부와 FBI 및 동맹국들이 러시아 소재 레빌(REvil) 랜섬웨어 공격 집단이 사용하는 서버 트래픽을 다른 곳으로 돌려 일시적으로 공격 집단을 무력화했다. 레빌은 세계 최대의 육류 가공업체 JBS를 공격해 며칠 동안 육류 생산을 중단시키는 등 지금까지 랜섬웨어 공격을 수차례 감행했다. 사이버 사령부와 NSA의 도움으로 FBI와 법무부는 콜로니얼 파이프라인이 레빌에 지급한 암호화폐 몸값 75BTC(약 400만 달러 상당) 가운데 일부를 압류했다.  나카소네는 콜로니얼 파이프라인과 JBS에 대한 랜섬웨어 공격이 핵심 인프라에 피해를 주었다면서 “지금까지 여러 정부 기관과 함께 조치를 취해 사이버 공격자에게 금전적 타격을 입혔다”라고 말했다. 사이버 사령부가 랜섬웨어 소탕 작전을 처음 시작한 것은 2020년이다. 당시에는 군 당국도 참여했지만 기관 간 조율 없이 각자 활동했으며, 마이크로소프트가 트릭봇(Trickbot) 네트워크를 와해한 것도 초기 랜섬웨어 소탕 작전의 결과였다.  “미군까지 합세한 것은 섣부르다” 바이든 행정부가 추진하는 미국 정부의 다각적 대책에 따라 사이버 작전에 군 개입이 늘었다. 하지만 군대의 지원을 받는 비밀 사이버 작전이 랜섬웨어 공격을 멈추는 데 실질적인 효과가 있는지에 대해서는 의문이 남는다. 미국 국가 안전 보장 회의의 한 관계자는 랜섬웨어 공격 집단이 도피하며 공격이 감소하고 있다고 밝혔지만, FBI는 랜섬웨어 세력이 이대로 잦아들 것...

미국 레빌 랜섬웨어 2021.12.15

용량·속도 늘어난 테이프 스토리지, 옳은 방향으로 가고 있을까?

자기 저장 테이프가 1차 데이터 백업본 저장 장소로 권장되지 않은 지도 상당히 오래되었다. 이러한 상황이 최신 테이프 오픈 표준 LTO-9 등 최근 시장의 움직임에 맞춰 변화할 것인가? 차례로 최신 테이프 드라이브 현황, 경우에 따라 변수가 될 랜섬웨어, LTO-9를 살펴 본다.     테이프 드라이브, 혼자만 너무 빠른가? 80년대와 90년대 초반에는 테이프 드라이브와 백업 인프라의 속도 차이가 거의 없었다. 백업 드라이브의 작성 속도가 백업 시스템의 전송 속도와 맞먹을 정도였다. 그 이후에는 테이프 드라이브의 속도가 월등히 빨라졌다. 불과 몇 달 전에 공개된 LTO-9의 속도는 400Mbps에 달한다. 2000년에 공개된 LTO-1보다 20배 빠르다. 하지만 백업 시스템이 백업하는 파일 시스템과 데이터베이스의 크기도 훨씬 커졌다. 사용자 정보를 보관하는 저장 장치의 속도는 빨라졌지만, 사용자 데이터의 증분 백업은 빨라지지 않았다는 뜻이다. 백업 시스템은 실제 데이터 전송이 아닌 증분 백업할 데이터 파악에 대부분의 시간을 쓴다. 최신 테이프 드라이브 수준에 맞춰 빠른 속도로 전체 백업을 실행하는 것은 가능하지만 대부분 증분식인 백업의 속도는 테이프 드라이브 속도에 비해 턱없이 느리다. 백업 소프트웨어 업체는 멀티플렉싱 같은 기능으로 대응해 왔다. 여러 개의 백업 스트림을 서로 겹쳐서 하나로 만드는 멀티플렉싱으로 속도 문제는 해결되지만 다른 문제가 생긴다. 찾고자 하는 데이터가 필요 없는 백업본과 섞여 있기 때문에 대규모 복원을 할 때 모든 데이터를 읽어내야 하고 그 중 대부분은 버려야 한다. 지난 10~15년에 걸쳐 대부분의 조직에서 테이프를 기본 백업용으로 사용하지 않게 된 이유다. 테이프를 쓴다면 디스크에 먼저 백업한 후 복사하는 용도로 쓴다. 테이프에 복사해 외부에 보관하는 회사도 아직 있지만 그마저도 드물어졌다. 중복 제거 시스템과 클라우드 백업 덕분에 디스크 사용 비용이 계속 줄어들었기 때문이다. 오늘날 테이프를 쓰...

