Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

민간 랜섬웨어 대응 협의체 ‘KARA’, 랜섬웨어 동향 보고서 발간

민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance)’는 랜섬웨어 동향 보고서를 발간했다. SK쉴더스의 주도로 구성된 KARA는 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유를 통해 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공하고 있다. 현재 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여중이다.   최근 랜섬웨어 트렌드를 분석하고 공격 전략과 대응 방안을 담은 랜섬웨어 동향 보고서에서 KARA는 주요 랜섬웨어 그룹이 사용한 공격 전략을 글로벌 보안 위협 표준 프레임워크 ‘마이터 어택’(MITRE ATT&CK)에 맞춰 각 단계별 공격 기법을 분석하고 대응 방안을 기술했다. 다크웹에서 가장 활발하게 활동중인 랜섬웨어 그룹 ‘VenusLocker’의 ‘Lockbit 3.0’, 꾸준히 변종이 발생되고 있는 ‘Phobos’, 국내 기업만을 타깃으로 하는 ‘귀신’ 랜섬웨어에 대한 특징을 상세히 분석했다. 이 밖에도, 2017년 발생해 꾸준히 변종이 발견되고 있는 ‘Phobos’ 랜섬웨어와 최근 국내 기업만을 타깃으로 해 화제가 된 ‘귀신’ 랜섬웨어에 대한 배경과 특징을 자세히 밝혔다. 이들은 공통적으로 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 내부 인프라에 침입, 데이터를 암호화해 시스템을 마비시킨 것으로 조사됐다. 이후 데이터를 유출하겠다는 협박을 통해 공격을 수행하는 정밀하고 고도화된 전략을 사용하고 있는 것으로 분석됐다. KARA는 이러한 랜섬웨어 피해를 예방하기 위해서 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 미리 탐지하고 차단해야 한다고 밝혔다. 기업 내부의 네트워크와 인프라 자산 등에 대한 관리가 체계적으로 이뤄져야 하며 사고 발생 시 대응 프로세스가 수립되어야 한다고 덧붙였다.  이번 보고서는 ...

랜섬웨어 KARA SK쉴더스 3일 전

"올 상반기 랜섬웨어 공격 오히려 줄었다"

올해 상반기 랜섬웨어 공격 횟수와 피해액이 모두 줄어든 것으로 나타났다. 사이버 보험 업체 콜리션(Coalition)이 자사 보험에 가입한 기업을 분석한 보고서에 따르면, 팬데믹의 시작과 함께 급격히 늘어난 랜섬웨어 공격은 올해 상반기 오히려 감소했다. 지난해 하반기 전체 보험 가입자의 0.66%가 랜섬웨어 공격으로 보상을 받은 반면 올해 상반기에는 0.41%를 기록했다. 코로나 위기가 최고에 달했던 2020년 하반기의 0.44%보다도 낮은 수치다.   보고서에 따르면, 이처럼 랜섬웨어가 급감한 이유 중 하나는 오프라인 백업 시스템의 확산이다. 랜섬웨어 피해를 본 기업 중 상당수가 공격자와 접촉하지 않고 이 시스템을 이용해 간단하게 데이터를 복구할 수 있었다. 이는 데이터 복구 서비스 업체 코브웨어(Coveware)와 버라이즌(Verizon)의 자료를 통해서도 확인할 수 있다. 랜섬웨어 공격으로 기업이 지불하는 금액이 최근 몇 달 사이 크게 줄어들었다. 반면 랜섬웨어 공격자의 공격 전략이 계속 진화하고 있는 것은 우려스러운 대목이다. 실제로 지난 3년간 사이버공격은 수익성 높은 범죄 사업 모델이 됐다. 콘티(Conti), 록비트(Lockbit), 하이브(Hive) 같은 범죄 그룹이 언론의 헤드라인에 지속적으로 등장했다. 더욱이 이제 랜섬웨어 공격자는 기존보다 더 작은 규모의 기업을 노리고 있다. 랜섬웨어 공격에 상대적으로 대응력이 떨어지는 기업이다. 콜리션 보고서는 "이런 소규모 기업이 사이버보안 사고 피해를 본 후 청구하는 평균 금액은 2022년 상반기 13만 9,000달러로, 소기업엔 꽤 부담되는 금액이다. 사이버보안 사고가 발생하면 매우 작은 기업은 사업을 접어야 할 수도 있다"라고 지적했다. 가트너의 대표 애널리스트 존 아마토는 이런 지적에 동의했다. 랜섬웨어가 줄어드는 시점이라고 하지만 사이버 범죄자에게는 여전히 돈벌이가 되는 사업이고, 보안이 취약한 기업에 치명적인 위험인 것도 마찬가지라는 것이다. 그는 "이런 기업은 백업 데이터...

