편집 : 2020.4.5 일 09:59
뉴스
“사이버 공격 그룹, 주로 밤 시간 활동”파이어아이, 랜섬웨어 배포 트렌드 발표
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2020.03.22  09:09:38
트위터 페이스북 미투데이 요즘 네이버 구글 msn

글로벌 사이버 공격 그룹은 근무 시간을 피해 주로 밤 시간에 활동하는 것으로 나타났다.

파이어아이 코리아(지사장 전수홍)은 지난 20일, 본사 공식 블로그를 통해 랜섬웨어 배포 트렌드 리포트를 발표하며 이같이 밝혔다. 

지난 2017~2019년 파이어아이 맨디언트 인텔리전스(Mandiant Intelligence)팀은 수십건에 이르는 랜섬웨어 침해 사고 대응 사례를 조사했다. 

그 결과, ▲초기 침입 벡터, 체류시간 및 랜섬웨어 배포에 걸리는 기간에 공통점 발견 ▲공격그룹이 이익을 극대화하기 위한 공격 전술 진화 ▲북미, 유럽, 아시아 태평양 및 중동 지역의 금융, 화학, 법률, 헬스케어를 포함한 전문 서비스 영역 뿐 아니라 공공기관까지 거의 모든 산업을 대상으로 공격 활동을 펼친다는 사실을 발견했다. 

이어 ▲FIN6 와 TEMP.MixMaster 같은 공격 그룹이 금전 탈취의 목적을 띄고 침입한 사례 등이 발견됐다.

파이어아이 맨디언트가 조사한 랜섬웨어 건수는 2017년부터 2019년까지 860% 증가했고, 이 중 대다수의 사례는 사전 공격으로 인해 사용자의 시스템을 먼저 감염시킨 후 랜섬웨어를 배포하는 전술로, 이와 같은 치밀한 공격으로 공격자들은 금전적 이익 극대화를 노린 것으로 풀이된다. 

◆일반적 초기 공격 벡터 = 파이어아이는 여러 랜섬웨어 침해사고에서 몇 가지 공통적인 초기 공격 벡터를 발견했다.

원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)과 악성 링크 또는 첨부파일을 통한 피싱이 여기에 해당된다.

피해자가 멀웨어를 다운로드 하도록 유도해 후속 공격 활동을 이어간 것이다.

RDP는 상대적으로 2017년에 빈번히 발견됐으며, 2018년과 2019년에는 감소했다.

이같은 초기 공격 벡터는 랜섬웨어가 사용자와 접촉하지 않고도 다양한 방법으로 피해자의 환경에 진입할 수 있다는 점을 시사한다.

◆대부분의 랜섬웨어 배포, 초기감염 3~4일 후 이뤄져 = 파이어아이 조사에 따르면, 악성 활동이 감지된 최초의 시기부터 랜섬웨어 배포까지 걸린 시간은 0~299일 사이로 나타났다.

침해 사고 중 75%에서 악성 활동 최초 감지부터 랜섬웨어 배포까지 최소 3일이 걸린 것으로 나타났다.

또, 침해 사고를 초기에 탐지 및 차단하고 신속하게 조치한다면, 많은 조직이 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 피할 수 있음을 보여준다.

◆대부분의 랜섬웨어 배포는 근무시간 외 발생 = 파이어아이가 검토한 랜섬웨어 침해사고 중 76%가 근무시간 외에 일어났다.

예를 들어, 공격 대상이 위치한 시간대를 고려해 직원이 근무하지 않는 주말 혹은 평일 오전 8시 이전, 오후 6시 이후에 공격을 실행한 것이다.

랜섬웨어 공격에 따른 피해자가 감당해야 할 손실과 비용이 크고, 최근 몇 년간 사이버 공격 그룹이 진화하며 랜섬웨어 감염을 통한 피해를 지속적으로 증가시키고 있다.

파이어아이는 금전 탈취 목적을 띈 공격 그룹이 랜섬웨어를 통한 수익을 극대화하기 위해 공격 전술을 계속해서 발전시킬 것으로 예상하고 있다.

랜섬웨어 감염 후에 따르는 피해가 증가할 것으로 보이며, 공격자는 랜섬웨어를 통해 데이터 도용 및 탈취, 주요 시스템을 표적한 공격에 지속적으로 이용할 것으로 전망된다.

긍정적인 시사점도 있다.

사전 공격으로 시스템 감염 후 랜섬웨어를 배포하게 되면 최초 공격 시도와 랜섬웨어 배포 사이에 어느 정도 시간차가 존재한다.

네트워크 보안 담당자가가 초기 공격을 신속하게 탐지하고 적절한 방어 조치를 할 수 있다면, 랜섬웨어 감염으로 인해 심각한 피해를 줄일 수 있을 것이다.

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
금융권 ‘오라클 리스크’ 대책 마련 분주…KB도 갈등
2
OK저축은행, 차세대시스템 구축 RFP 발송
3
“난파선에 올라탄 선장”…“오히려 그게 더 좋아”
4
KT, 신임 구현모 대표 선임
5
LG유플러스-쌍용차-네이버, ‘인포폰’ 출시
6
LG유플러스-세이프티랩-다우코리아, MOU
7
KT, ‘아이엠 슈퍼브이알’ 후원
8
SC제일은행, 공식 유튜브 채널 개편
9
KT, '코로나 19' 대응 멤버십 혜택 강화
10
‘티맥스 인공지능 개발센터’ 광주 법인 설립
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기 | 청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net