2020-05-25 07:35 (월)
"랜섬웨어 배포, 초기감염 3-4일 후 이루어져…초기 대응역량이 관건"
상태바
"랜섬웨어 배포, 초기감염 3-4일 후 이루어져…초기 대응역량이 관건"
  • 길민권 기자
  • 승인 2020.03.20 13:47
이 기사를 공유합니다

파이어아이 랜섬웨어 배포 트렌드 리포트 발표

최근 KISA는 코로나19와 관련 ‘랜섬웨어’ 공격에 기관과 기업들이 철저히 대비해 줄 것을 당부했다. 공격자들의 궁극적 목적이 돈이기 때문에 랜섬웨어는 올해도 사이버 공격의 중심에 있을 전망이다.

한편 랜섬웨어 감염 예방을 위해 초기 대응이 무엇보다 중요하다는 연구결과가 나왔다.

파이어아이는 자사 공식 블로그를 통해 랜섬웨어 배포 트렌드 리포트를 20일 발표했다. 이 회사 맨디언트 인텔리전스(Mandiant Intelligence)팀이 2017년부터 2019년까지 수십 건에 이르는 랜섬웨어 침해 사고 대응 사례를 조사한 결과다.

이 회사가 조사한 랜섬웨어 건수는 2017년부터 2019년까지 860% 증가했고 이 중 대다수의 사례는 사전 공격으로 인해 사용자의 시스템을 먼저 감염시킨 후 랜섬웨어를 배포하는 전술로, 치밀한 공격으로 금전적 이익 극대화를 가져가고 있는 중이다.

파이어아이는 여러 랜섬웨어 침해사고에서 몇 가지 공통적인 초기 공격 벡터를 발견했다. 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)과 악성 링크 또는 첨부파일을 통한 피싱이 여기에 해당된다. 피해자가 멀웨어를 다운로드 하도록 유도해 후속 공격 활동을 이어간 것이다.

RDP는 상대적으로 2017년에 빈번히 발견되었으며, 2018년과 2019년에는 감소했다. 이러한 초기 공격 벡터는 랜섬웨어가 사용자와 접촉하지 않고도 다양한 방법으로 피해자의 환경에 진입할 수 있다는 점을 시사한다.

악성 활동이 감지된 최초의 시기부터 랜섬웨어 배포까지 걸린 시간은 0-299일 사이로 나타났다.

파이어아이 랜섬웨어 보고서 내용 중.
파이어아이 랜섬웨어 보고서 내용 중.

침해 사고 중 75%에서 악성 활동 최초 감지부터 랜섬웨어 배포까지 최소 3일이 걸린 것으로 나타났다. 즉 침해 사고를 초기에 탐지 및 차단하고 신속하게 조치한다면, 많은 조직이 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 피할 수 있음을 보여준다.

한편 파이어아이가 검토한 랜섬웨어 침해사고 중 76%가 근무시간 외에 일어났다. 예를 들어, 공격 대상이 위치한 시간대를 고려해 직원이 근무하지 않는 주말 혹은 평일 오전 8시 이전, 오후 6시 이후에 공격을 실행한 것이다.

랜섬웨어 공격에 따른 피해자가 감당해야 할 손실과 비용이 크고, 최근 몇 년간 사이버 공격 그룹이 진화하며 랜섬웨어 감염을 통한 피해를 지속적으로 증가시키고 있다.

파이어아이 측은 “금전 탈취 목적의 공격 그룹이 랜섬웨어를 통한 수익을 극대화하기 위해 공격 전술을 계속해서 발전시킬 것”이라며 “랜섬웨어 감염 후에 따르는 피해가 증가할 것이다. 공격자는 랜섬웨어를 통해 데이터 도용 및 탈취, 주요 시스템을 표적으로 한 공격을 지속적으로 진행할 것”이라고 경고했다.

끝으로 “사전 공격으로 시스템 감염 후 랜섬웨어를 배포하게 되면 최초 공격 시도와 랜섬웨어 배포 사이에 어느 정도 시간차가 존재한다. 네트워크 보안 담당자가가 초기 공격을 신속하게 탐지하고 적절한 방어 조치를 할 수 있다면, 랜섬웨어 감염으로 인해 심각한 피해를 최소화할 수 있을 것”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★