자기저장테이프 테이프드라이브 랜섬웨어 2021.12.15

“기업화되는 랜섬웨어에 대응하라” 랜섬웨어의 현황과 대책 - ITWorld DeepDive

한 전문가는 랜섬웨어를 ‘패션’에 비유했다. 공격 효과가 입증된 랜섬웨어는 곧바로 다른 공격 집단에서도 사용하며, 오래전 등장했던 전술이 계속 진화하고 발전한다. 랜섬웨어 공격은 정부의 대대적인 공세에도 사라지지 않는다. 또한 랜섬웨어 공격 집단은 자신의 생태계를 기업화했다. IT 인프라, 개발, 홍보, 고객지원 등 체계적인 형태를 갖추고 전통적인 기업과 ‘평행세계’를 이루게 된 것이다. 피해 기업은 몸값뿐만 아니라 피해로 인한 숨은 비용까지 감당해야 한다. 하지만 “적을 알고 나를 알면 위태로움이 없다.” 2021년 더욱 정교해진 랜섬웨어 공격 집단의 특성과 공격 방법을 알아보고, 사전 대책은 무엇이 있으며, 랜섬웨어 감염 시 효과적인 대응책과 협상 방법을 정리해 본다. 주요 내용 - “강력하고 대담해졌다” 기업화된 랜섬웨어 집단의 생태계 - 랜섬웨어 위협에 숨어있는 비용 7가지 - 다크사이드 랜섬웨어의 동작 방식과 배후 - RaaS로 성공한 ‘레빌 랜섬웨어’의 주요 동향 및 대응법 - “몸값 지불해도 파일 복구 없다” 콘티에 대해 알아야 할 것 - “침해 사고는 시간 문제” 보안 사고 대응 계획 5단계 - 랜섬웨어 협상 방법과 기업이 해야 할 일

보안 랜섬웨어 레빌 2021.12.08

“앱 하나로 기업 무너뜨린다” 사이드로딩 공격의 A to Z

이메일 관리업체 마임캐스트(Mimecast)의 위협 센터(Threat Center)가 최근 발생한 사이드로딩 악성코드 공격에 대한 보고서를 발간했다. 보고서에 따르면, 이번 공격은 마이크로소프트 스토어에서 다운받을 수 있는 ‘앱 설치 관리자’ 앱을 표적으로 한 공격이었다. 앱 설치 관리자는 사용자가 윈도우 10 앱을 사이드로드할 수 있는 기능을 제공하는 앱이다. 마임캐스트는 이번 공격이 트릭봇(Trickbot)과 바자로더(BazarLoader)를 퍼뜨리는 것으로 알려진 공격자의 소행이라고 추측했다. 트릭봇과 바자로더는 종종 랜섬웨어 공격으로 이어지는 스팸 도구다.   보고서에 담긴 내용은 사이드로딩 공격의 대표적인 사례다. 사이드로딩 공격은 정확히 무엇일까? 사이드로딩 공격의 작동법과 예상되는 피해, 예방 방법 등 사이드로딩 공격에 대한 모든 것을 알아보자. 사이드로딩 공격이란? 네타시아(Netacea)의 위협 연구 책임자 메튜 그레이시 맥민은 “스마트폰 또는 컴퓨터 등의 기기에 애플리케이션을 설치하는 것이 사이드로딩이다. 일반적인 앱 설치와의 차이점은 기기 운영체제의 개발자가 승인하지 않은 애플리케이션을 설치한다는 것에 있다”라고 설명했다.  사이드로딩 공격자는 사용자가 정당하고 신뢰할 만한 애플리케이션을 설치하고 있다고 믿도록 만든다. 하지만 사이드로딩 애플리케이션은 보안 테스트를 거치지 않고, 근본적으로 악의적인 앱일 수 있기 때문에 설치하면 위협에 노출된다. 대다수 기기는 사용자가 메뉴에서 활성화하기 전까지 사이드로딩을 할 수 없지만, 윈도우 10은 사이드로딩을 기본값으로 허용한다. 레드스캔(Redscan) 위협 인텔리전스 책임자 조지 글래스는 “일반적으로 사이드로딩 애플리케이션은 피싱 이메일이나 팝업 광고 등으로 소셜 엔지니어링 공격을 진행한 후 다운로드된다. 혹은 악성코드가 포함되어 있을 수 있는 ‘무료’ 또는 ‘크랙’ 버전의 소프트웨어를 사용자가 직접 다운로드하는 경우도 있다”라고 말했다. 최근 관찰된 사이드로딩 공격의...