랜섬웨어 콜리션 Coalition 4일 전

“피싱과 소프트웨어 취약점이 사이버 침해 사고 경로의 70% 차지해” 팔로알토 네트웍스 발표

팔로알토 네트웍스는 인시던트 대응을 위한 자사의 연구 조사 기관 유닛42에서 수집한 600여 개 이상의 사고 대응 사례를 샘플링 한 분석 결과를 담아 ‘2022 유닛42 인시던트 대응 보고서’를 발표했다.  이 보고서는 각 조직의 CISO 및 보안 팀에서 최우선으로 해결해야 할 보안 위협을 이해하고, 이에 대응하기 위해 자원을 전략적으로 운용할 수 있는 팁을 담고 있다.   보고서에 따르면 랜섬웨어로부터 몸값을 지불하도록 요구된 금액이 가장 높은 업종은 금융과 부동산으로, 평균 금액은 각각 평균 800만 달러, 520만 달러에 육박했다. 지난 12개월 동안 가장 빈번하게 발생한 공격 유형은 전체 인시던트 대응의 70%를 차지하는 랜섬웨어와 기업 이메일을 침해하는 ‘BEC공격(business email compromise)’ 인 것으로 조사됐다. 새로운 랜섬웨어 피해자가 4시간마다 유출 사이트에 게시되고 있다. 랜섬웨어 활동을 조기에 식별하는 것이 매우 중요한데, 일반적으로 랜섬웨어 공격자들은 파일이 암호화된 후에야 발견되고, 피해 조직에서는 그 이후에 금전 요구 액수와 지불 방법 등이 담긴 랜섬 노트를 받는다. 유닛 42는 랜섬웨어 공격 시 위협 행위자들이 표적 환경에서 탐지되기 전에 보내는 시간을 의미하는 중간 체류 기간이 28일임을 확인했다. 2022 랜섬웨어 보고서 발표 이후로도 공격 빈도와 피해 금액은 지속적으로 증가하여, 몸값 요구 금액은 3천만 달러, 실제 지불 금액은 800만 달러에 이른 것으로 조사됐다. 특히 몸값을 지불하지 않을 경우 민감한 정보를 공개하겠다고 위협하는 이중 갈취 수법이 지속적으로 늘어나고 있다. 사이버 범죄자들은 업무용 전자 메일을 타깃으로 하는 송금 사기 기법을 사용하고 있다. 피싱과 같은 소셜 엔지니어링의 형태는 발견의 위험을 낮추는 동시에 은밀한 액세스 권한을 얻을 수 있는 쉽고 비용 효율적인 방법이다. 이번 조사에 따르면, 많은 경우에 사이버 범죄자들이 무작위의 타깃에게 자격 증명을 요구하고 ...

팔로알토 네트웍스 피싱 랜섬웨어 2022.09.05

KISA, 랜섬웨어 동향 및 대응 방향 모색하는 '제1회 랜섬웨어 레질리언스 컨퍼런스’ 9월 20일 개최

한국인터넷진흥원(KISA)은 과학기술정보통신부와 함께 랜섬웨어 공격 동향과 이에 따른 대응 방안을 공유하기 위해 산·학·연·관이 함께하는 ‘제1회 랜섬웨어 레질리언스 컨퍼런스’를 9월 20일 양재 엘타워에서 개최한다고 밝혔다.   랜섬웨어는 해킹을 통해 피해자의 데이터를 암호화하고, 이를 풀어주는 대가로 돈을 요구하는 사이버 공격으로 전 세계적으로 피해규모가 급증하고 있다. 특히, 최근에는 전문지식이 없어도 비용만 지급하면 되는 랜섬웨어 서비스 형태의 공격으로 진화하고 있어 사이버 범죄의 진입장벽이 낮아지고 있다. 이에 따라, KISA는 랜섬웨어에 대한 체계적 대응을 위해 2017년 노모어랜섬과 국제협력을 시작으로, 랜섬웨어 암호기술 연구 및 복구 도구 개발, 공격 동향 분석 등을 추진하고 있다.  또한, KISA는 안전한 디지털 플랫폼 정부 구현을 위한 랜섬웨어의 적극적 대응 필요성을 환기하기 위해 이번 컨퍼런스를 마련했으며, 매년 개최하여 국가·공공, 금융, 학계 등 다양한 분야의 관계자와 함께 랜섬웨어 대응 및 예방 방안을 지속적으로 모색할 예정이다.   세부 프로그램은 KISA의 ‘랜섬웨어 피해 최소화를 위한 노력’에 대한 소개를 시작으로 ▲AI 기반 자율형 차단 기술 ▲랜섬웨어 수사 사례 ▲국내·외 랜섬웨어 복구 동향 및 기법 등의 내용으로 발표가 이어지며, 랜섬웨어 공격 대응 현황에 대해 논의하는 패널 토의를 마지막으로 컨퍼런스를 마무리할 예정이다. 이번 컨퍼런스는 랜섬웨어에 관심 있는 누구나 9월 8일까지 선착순 100명까지 신청받으며, 자세한 내용은 암호이용활성화 누리집(https://seed.kisa.or.kr)에서 확인할 수 있다. KISA 이성재 융합보안단장은 “랜섬웨어 범죄 형태의 조직화·지능화로 수익 실현이 용이해지면서 공격이 심화될 것으로 예상한다”며, “이에 랜섬웨어 공동 대응을 위한 협력이 중요한 만큼, 이번 컨퍼런스가 각 분야의 관계자가 한자리에 모여 다양한 의견을 공유하고 협력을 강화할 ...

