팔로알토 네트웍스 ‘랜섬웨어 및 갈취 공격 보고서’ 발표… 데이터 탈취가 공격의 70% 차지
[보안뉴스 김영명 기자] 최근 랜섬웨어 및 데이터 갈취 행위자들은 더욱 공격적인 전술을 사용하는 것으로 분석됐다. 특히, 해당 공격에는 수위 높은 괴롭힘이 동반되는 경우가 늘었는데, 2021년과 비교했을 때 20배 이상 증가했다. 공격자들은 휴대전화, 이메일 주소를 사용해 C레벨 경영진 등 조직 내 특정 인물을 공격 목표로 고객을 겨냥하는 등 몸값을 지급하도록 압박을 주는 방식이다.
![[보안뉴스 / 5.9.] 랜섬웨어 및 데이터 갈취 행위자... 괴롭힘 관련 공격 1년새 20배 증가](http://www.boannews.com/media/upFiles2/2023/05/11023382_1671.jpg)
[이미지=GettyImage]
글로벌 차세대 사이버 보안 선도 기업인 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만)는 자사의 보안위협 연구기관 유닛42(Unit42)의 인시던트 대응 케이스를 바탕으로 ‘랜섬웨어 및 갈취(Extortion) 공격 보고서’를 발간했다. 이번 보고서에는 최근 18개월 내 발생한 1,000여건의 케이스에 대한 분석 결과를 담았다.
보고서에 따르면, 지난해에도 랜섬웨어가 기업과 기관들의 주요 고민거리로 작용했다. 공격자들이 요구하는 몸값(ransome) 금액은 평균 65만 달러(약 8억 6,131만원), 실제 지불 금액은 평균 35만 달러(약 4억 6,378만원)로 효과적인 협상을 통해 지급액을 줄일 수 있었던 것으로 분석됐다.
이번 보고서에는 크게 △여러 가지 탈취 수단 사용한 압박 △데이터 유출 사이트를 통한 협박 △사회 취약 계층을 공격하는 랜섬웨어 그룹 등으로 나눠 분석했다. 먼저, ‘여러 가지 탈취 수단 사용한 압박’에서 랜섬웨어 그룹들은 조직에 몸값을 지급하도록 압박하기 위해 강력하게 영향력을 행사하는 갈취 기술들을 계층화해 사용하고 있다. 갈취 기술들로는 암호화, 데이터 탈취, 분산 서비스 거부(DDoS), 괴롭힘 등이 해당된다. 다크웹 사이트 유출과 관련성이 높은 데이터 탈취는 지난해 말까지 70%를 차지하며 가장 대중적인 공격 수단으로 꼽혔다. 이는 전년 대비 30% 오른 수치다.
두 번째로 ‘데이터 유출 사이트를 통한 협박’이 있다. 유닛42 조사에 따르면 매일 평균 7명의 새로운 랜섬웨어 피해자가 유출 사이트에 게시되고 있다. 이는 4시간마다 한 명의 피해자가 발생하는 꼴이다. 유닛42에서 조사한 협상 관련 랜섬웨어 인시던트의 53%는 랜섬웨어 공격 그룹이 데이터 유출 사이트에 탈취한 데이터를 유출하겠다고 협박한 것으로 나타났다. 이러한 행위는 새로운 그룹과 레거시 그룹에서 혼합된 형태로 관찰됐으며, 새로운 공격 행위자들이 기존 그룹과 마찬가지로 현금을 회수하기 위한 환경에 진입하고 있음을 의미한다. 블랙캣(BlackCat), 록빗(LockBit) 등과 같은 기존 공격 그룹이 유출의 57%에 이바지했으며, 그 외에 새로운 그룹이 43%로 뒤를 이었다.
세 번째로 ‘사회 취약 계층을 공격하는 랜섬웨어 그룹’이다. 최근 1년간 주목할 만한 랜섬웨어 공격 그룹 중 특히 급격히 증가하고 있는 분야는 학교와 병원을 노리는 공격이다. 공격자들의 저열함이 두드러지는 이러한 유형의 공격의 대표적인 사례는 ‘바이스 소사이어티(Vice Society)’ 조직이다. 이 조직은 올해도 계속해서 활동하고 있으며, 유출 사이트에 게시된 인시던트의 절반가량이 교육기관에 영향을 미치는 것으로 조사됐다.
![[보안뉴스 / 5.9.] 랜섬웨어 및 데이터 갈취 행위자... 괴롭힘 관련 공격 1년새 20배 증가](http://www.boannews.com/media/upFiles2/2023/05/11023382_9596.jpg)
▲포브스 선정 2,000대 기업 중 가장 빈번하게 표적이 된 업종 리스트[자료=팔로알토 네트웍스]
팔로알토 네트웍스는 공격자들이 사용하는 전술에 대한 심층적인 통찰을 공유하고, 가장 영향을 많이 받는 산업 및 지역을 분석하는 한편, 기업과 기관들의 대응 방안의 팁을 제공했다. 구체적으로는 미국에 기반을 둔 조직들이 전체 피해의 42%를 차지하며 가장 심각한 영향을 받았고, 독일과 영국이 각각 5%를 차지하며 그 뒤를 이었다.
지난 한 해 동안 포브스 선정 2,000대 기업 중 30개의 조직이 공개적으로 심각한 영향을 받은 것으로 알려졌다. 2019년부터 집계한 바로는 이들 조직 중 최소 96곳은 탈취 시도로 인해 기밀 파일이 일부 노출됐다. 가장 빈번하게 표적이 된 업종은 제조업으로, 447개의 조직이 유출 사이트에 공개적으로 게시됐다. 또한, 유닛42의 인시던트 대응팀이 조사한 랜섬웨어 공격의 최소 75%는 공격 표면 노출로 인해 발생했다.
팔로알토 네트웍스 유닛42 총괄 웬디 휘트모어 부사장은 “랜섬웨어를 사용하는 공격자들은 돈을 지급하는 가능성을 높이려는 궁극적인 목표를 위해 더욱 강력하게 압박을 가하고 있다”고 말했다. 이어 “최근 조사한 5개 사례 중 1개꼴로 ‘괴롭힘’에 관련된 액션이 담겨 있었고, 특히 지급일을 강제하기 위해 어떤 일도 서슴지 않는 모습을 보였다”며 “대부분은 고객 정보를 갈취, 이를 사용해 기업을 괴롭히고 몸값을 지급하도록 독촉한다”고 설명했다.
한편, 유닛42의 전망에 대한 세부 사항 및 C레벨 경영진을 위한 권고 사항은 팔로알토 네트웍스 공식 홈페이지에서 전체 보고서를 내려받아 확인할 수 있다. 팔로알토 네트웍스는 이와 함께 마이터 어택(MITER ATT&CK)으로 알아보는 사이버 위험 완화 보고서를 통해 실행 가능한 전략 및 실무 중심의 권고 사항을 제공한다. 또한, 유닛42 블로그에는 최신 랜섬웨어 공격 그룹에 대한 심층 정보와 행동 양식, 재정적 영향과 관련한 내용이 실렸다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 5.9.] 랜섬웨어 및 데이터 갈취 행위자... 괴롭힘 관련 공격 1년새 20배 증가](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