사이드로딩 랜섬웨어 2021.12.07

“IT 인프라 보안의 약한 고리는 스토리지 시스템” : 컨티뉴어티 보고서

사이버 보안 업체 컨티뉴어티 소프트웨어(Continuity Software)의 최근 보고서에 따르면, IT 인프라의 3대 구성요소 중 스토리지 시스템이 다른 두 요소, 즉 서버와 네트워크 장비보다 훨씬 더 보안 상태가 취약한 것으로 나타났다. 기업 400곳의 스토리지 장비 데이터를 분석한 컨티뉴어티의 조사에서 스토리지 장비는 평균 15개의 취약점과 관련된 6,300건의 보안 문제가 있는 것으로 드러났다. 조사 대상 스토리지 장비는 브로케이드, 시스코, 델, IBM, 히타치 데이터 시스템, 넷앱 등의 제품이었다.   컨티뉴어티의 CEO 질 헥트는 “IT 인프라의 3대 요소 중 스토리지는 보안과 비즈니스 관점에서 가장 가치가 크다”라며, “스토리지 장비의 보안 취약점과 잘못된 구성은 기업 대상의 랜섬웨어 공격이 증가하는 상황에서 심각한 위협이 된다. 분석에 따르면, 대부분 기업의 스토리지 시스템은 보안 태세가 놀랄 정도로 약하다”고 지적했다. 또 각 기업은 랜섬웨어를 비롯한 사이버 공격으로부터 데이터를 보호하기 위해 백업 시스템은 물론 스토리지를 보호하기 위한 조처를 즉시 실행해야 한다고 덧붙였다. 이번 조사에서 발견된 15개의 주요 취약점 중 3개는 특히 치명적이고 보안 위험성이 매우 높다고 분류된 것이다. 또한 기업의 여러 부서가 제대로 따르지 않은 보안 원칙도 170가지나 되는 것으로 나타났다.   취약한 프로토콜이 포함된 주요 보안 위험 보고서는 취약한 프로토콜이나 프로토콜 설정 사용, 해결되지 않은 CVE(common vulnerabilities and exposure) 취약점, 액세스 권한 문제를 가장 위험한 취약점으로 지목했다. 이외에 주요 취약점은 안전하지 않은 사용자 관리 및 인증, 불충분한 로깅 등과 관련된 것이다. 취약한 프로토콜 사용 문제는 종종 SMB 1이나 NFS 3 같은 스토리지 프로토콜을 비활성화하지 않아서 발생한다. 즉 오래 된 버전의 프로토콜을 사용한 것이다. TLS 1.0/1.2, SSL 2.0/3.0 ...

취약점 프로토콜 SMB 2021.11.26

‘기업 규모 가리지 않는 랜섬웨어’ 최소 대비책은?

