2024-11-24 11:30 (일)
"주간 평균 랜섬웨어 활동, 1년 전보다 10배 이상 증가“
상태바
"주간 평균 랜섬웨어 활동, 1년 전보다 10배 이상 증가“
  • 길민권 기자
  • 승인 2021.10.05 15:06
이 기사를 공유합니다

포티넷코리아, ‘2021년 상반기 글로벌 위협 전망 보고서’ 발표
포티넷코리아, ‘2021년 상반기 글로벌 위협 전망 보고서’ 발표

포티넷코리아(대표 조원균)는 오늘, 자사의 보안연구소인 포티가드랩이 발표한 ‘2021년 상반기 글로벌 위협 전망 보고서’를 발표했다.

이 보고서에서는 개인 및 기업은 물론, 중요 인프라를 타겟으로 하는 공격의 규모와 정교성이 크게 강화되고 있으며, 기존 네트워크 내외부의 하이브리드 근무자 및 학습자들이 증가하면서 공격 범위가 확장되고 그들이 주요 공격 대상이 되고 있다는 점을 보여주고 있다. 또한, 법 집행 기관은 물론 공공 및 민간 부문 전반에서의 적절한 협력 및 파트너십 모멘텀은 2021년 하반기에 사이버 범죄 생태계를 교란시킬 수 있는 좋은 기회로 작용하고 있다고 설명했다.

포티가드랩(FortiGuard Labs)의 보안 인사이트&글로벌 위협 얼라이언스 총괄 데릭 맨키(Derek Manky)는 “한 번의 사고가 수천 개의 기업에 영향을 미치는 파괴적인 사이버 공격이 증가하고 있으며, 우리는 사이버 범죄와의 전쟁에 중요한 변곡점을 맞이하고 있다. 그 어느 때보다도 모든 이들이 킬 체인을 강화하는 데 중요한 역할을 하고 있다. 사이버 범죄 공급망을 교란시키려면 협업을 통해 힘을 조절하는 것이 우선시되어야 한다. 정보 공유 및 파트너십을 통해 보다 효과적인 대응이 가능하고 미래의 공격 기법을 효과적으로 예측해 공격을 차단할 수 있다. 지속적인 사이버 보안 인식 교육은 물론, 엔드포인트, 네트워크 및 클라우드 전반에서 통합된 AI 기반 예방, 탐지 및 대응 기술은 사이버범죄에 대응하는데 매우 필수적인 요소이다"라고 말했다.

2021년 상반기 글로벌 위협 전망 보고서’의 주요 내용은 다음과 같다.

◇ 랜섬웨어는 단순히 ‘돈’ 이상의 의미를 갖는다- 포티가드랩 조사에 의하면 2021년 6월 주간 평균 랜섬웨어 활동은 1년 전보다 10배 이상 증가했다. 이는 랜섬웨어 활동이 1년간 전반적으로 꾸준히 증가했다는 것을 보여준다. 랜섬웨어 공격은 여러 주요 기업들의 공급망을 손상시켰으며, 일상적인 업무는 물론, 생산성과 상업 활동에 그 어느 때보다 큰 영향을 미쳤다.

또한, 통신 분야 기업들이 가장 많은 공격을 받았으며 정부, 관리형 보안 서비스 제공업체, 자동차 및 제조 부문 기업이 그 뒤를 이었다. 일부 랜섬웨어 운영자들은 이메일로 침투하는 페이로드에서 기업 네트워크에 대한 최초 접근 권한을 확보 및 판매하는데 주력하는 전략으로 전환했으며, 이는 사이버범죄를 증가시키는 RaaS(서비스형 랜섬웨어)가 계속 진화하고 있다는 점을 보여준다. 중요한 사실은 랜섬웨어가 산업이나 기업 규모에 상관없이 모든 기업이 직면한 명백한 위험 대상이라는 점이다. 기업들은 제로-트러스트 액세스 접근 방식, 망 분리, 암호화와 더불어, 비즈니스 환경을 보호하기 위한 실시간 엔드포인트 보호, 탐지 및 자동화된 응답 솔루션을 구축하여 사전 예방적 접근방식을 도입해야 한다.

◇ 온라인 광고를 통해 악성코드를 유포하는 멀버타이징을 탐지한 기업은 1/4에 불과하다- 멀웨어 군별로 많이 탐지된 멀웨어 순위를 보면 사회공학적 기법을 이용하는 멀버타이징과 스케어웨어가 증가한 것으로 나타났다. 4개 중 1개 이상의 기업이 멀버타이징 또는 스케어웨어 시도를 감지했다. 이처럼 많은 양이 감지된 것은 멀버타이징으로 보일 수 있는 이와 유사한 자바스크립트 캠페인이 합해졌기 때문일 가능성이 높다. 하이브리드 근무 환경이 확산되면서 공격자들의 이와 같은 공격 트렌드가 더욱 강화되었다는 것은 의심할 여지가 없다. 공격자들이 이러한 환경을 악용하려고 시도하는 것은 단순히 겁을 주기 위해서가 아니라, 실제 정보 강탈을 목표로 한다. 스케어웨어 및 멀버타이징 공격을 피하기 위해서는 사이버 보안에 대한 인식을 높이고 시기적절한 훈련과 교육을 실시하는 것이 매우 중요하다.