KISA 랜섬웨어 2022.08.29

아크로니스 “2023년까지 전세계 랜섬웨어 피해액 규모 300억 달러 넘을 것”

아크로니스는 아크로니스 사이버보호 운영 센터(Acronis’ Cyber Protection Operation Centers)가 수집해 분석한 정보를 바탕으로 수행한 최신 위협 트렌드에 대한 심층 분석과 전망을 담은 ‘2022 상반기 사이버 위협 리포트(Acronis Cyberthreats Report)’를 발표했다.   아크로니스의 ‘2022 상반기 사이버 위협 리포트’에 따르면 2022년 상반기 동안 보고된 모든 침해(breaches) 사고의 거의 절반이 피싱 및 랜섬웨어 캠페인을 가능하게 하는 도용된 자격 증명(credentials)과 관련된 것으로 나타났다. 또한 보고서는 랜섬웨어가 공공 기관, 대기업과 중견기업 등을 막론해 모든 규모의 기업과 산업 분야에서 최대 보안 위협 요인이라고 설명하고 있다. 자격 증명 및 기타 민감한 정보를 추출하기 위해 사이버 범죄자는 피싱 및 악성 이메일을 선호하는 감염 벡터(매개체)로 사용하고 있다. 전체 이메일의 대략 1%에 악성 링크나 파일이 포함돼 있으며 모든 이메일의 1/4 이상(26.5%)이 사용자 받은 편지함으로 전달된 후(Microsoft365에 의해 차단되지 않음) 아크로니스 이메일 보안 프로그램(Acronis email security)에 의해 제거됐다.  또한 이 연구는 사이버 범죄자들이 어떻게 멀웨어를 사용하고 최신 보안 업데이트 버전이 적용 안된(패치되지 않은) 소프트웨어 취약점을 공격하여 데이터를 추출하고 조직을 인질로 잡는지 보여준다. 사이버 보안 위협 환경을 더욱 복잡하게 만드는 것은 새로운 진입 경로를 통한 공격의 확산이었다. 실제로 공격자들은 최근 암호 화폐와 분산 금융 시스템(cryptocurrencies and decentralized finance systems)을 공격 경로의 우선 순위로 삼았다. 이러한 다양한 경로를 사용한 성공적인 침해로 인해 수십억 달러의 비용 손실과 TB(테라바이트) 이상의 데이터가 유출되었다. 아크로니스 사이버 보호 리서치의 칸디드 뷔...

아크로니스 랜섬웨어 피해규모 2022.08.29

중소기업을 위한 랜섬웨어 방어 대책과 40가지 권고 : IST

IST(Institute for Security and Technology)가 최근 “랜섬웨어 방어 청사진(“Blueprint for Ransomware Defense)란 보고서를 발표하며, 중소기업의 랜섬웨어와 기타 사이버 공격 대응에 필요한 방어 대책 권고안을 제시했다. 보고서는 NIST(National Institute of Standards and Technology)의 사이버 보안 프레임워크를 따라 확인, 보호, 대응, 복구 형식에 초점을 맞췄다. NIST의 프레임워크 중 탐지 기능에 대한 내용은 포함하지 않았는데, 보고서는 SMB가 이 기능을 수행하기 위해서는 사이버 보안 서비스 업체와 협력할 것으로 권고했다.    권고안은 단계별로 기초적인 방지책 14가지, 실행 가능한 방지책 26가지를 제시했다.    기업 네트워크 상의 위협을 파악할 수 있는 방안 IST는 보호가 필요한 기업 네트워크 상에 어떤 것이 있는지 파악하는 데 도움이 되는 기초적인 방어 대책으로 다음 4가지를 소개했다.   상세한 기업 자산 인벤토리를 작성해 유지한다. 소프트웨어 인벤토리를 작성해 유지한다. 데이터 관리 프로세스를 수립해 유지한다. 계정 인벤토리를 작성해 유지한다. SMB는 기업 내 컴퓨터와 소프트웨어에 있는 위험을 이해하기 위해 좀 더 많은 지침이 필요할 수 있다. 특히 많은 중소기업이 구식 기술을 그대로 사용하는데, 대부분 중요한 현업 애플리케이션에 필요하기 때문이다. 따라서 IT 자산 현황을 파악하는 것만으로는 부족하며, 구식 장비와 소프트웨어를 사용함으로써 생기는 위험을 평가할 필요가 있다. 실행 가능한 방지책은 허가된 소프트웨어가 지원되도록 확실히 하는 것이다.   네트워크 인프라 보호를 위한 방안 다음 권고안은 이렇게 확인한 IT 자산을 보호하는 방법에 관한 것이다.   안전한 환경 구성 프로세스를 구축하고 유지한다. 네트워크 인프라를 위한 안전한 환경 구성 프로세스...

