🔍랜섬웨어, 35년 동안 어떻게 변했나?

최초의 랜섬웨어인 AIDS Trojan이 등장한 지 35년이 지난 지금도 랜섬웨어는 계속 진화하고 있습니다. Google Threat Intelligence의 발표 내용을 살펴보면, 랜섬웨어 공격자들이 다양한 침입 경로를 발굴하기 위해 지속적으로 노력하고 있음을 알 수 있습니다. 또한, 그들은 매우 빠르게 공격 벡터를 변경하며 공격을 수행하고 있습니다.

이제 랜섬웨어 공격자들은 단순히 암호화 후 복호화키 제공만으로 협박하지 않습니다. 그들은 암호화와 더불어 데이터 도난 협박을 함께 사용하는 이중 협박 전략을 기본으로 채택했습니다. 이러한 이중 협박을 위해 공격자들은 데이터 유출 사이트(이하 DLS: Data Leak Sites)를 운영합니다. DLS는 2022년 잠시 주춤했으나, 2023년에 큰 폭으로 증가했으며, 2024년에도 많은 DLS가 활발히 운영되고 있습니다.

랜섬웨어 공격자들의 목적은 일반적인 기업과 마찬가지로 적은 투자로 높은 수익을 얻는 것입니다. 이들은 더 많은 수익을 위해 끊임없이 진화하고 있으며, 그 대표적인 예가 RaaS(Ransomware as a Service)입니다. RaaS에서는 운영 주체와 공격자가 분리되어 있습니다. 공격자들은 Deep/Dark 웹의 다양한 마켓에서 활동하는 Access Broker를 통해 침투에 필요한 계정, 접속 권한, 경로 등을 구매하여 공격을 수행합니다. 이로 인해 랜섬웨어 제작 기술이나 초기 침투 경로 확보 능력이 없어도 쉽게 공격할 수 있는 시대가 열렸고, 그 결과 더 많은 공격자들이 손쉽게 공격을 감행하고 있습니다.

그렇다면 보안 담당자들은 어떻게 해야 할까요? 계속 진화하는 데이터 도난과 랜섬웨어 전술에 무기력하게 당해만 있어야 할까요? 그렇지 않습니다. 공격자들의 전략을 분석하고 그들이 사용하는 기술에 대응할 수 있는 능력을 갖추면 됩니다. Google Threat Intelligence에서 발표한 랜섬웨어 대응 가이드라인을 소개하며 마무리하겠습니다.

Google Cloud Security는 2024년 5월 1일 "랜섬웨어 보호 및 격리 전략"이라는 보고서를 발간했습니다. 이 보고서는 변화하는 데이터 도난 및 랜섬웨어 전술에 맞춰 조직의 공격 표면 범위를 파악하고 적절한 보안 제어 및 가시성을 확보할 수 있도록 가이드를 제시합니다. 이를 통해 조직은 최신 랜섬웨어 배포 방식을 이해하고 효과적인 대응 전략을 수립할 수 있을 것입니다.

링크:https://cloud.google.com/blog/topics/threat-intelligence/ransomware-protection-and-containment-strategies?linkId=9717673&hl=en

OpenAI의 ChatGPT 맥OS 앱에서 발견된 'SpAIware' 취약점은 공격자가 메모리 기능을 악용해 스파이웨어를 심고 사용자 데이터를 유출할 수 있도록 한 문제였다. 오픈AI는 이를 패치했으며, 사용자는 메모리 내용을 정기적으로 검토하고 삭제할 것을 권고받았다.경찰청은 베트남에서 모바일 스미싱 범죄를 저지른 해외 조직원 7명을 검거하고, 총책 등 3명을 9월 14일 송환했다. 이번 작전으로 총 86명이 검거되었으며, 피해 규모는 약 100억 원이다. 경찰은 국제 공조를 통해 신종 사기 범죄에 강력히 대응할 방침이다.보안 연구진이 기아차 딜러 포털의 취약점을 발견해 차량이 원격 공격에 노출될 수 있음을 경고했다. 차량 번호판만으로 잠금, 시동, 위치 추적 등이 가능했다. 기아는 즉시 취약점을 수정했으며, 전문가들은 강화된 인증과 정기적인 보안 감사를 강조했다.CVE-2024-9486에서 쿠버네티스 이미지 빌더의 심각한 보안 취약점이 발견되어, 공격자가 특정 조건에서 루트 권한을 획득할 위험이 있다. 기본 자격 증명 사용 중 발생하며, Proxmox 프로바이더로 생성된 VM 이미지에 영향을 미친다. 보안 조치로는 비밀번호 무작위 생성과 계정 비활성화가 권장되며, 패치된 버전으로의 재구축이 필요하다. 전 세계 사이버 보안 커뮤니티가 큰 우려를 표하고 있다.

>시큐톡톡 뉴스레터 구독하기<