소프트웨어 배포, 네트워크 성능 모니터링, 패치 적용(시스템과 소프트웨어 모두), 소프트웨어/하드웨어 조달, 기타 여러 작업 수행에 있어 시스템, 파트너 및 공급업체와 같은 신뢰할 수 있는 조직을 악용한 사이버공격들이 급증하고 있다.
최근의 랜섬웨어 공격은 그러한 시스템 중 하나를 사용해 수천 개의 피해자 회사를 공격하는 사례가 늘고 있다.
최근 공격 사례를 보면, IT 관리자가 시스템을 모니터링하고 일상적인 작업을 자동화하고 소프트웨어를 배포하고 시스템을 패치할 수 있도록 설계된 카세야(Kaseya) VSA IT 관리 소프트웨어를 공격한 예다.
공격자는 제로데이를 악용해 제품의 고객 인스턴스에 액세스하고 기본 기능을 사용해 해당 고객 엔드포인트에 랜섬웨어를 배포할 수 있었다.
랜섬웨어 그룹 REvil은 공격 직후 100만 개 이상의 장치를 감염시켰다고 자랑하며 몸값 7천만 달러를 요구했다. 갈수록 대담해 지고 있다. 이들은 돈을 지불하면 암호를 모든 조직에서 작동할 수 있도록 해 주겠다며 지불을 유도한다.
공격자들은 한 번의 공격으로 다양한 조직에 영향을 미치는 공격으로 선회하고 있다. 그 예가 바로 카세야와 솔라윈즈 공격이다.
또한 최신 공격은 다른 파일의 사이드로드를 허용하는 Microsoft Defender의 이전 복사본을 악용하기도 한다.
공급망 공격은 시스템에 대한 신뢰를 악용하고 방어를 우회한다.
전문가들은 이런 공격을 예방하기 위해 공급망에 대한 내재적 신뢰를 면밀히 조사해야 한다고 강조한다.
그러기 위해서는 협업하고 있는 공급업체, 인프라를 관리 및 모니터링하는 장비 공급업체, 또 보안소프트웨어 업체 등과 협력해야 한다.
우선 공급망 기업에 파괴적인 공격을 방지하기 위해 어떤 대책을 갖고 있는지 확인할 필요가 있다. 업데이트시 어떤 방어 체계가 작동하는지 말이다.
그리고 솔루션 제공업체에 코드를 어떻게 보호하는지도 확인해야 하고 코드를 평가할 수 있어야 한다. 또 공격의 이동을 방지하기 위해 적절한 프로세스와 아키텍처가 마련되어 있는지 살펴야 한다.
공급 기업의 보안환경, 특히 업데이트 서버를 어떻게 보호하는지 확인하고 특히 제3자 평가자의 감사 또는 평가 결과를 확인하는 것이 중요하다고 보안전문가들은 강조한다.
더불어 서비스 계약시, 해당 파트너가 랜섬웨어 및 맬웨어로부터 사용자를 안전하게 보호해야 하는 계약상 책임이 있는지 확인하고 공격을 받은 경우 보상을 요구할 수 있는 권리가 있는지도 확인할 필요가 있다고 권고하고 있다.
★정보보안 대표 미디어 데일리시큐!★