랜섬웨어 해킹 대응 2022.08.18

“구글 계정이 침입 통로” 시스코 해킹 사고의 전모

엔비디아와 마이크로소프트, 유비소프트, 삼성, 보다폰에 이어 시스코가 유명 IT 업체의 해킹 피해 사례에 이름을 올렸다. 지난 5월 말 한 공격자가 시스코 네트워크에 침투하는 데 성공했다. 이른바 초기 액세스 브로커(Initial Access Broker, 돈을 받고 대상 네트워크로의 액세스를 제공하는 공격자)인 이 공격자는 UNC2447 사이버 범죄 조직, Lapsus$ 조직, 그리고 랜섬웨어 얀루오왕(Yanluowang) 운영자들과 연루된 것으로 보인다. 이번 공격에서 눈에 띄는 부분은 제로데이 취약점이나 패치 미설치, 네트워크 구성의 약한 지점이 아닌 전형적인 소셜 엔지니어링 기법을 사용했다는 점이다.    제한적 피해만 발생 이번 공격은 다른 대규모 해킹 사건의 경우와 달리 가치 있는 데이터를 얻지는 못한 것으로 보인다. 해커로부터 이메일을 받았다고 주장하는 Bleepingcomputer.com에 따르면, 해당 해커는 약 3,100개 파일로 구성된 2.75GB 용량의 데이터를 훔쳤다고 한다. 파일의 대부분은 비밀 유지 계약(NDA), 데이터 덤프, 기술 도면 등인 것으로 알려졌다. 시스코는 공식적으로 “2022년 5월 말에 회사 네트워크에서 보안 사고가 발생했다. 공격자를 제압해 네트워크에서 제거하기 위한 즉각적인 조치를 취했다. 이 사고는 시스코 제품 또는 서비스, 민감한 고객 데이터 또는 민감한 직원 정보, 회사 지적 재산 또는 공급망을 포함해 시스코 비즈니스에 아무런 영향을 미치지 않았다”고 발표했다.  공격자가 훔친 파일 목록을 게시하자 시스코도 사고를 세부적으로 공개했다. 시스코가 사고에 대처하면서 얻은 교훈을 다른 여러 기업에 제공하는 것은 주목할 만한 일이다. 시스코 내부 보안 그룹인 탈로스(Talos)는 블로그를 통해 공격자가 어떻게 네트워크에 침투했고 거기서 무엇을 했는지를 자세히 설명했다.     취약한 구글 계정  해킹의 출발점은 시스코가 아닌 구글이었다. 공격자는 시스...

시스코 해킹 소셜엔지니어링 2022.08.17

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스 수법과 대비책

미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.   랩서스는 마이크로소프트, 삼성, 엔비디아, 보다폰, 유비소프트, 옥타 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다.  랩서스가 악명을 얻기까지 다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 지금까지 데이터를 갈취할 회사를 골라 달라며 텔레그램에 커뮤니티에 물어보는 방식으로 공격할 기업을 언급해왔다. 랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다. 틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다:    외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근  비밀번호 도용 직원들에게 대가를 지급해 접근 정보 구매  헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회  VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취  지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득  노드VPN(NordVPN...