◇ 봇넷 트렌드, 공격자들의 엣지 공격 트렌드를 보여준다- 봇넷 활동의 증가에 따른 봇넷 탐지 이벤트 수가 증가하였다. 연초, 기업의 35%가 한 종류 또는 다른 종류의 봇넷 활동을 감지했다고 보고했으나, 6개월 후 이 수치는 51%로 증가했다. 트릭봇 활동이 크게 증가한 것은 6월에 봇넷 활동이 전반적으로 급증한데 기인한다. 트릭봇은 원래 뱅킹 트로이 목마로 업계에 등장했으나, 이후 다양한 불법 활동을 지원하는 정교한 다단계 툴킷으로 개발되었다. 미라이(Mirai)는 전반적으로 가장 광범위하게 확산되어 있다. 2020년 초, Gh0st를 추월했고 2021년까지 계속 우위를 점하고 있다. 미라이는 지속적으로 새로운 사이버 무기를 추가하고 있으나, 미라이의 우세는 재택근무나 재택학습자들이 사용하는 사물인터넷(IoT) 기기를 악용하려는 공격자들로 인한 것일 가능성이 높다.

공격자가 감염된 시스템을 완전히 제어하고, 라이브 웹캠 및 마이크로폰 피드를 캡처하거나 파일을 다운로드할 수 있도록 해주는 원격 액세스 봇넷 ‘Gh0st’의 활동도 매우 활발한 것으로 나타났다. 원격 근무 및 원격 학습으로 전환된 지 1년이 지난 지금, 사이버 공격자들은 지속적으로 우리의 변화하는 일상 습관을 타깃으로 공격 기회를 노리고 있다. 네트워크와 애플리케이션을 보호하려면 네트워크에 진입하는 IoT 엔드포인트 및 장치 보호를 위해 최소한의 액세스 권한을 제공하는 제로-트러스트 액세스 접근방식을 도입해야 한다.

◇ 사이버 범죄를 둔화시키려는 노력이 위협을 감소시킨다- 사이버 보안에서 모든 조치가 즉각적으로 효과적이거나 지속적인 영향을 미치는 것은 아니나, 2021년의 여러 이벤트들은 긍정적인 성장을 보여줬다. 트릭봇의 최초 개발자는 6월에 여러 혐의로 기소되었다. 또한, 역사상 가장 악명을 높인 이모텟(Emotet)을 국제 공조로 무력화시키고, Egregor, NetWalker, Cl0p 랜섬웨어를 차단하기 위한 글로벌 정부 및 법 집행 기관의 노력은 사이버 방어 측면에서 상당한 모멘텀을 보여주었다. 또한, 일부 조치들은 랜섬웨어 운영자들을 위축시키고 공격 중단을 이끌어냈다.

포티가드랩의 데이터에 의하면 이모텟 중단 이후 위협 활동이 둔화된 것으로 나타났다. 트릭봇 및 류크 변종과 관련된 활동은 이모텟 봇넷이 오프라인 상태가 된 후에도 지속되었지만 그 볼륨은 감소했다. 이는 사이버 위협이나 공급망 공격을 즉시 무력화시키는 것이 얼마나 어려운지를 보여주지만, 한편으로는 중요한 성과이기도 했다.

◇ 사이버 범죄자들은 방어적 회피(Defensive Evasion) 및 권한 상승(Privilege Escalation) 전략을 선호한다- 위협 인텔리전스를 깊이 있게 연구하면 공격 기술이 현재 어떻게 진화하고 있는지 파악할 수 있다. 포티가드랩은 샘플 폭파를 통해 사이버 공격자들이 의도한 결과가 무엇인지 살펴봄으로써 탐지된 멀웨어에 내재되어 있는 특정 기능을 분석했다. 그 결과, 공격 페이로드가 타깃 환경에서 실행된 경우, 멀웨어가 수행한 부정적인 작업 목록이 나왔다. 이를 통해 사이버 공격자들이 권한을 상승시키고, 보안 시스템의 방어 기술을 회피하며, 내부 시스템에서 공격을 확산시키고, 손상된 데이터를 탈취하려고 시도했음을 알 수 있었다.

예를 들어, 관찰된 권한 상승 기능의 55%는 후킹(hooking)을 활용했으며, 40%는 프로세스 인젝션(process injection)을 활용했다. 즉, 방어 회피(defense evasion) 및 권한 상승(privilege escalation) 전략에 주력하고 있다는 점을 보여준다. 이러한 기술이 새로운 것은 아니지만 기업들은 이러한 적시적인 지식을 기반으로 향후 공격에 대비할 수 있다. 실행 가능한 위협 인텔리전스를 기반으로 하는 통합 AI 주도적인 플랫폼 접근 방식은 모든 에지를 방어하고, 오늘날 기업이 직면한 위협을 실시간 식별 및 해결하는 데 필수적이다.

과거에도 정부와 법 집행 기관들은 사이버 범죄와 관련된 조치를 취해왔지만, 2021년 상반기는 미래의 모멘텀 측면에서 게임 체인저가 될 수 있다. 즉, 업계의 공급업체, 위협 인텔리전스 기업 및 기타 글로벌 파트너십 기업들은 리소스 및 실시간 위협 인텔리전스를 통합하여 사이버 공격자에 대한 직접적인 조치를 취하기 위해 상호 협력하고 있다. 이와는 별도로 자동화된 위협 탐지 및 AI는 기업들이 실시간으로 공격을 해결하고 모든 엣지에서의 확장 및 신속한 공격을 완화하는데 필수적이다.

또한, 사이버보안 사용자 인식 교육은 사이버 공격의 대상이 되는 모든 이들에게 그 어느 때보다도 중요하다. 직원 개인과 기업의 안전을 위해 베스트 프랙티스에 대한 정기적인 교육이 필요하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★