필자는 “우리 회사는 너무 작아서 사이버 공격을 당할 일이 없다”라는 말을 수없이 들었다. 하지만 이는 틀린 말이다. 랜섬웨어 공격자에게 크거나 작은 회사는 없다.   사이버 보안 업체 웹루트(Webroot)가 최근 발간한 보고서 ‘랜섬웨어의 숨은 비용’에 따르면, MSP(Managed Service Provider) 85%가 중소규모 업체를 겨냥한 사이버 공격을 보고한 것으로 조사됐다. 높은 수치에도 불구하고, 정작 랜섬웨어 공격을 우려하는 중소규모 업체는 28%에 불과했다. 기업 규모에 상관없이 랜섬웨어 공격은 걱정해야 하는 상황이다. 휴가 비용이 필요한 사람이라면 누구든 랜섬웨어 공격을 시도할 수 있는 시대가 됐기 때문이다. 다크 웹의 서비스형 랜섬웨어(ransomware-as-a-service) 덕분에 약간의 비트코인만 있으면 기업을 혼란에 빠뜨리기 충분하다. 보안 업체 소포스(Sophos)에 따르면, 서비스형 랜섬웨어는 전체 랜섬웨어 공격의 60%를 차지하고 있다. 랜섬웨어 공격자 사이에 신뢰 문제가 있다는 것은 아이러니하지만, 그러는 동안에도 랜섬웨어 공격은 계속되고 있다.  간단한 사실이다. 뉴스 헤드라인을 장식할 만큼의 몸값을 요구 받을 일이 없는 중소규모 기업이라도 랜섬웨어 공격으로 몇 주간의 노동력과 수만 달러의 비용을 낭비할 수 있다.   웹루트 보고서에 따르면, 랜섬웨어 공격을 받은 기업의 64%가 업무 중단을 경험했으며, 45%는 업무 중단으로 인해 사업이 위기를 겪을 정도였다고 답했다. 업무 중단으로 인한 손실액은 지난 2020년 4만 7,000달러에서 2021년 14만 1,000달러로 증가했다. 이는 랜섬웨어 공격의 평균 몸값인 6,000달러를 제외한 금액이다. 랜섬웨어 공격으로부터 살아남을 방법은 무엇일까? 사이버리즌의 최근 설문조사 결과를 보면, 응답자의 절반가량이 랜섬웨어 공격에 대응할 만한 도구를 보유하지 않은 것으로 나타났다. 특히 휴일에 발생하는 공격에 취약했다. 추수감사절을 보낸 후...

랜섬웨어 보안 보안대책 2021.11.24

미 법무부, 랜섬웨어 그룹 레빌 관련 2명 기소 및 612만 달러 압류

랜섬웨어 공격집단 소디노키비(Sodinokibi)/레빌(REvil)에 대한 미국 백악관 랜섬웨어 이니셔티브의 조사가 결실을 맺었다. 미국 법무부는 지난 8일 소디노키비/레빌 관련자 야노슬라프 바신스키와 예브게니 폴리아닌을 기소하고 612만 달러를 압류했다.   미국 법무부와 FBI, 재무부에 따르면, 폴란드 정부는 미국 정부의 요청에 따라 바신스키를 체포했다. 미국 법무부는 랜섬웨어 및 디지털 갈취 태스크포스(Ransomware and Digital Extortion Task Force)의 수사로 바신스키를 체포할 수 있었다고 밝혔다. 특히 마이크로소프트와 맥아피, 비트디펜더 등 민간 기업도 수사에 실질적인 역할을 했다. 러시아 국적의 폴리아닌은 아직 체포되지 않았다. 다만 텍사스 북부 지방 법원 판사 레베카 러더퍼드가 발부한 ‘재산권 확보’ 영장에 따라 미국 정부는 지난 9월 10일 폴리아닌의 가상통화 거래소 FTX 계정에서 612만 3,652달러를 압류했다. 바신스키는 지난 10월 8일 우크라이나에서 폴란드로 이동한 후 체포됐으며, 아직 폴란드에 구금되어 있다. 미국과의 범인 인도 조약에 따라 곧 미국으로 송환될 예정이다. 지난 11월 4일에도 레빌 관련자 두 명이 루마니아에서 체포되었으나 아직 정확한 신원은 공개되지 않았다. FBI 국장 크리스포터 레이는 “야노슬라프 바신스키의 체포와 예브게니 폴리아닌에 대한 고소 및 610만 달러 압류, 추가 관련자 2명 체포는 국제적인 공조와 미국 정부, 특히 민간 기업과의 협력으로 이뤄낸 성과다. FBI는 사이버 범죄자에 대응하기 위해 창의인 방법으로 거침없이 수사를 진행했다. 레빌과 같은 랜섬웨어 공격집단은 국민의 안전과 경제 복지에 심각하고 용납할 수 없는 위험을 끼친다. FBI는 사이버 공격 단체의 움직임과 조력자, 인프라, 자금 등을 계속해서 추적할 예정이다”라고 밝혔다. 바신스키가 우크라이나에서 폴란드로 이동한 이유를 묻자 레이는 “개인은 다양한 이유로 여행을 한다. FBI는 바신스키가 ...

레빌 FBI 랜섬웨어 2021.11.09

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.