랩서스 테너블 랜섬웨어 2022.08.16

멘로시큐리티, ‘랜섬웨어 공격 및 대비 현황’ 보고서 발표..."피해 복구 비용은 평균 32만 달러"

멘로시큐리티는 기업 보안 의사 결정권자들의 랜섬웨어 공격 및 대비 현황을 조사한 ‘2022 임팩트: 랜섬웨어 공격 및 대비 현황(2022 Impacts: Ransomware attacks and preparedness)’ 보고서를 발표했다.   멘로시큐리티의 연구 보고서에 따르면 랜섬웨어 공격이 여전한 것으로 나타났다. 최근 설문 조사에 따르면 기업의 1/3이 적어도 일주일에 한 번 랜섬웨어 공격을 경험하고 10명 중 1명은 하루에 한 번 이상 랜섬웨어 공격을 경험하는 것으로 나타났다. 이번 연구에는 미국과 영국에서 1,000명 이상의 직원들이 근무하는 조직의 IT 보안 의사 결정권자 505명이 응답했다. 특히, 이번 연구는 보안 전문가들의 고민 등 웰빙(삶의 만족도)에 미치는 영향을 조사했으며, 밤에 깨어 있게 만드는 이유가 무엇인지 묻는 질문에 응답자의 41%는 랜섬웨어 공격이 팀의 지식과 기술을 넘어 진화하는 것에 대해 걱정한다고 답했으며, 39%는 기업의 보안 역량을 넘어 진화하는 것에 대해 걱정한다고 답했다. 그러나 보안 담당자들의 가장 큰 고민은 직원들이 기업의 보안 조언을 무시하고 악성 코드가 포함된 링크나 첨부 파일을 클릭할 위험(46%)이었다. 응답자의 1/4(26%)만이 고용안전성과 관련된 실직하게 될 것을 걱정했다. 보고서에 따르면 기업의 약 절반(미국 61%, 영국 44%)이 지난 18개월 동안 랜섬웨어 공격을 받은 피해자였으며, 고객과 잠재 고객이 공격자들의 진입점일 가능성이 가장 높은 것으로 나타났다. 파트너/공급업체 및 직원/계약 업체들도 심각한 보안 위험으로 간주되지만 10명 중 1명은 공격이 어떻게 유입되었는지 정확히 식별할 수 없다고 답했다. 상위 3개 랜섬웨어 공격 벡터는 이메일(54%), 데스크톱이나 노트북에서 사용하는 웹 브라우저(49%), 모바일 기기(39%) 순이었다. 보안 전문가들은 랜섬웨어 공격으로부터 복구하는 데 들어갈 것으로 예상하는 비용과 실제 복구 비용 사이에 격차가 크다는 점을 주목했다....

멘로시큐리티 랜섬웨어 피해복구 2022.08.11

랜섬웨어 위험 낮추기, 내부 감사 부서의 역할 커진다

대중 교통 시스템, 의료 시설, 금융 서비스 기업의 공통점은 무엇일까? 바로 랜섬웨어 공격을 받았다는 것이다. 랜섬웨어는 사이버 범죄자가 개인과 기업기밀 시스템 및 파일 액세스를 차단한 후 해제하는 대가로 금전을 요구하는 악성 소프트웨어를 말한다. 전 세계 모든 업계의 기업 상당수가 랜섬웨어 경험이 있다. 사이버 보안 위험은 많지만 그 중에서도 랜섬웨어는 가장 심각한 사안이다. 랜섬웨어 공격을 받으면 기업 운영 중단을 넘어 데이터 유출과 평판 손상 같은 문제가 발생하기 때문이다. 사이버 보안 소프트웨어 기업 소포스(Sophos)가 전 세계적으로 실시한 설문 조사에 따르면, 2021년 조사에 참여한 기업의 66%가 랜섬웨어 공격을 받은 것으로 나타났다. 소포스는 “랜섬웨어로 인한 손해와 장애 복구에 평균 1개월이 걸렸다”라고 덧붙였다. 랜섬웨어의 심각성을 고려할 때, 내부 감사자는 전반적인 사이버 보안 위험과 랜섬웨어 위협을 함께 제거할 수 있도록 지원하는 목표를 세워야 한다. IT/사이버 보안 감사를 수행하고, 내부 감사 관리 소프트웨어 등의 기술로 내부 통제와 협업을 개선하는 조치를 수행하는 것이 한 방법이다. 더욱 자세히 살펴보자.   IT 관행 및 통제 수단 검토 일반적으로 내부 감사자는 사이버 보안 소프트웨어를 선택하고 랜섬웨어 위험 인지에 대한 직원 교육을 실시할 책임자는 아니지만, IT 감사 같은 IT 관행과 통제 수단에 대한 확신을 제공할 수는 있다. IT 팀이 랜섬웨어 이메일 사기를 당한 직원이 있는지를 확인하는 피싱 테스트를 수행한다면, 그 후 내부 감사자가 결과를 검토하고 사회 공학적 공격 방지 기준을 충족하는지를 확인할 수 있다. 랜섬웨어나 다른 사이버 보안 위험에 대한 기업의 대비 상태가 미흡하다고 판단될 경우, 내부 감사자는 이사회와 고위 경영진 같은 다른 이해 관계자에게 위험을 알려야 한다.  내부 감사 리더는 또한, 원격 근무 정책을 검토하여 IT 팀이 재택 근무 환경에 필요한 기능에만 집중하지 않고 랜섬웨어...

사이버보안감사 랜섬웨어 데이터유출 2022.08.10

킨드릴, 새 복구 서비스 발표…"전문가 사전 검토·실시간 피해 복구"

관리형 인프라 서비스 업체 킨드릴(Kyndryl)이 새 사이버 복구 리테이너 서비스(Recovery Retainer Service)를 지난 25일(현지 시각) 발표했다. 킨드릴은 자체 전문 인력의 사전 검토와 현장 복구 지원을 강점으로 내세웠다.    회사에 따르면, 새 서비스는 기업 고객이 랜섬웨어 등 사이버 공격에 피해를 받을 경우 자체 전문 인력을 기업 현장에 제공한다. 또한 업체 측은 이 서비스가 피해 관리에 국한되지 않으며, 사전 예방을 지원한다고 설명했다. 킨드릴의 보안팀이 기업 고객의 사이버보안 방어력을 검토하고 개선하여, 취약성을 보강하는 작업도 서비스에 포함된다.  사이버 공격이 발생할 시에는 보안 전문팀이 실시간으로 기업 고객과 연락하여 중요한 데이터를 복구하고 시스템을 원상 복구하도록 돕는다. 상황에 따라 원격 상담과 현장 파견이 모두 가능하다고 업체 측은 밝혔다.  복구 리테이너 서비스의 일환으로 제공되는 포렌식(forensics) 지원은 흔하다. 그러나 이번에 킨드릴이 발표한 것과 같은 현장 지원 서비스는 드물다.  킨드릴의 사이버보안 및 복원력을 담당하는 글로벌 보안 수칙 리더 크리스 러브조이는 이 서비스가 기존 사이버 공격 피해 복구 서비스의 연장선이라고 설명했다. 그는 "이제 이 분야[사이버보안]에서는, 단순한 방어를 넘어 '사이버 복원력(cyber resilience)’으로의 전환이 필요하다”라며 “이제 사이버 공격은 불가피하다. 따라서 공공과 민간 부문 모두 사이버보안은 물론 사이버 복원력을 갖춰야 한다”라고 말했다.  IDC의 리스크, 자문, 관리 및 개인 정보 보호 담당 리서치 디렉터 필립 해리스는 새 복원 서비스가 올해 4월 출시된 킨드릴의 오케스트레이션(orchestration) 및 사이버볼팅(cybervaulting) 서비스와도 잘 호환된다고 말했다. 이러한 서비스는 머신러닝 기반 구성 검사, 재해 복구 자동화 및 에어갭 백업 시스템 등을 포함한다. 에어갭...

랜섬웨어 데이터복원 데이터복구 2022.07.27

록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다.  조사 기간 동안 록빗을 사용한 공격은 총 208건이었다. 보고서에 따르면 록빗은 버그 바운티 프로그램을 운영하면서 공격으로 얻은 수익의 일정 비율을 사용료로 지불하며, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 소프트웨어 사용을 제한하는 등 상당히 체계적인 구조를 가지고 있다.  2분기에 새로 등장한 공격 그룹 블랙바스타(Blackbasta)는 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 또한 콘티 랜섬웨어라는 그룹은 지난 5월 없어져 2분기 공격 횟수가 감소했지만, 조사 기간 동안의 공격 횟수는 록빗2에 이어 2위에 오를만큼 많았다. 콘티는 공격적인 접근 방식과 더불어 일반적인 대형 랜섬웨어 그룹과 달리 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를...

랜섬웨어 록빗 콘티 2022.07.25

"송수신자 추적성 확보하라" EU, 암호화폐 규제 나선다

유럽연합(EU)이 암호화폐 규제에 나섰다. 기업 IT에 상당한 영향을 미칠 전망이다. 암호화폐는 사이버 범죄자가 선호하는 지불 수단이다. 랜섬웨어 공격을 받았을 때 몸값을 지불할 생각이라면 암호화폐가 필요하다. 사이버 범죄자가 암호화폐를 그토록 좋아하는 가장 큰 이유는 추적이 어렵기 때문이다.    EU에서 내놓은 이번 규제안이 중요한 이유다. EU는 모든 암호화폐를 대상으로 하는 추적 요건을 만들고 있으며, 이는 미국을 포함한 많은 국가의 규제당국에서 모방할 가능성이 높다. 만약 이 규제가 성공적으로 안착하고 EU가 변화의 결과로 큰 성과를 낸다면, 암호화폐는 사이버 범죄자가 선호하는 결제 수단에서 빠르게 제외될 수 있다. 이것이 기업 IT와 보안에 의미하는 바는 무엇일까? 바로 2023년과 2024년의 랜섬웨어 싸움에 암호화폐가 꼭 필요하지 않을 수 있다는 이야기다. 사이버 범죄자는 비자(Visa), 전신 송금(wire tranfer), ACH 결제(ACH payment)를 더 안전하게 사용하는 방법을 찾아낼 지도 모른다. 실제로 페이팔(PayPal) 계정을 충전하거나 젤러(Zelle) 또는 벤모(Venmo)를 사용하면 몸값 지불이 매우 단순해진다. 몸값 지불도 끔찍하지만 더 우려스러운 것은 많은 암호화폐를 빠르게 구매하기가 어렵다는 점이다. 암호화폐는 그 가치가 매우 변덕스럽기 때문에 기업이 언젠가 몸값을 지불하기 위해 마냥 보유하고 있을 수 없다. 500만 달러 상당의 암호화폐라고 생각했지만 정작 사용하려고 보니 4만 2,000달러의 가치밖에 되지 않을 수 있다.  그렇다면 EU는 정확히 무엇을 하려는 것일까? 유럽연합 이사회(The Council of the European Union)는 새로운 암호화폐 규제에 ‘잠정 합의’했다고 밝혔다. 현재 합의된 법안은 최종 버전이 아니기 때문에 최종적으로 어떤 내용이 포함될지는 명확하지 않다. EU는 성명문에는 다음과 같은 내용이 포함돼 있다. &n...

EU 암호화폐 랜섬웨어 2022.07.22

사이버 위협 환경 더 나빠졌다⋯"기업 66% 랜섬웨어 피해 입어"

사이버 위협 환경이 갈수록 나빠지고 있다. 전 세계 31개국 IT 전문가 5,600명을 대상으로 한 설문조사 결과를 담은 소포스의 ‘2022 랜섬웨어 현황(The State of Ransomware 2022)’에 따르면 전체 응답 기업의 72%가 지난해 사이버 공격의 규모, 복잡성, 영향이 증가했다고 밝혔다.    랜섬웨어만 놓고 보면 전체 응답 기업의 66%가 피해를 입었다고 답했다. 전년도 37%에서 크게 증가한 수치다. 팬데믹에 따른 디지털화와 재택근무가 원인으로 추정된다. 아울러 이 걱정스러운 증가세의 또 다른 원인으로는 ‘서비스형 랜섬웨어(RaaS)의 인기’가 꼽혔다. 랜섬웨어 공격을 받았다고 답한 기업의 약 3분의 2(65%)는 공격의 마지막 단계인 데이터 암호화를 당했다. 아시아 태평양 지역에서는 기업의 72%가 랜섬웨어 공격을 받았으며, 이 공격의 72%가 데이터 암호화로 이어졌다. 10곳의 회사 중 9곳은 랜섬웨어 공격이 비즈니스 운영에 영향을 미쳤다고 말했다. 데이터를 되찾기 위해 몸값을 지불했다고 밝힌 비율은 인도(78%)에서 가장 높았으며, 전 세계에서는 기업 2곳 중 1곳 미만이 몸값을 지불한다고 밝혔다.    지역 분석 사이버 보안 업체 소포스(Sophos)의 아시아 태평양 지역 수석 부사장 개빈 스트러더스는 인도가 몸값을 지불했다고 답한 비율이 가장 높은 이유는 데이터 백업 시스템이 제대로 갖춰져 있지 않아 취약하기 때문이라고 진단했다. 두 번째 이유는 랜섬웨어 공격이 보편화되면서 많은 기업이 강화된 방어 수단을 갖추고 몸값 지불을 중단했기 때문이다. 이로 인해 범죄자는 기업의 데이터를 다크웹에 유출하겠다고 위협하는 등의 갈취를 하고 있다. 스트러더스에 의하면 인도 기업은 브랜드와 고객의 개인정보를 침해할 수 있다는 두려움 때문에 더 빠르게 돈을 지불하는 것으로 드러났다.  이러한 2가지 이유는 (인도뿐만 아니라) 아시아 태평양 지역 전체에도 적용될 수 있다. 첫째, 모든...

사이버 보안 랜섬웨어 아시아 태평양 2022.07.13

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다.    연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.   마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다. 그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체...

마우이 북한 랜섬웨어 2022.07.12

"1일 1백업은 재앙"…실시간 기록 및 백업 지원하는 '지속적 데이터 보호'의 중요성

5년 전 NHS 등이 겪은 워너크라이 공격, 그리고 지난해 콜로니얼 파이프라인 보안 사고와 최근 엔비디아 사고까지 랜섬웨어 사건 사고 타임라인은 계속 늘어나고 있다. 사실 복잡한 사이버보안 지형에서 매일 새로운 사건이 1면을 장식하는 일은 거의 없고, 엄청난 혼란을 야기하는 문제도 많지는 않다. 그러나 2021년 IDC 연구에 따르면 전 세계 기업의 약 40%가 어떤 형태로든 랜섬웨어 피해를 경험한 적이 있다. 지난 2월 CISA 보고서는 전 세계의 중요 인프라에 대한 정교하고 영향력이 큰 랜섬웨어 사건 증가를 확인했으며, 미국 핵심 인프라 16개 중 14개가 랜섬웨어 공격의 표적이 되었다고 분석했다. 워너크라이 이후 연간 랜섬웨어 공격은 1억 8,400만 건에서 3억 건 이상으로 60% 이상 증가했다. 여러 전문가가 랜섬웨어 공격이 이제 ‘가능성’이 아니라 ‘시기’의 문제라고 진단했지만 지금은 다시 ‘얼마나 자주 공격받는가’의 문제가 된 것이다.   2017년 이후 점점 정교해지는 랜섬웨어 공격에 발맞춰 사이버보안 업계 대응책도 진화하고 있다. 항상 모든 공격을 예방할 수는 없겠지만, 이제 기업은 다운타임을 줄이고 수 일이 아닌 수 분, 수 초만에 데이터를 복구하는 정교한 대응 방법을 강구할 수 있다.   지속적 데이터 보호 CDP(Continuous Data Protection, 지속적 데이터 보호)도 그중 하나다. 기업 IT는 로컬 및 원격에서 여러 개의 복사본을 빠르게 생성해 규모에 맞게 모든 사이트와 애플리케이션을 빠르게 복구하는 ‘올웨이즈온’ 사본 및 저널링 기술을 고려할 수 있을 것이다. 시스템의 다운타임과 데이터 손실 위험이 있는 기업이라면 1일 전 백업만 보유하는 것은 매우 위험하다. 시간이 지나 데이터 손실의 위험이 커지면 복구 비용은 비약적으로 상승한다. 핵심 데이터를 보호하는 현재의 대다수 접근법은 기간별 스냅샷을 생성해 데이터를 보호하는 수십 년 전의 레거시 솔루션에 의존하는 방법이다. 그러나 항상 활성화되어...

지속적데이터보호 랜섬웨어 워너크라이 2022.07.11

윈도우의 '제어된 폴더 액세스' 기능을 조심해서 써야 하는 이유

2010년대 중반 랜섬웨어 공격이 증가하자 마이크로소프트는 윈도우 사용자와 관리자에게 랜섬웨어 공격으로부터 PC를 보호할 툴을 제공하기 위해 고민했다. 그 결과가 2017년 10월 기능 업데이트에 추가된 '제어된 폴더 액세스(Controlled Folder Access)'라는 기능이다.  설명 문서에 따르면, 제어된 폴더 액세스는 리소스가 제한된 일반 사용자, 홈 PC 사용자, 소규모 기업을 위한 좋은 보호 툴이다. 마이크로소프트는 “제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱과 위협으로부터 귀중한 데이터를 보호하는 데 도움이 된다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록을 기준으로 앱을 검사해 데이터를 보호한다. 윈도우 서버 2019, 윈도우 서버 2022, 윈도우 10, 윈도우 11 클라이언트에서 지원되며 윈도우 보안 앱, 마이크로소프트 엔드포인트 구성 관리자(Endpoint Configuration Manager) 또는 인튠(Intune, 관리형 디바이스에 해당)을 사용해 활성화할 수 있다”고 설명했다.  또한 마이크로소프트에 따르면, 제어된 폴더 액세스는 신뢰할 수 있는 앱만 보호되는 폴더에 액세스하도록 허용한다. 보호된 폴더는 제어된 폴더 액세스가 구성되는 시점에 지정된다. 일반적으로 문서, 사진, 다운로드용 폴더와 같이 자주 사용되는 폴더가 제어된 폴더 목록에 포함된다. 구체적으로 보호되는 폴더는 다음과 같다.   c:\Users\<username>\Documents c:\Users\Public\Documents c:\Users\<username>\Pictures c:\Users\Public\Pictures c:\Users\Public\Videos c:\Users\<username>\Videos c:\Users\<username>\Music c:\Users\Public\Music c:\Users\<username>\Favorites  ...

제어된 폴더 액세스 보안 랜섬웨어 2022.07.08

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.