18 October 2024
4월 24일, 미 CISA(사이버 보안 및 인프라 보안국)은 사이버 사고 보고법(CIRCIA) 시범 단계에서 수집된 결과를 발표했습니다. 그 결과는 충격적이었는데요. 미국에서 보고된 랜섬웨어 피해 사례만 2천건 이상을 기록했다는 것입니다. 베트남 호치민 정보통신부 부국장의 발표는 더욱 놀라웠습니다. 평균 11초마다 한번씩 기업을 상대로 한 랜섬웨어 공격이 일어나고 있다는겁니다. 호치민에서 열린 랜섬웨어 공격 방지 위험 및 솔루션에 대한 세미나에서 호치민시 디지털 혁신 센터 부국장 Nguyễn Đức Chung은 불법적 정보 수집을 위한 공격이 12,745,681건, 악성코드 감염 및 유포 사례 1,858건이 발생했다고 말했습니다.
돈을 노리는 랜섬웨어 공격의 일상화
많은 사람들이 북한이나 러시아, 혹은 중국과 같은 국가에서 지원하는 국가 단위의 스파이 행위가 가장 위험한 보안 위협 사례라고 생각하고 실제로도 언론의 관심을 많이 끕니다만, 랜섬웨어 공격이야말로 즉각적 문제를 일으킬 수 있기에 더욱 긴급하게 다루어져야 할 위협입니다. 실제 블록체인 분석 업체 체이널리시스(Chainalysis)의 조사에 따르면 2023년 한 해 동안 암호화폐를 통해 피해자들이 범인들에게 지급한 돈은 11억 달러(한화 약 1조 4,643억원)라고 하는데요. 최근 결제 프로세서인 Change Healthcare에 대한 랜섬웨어 공격으로 인해 미국 의료 시스템의 일부가 손상되었으며, 월요일 회사는 침해로 인해 도난당한 민감한 개인 건강 정보가 미국 대중의 "상당한 부분"에 영향을 미칠 수 있다고 경고하기도 했습니다.
특히나 이런 랜섬웨어 공격은 소위 말하는 '효자 상품'입니다. 돈도 많이 벌어다주는데 진입 장벽도 낮은 편이기 때문에 마치 '사이버범죄학 개론'과 같죠. 누구든 관심을 조금만 가져도 한번씩 거쳐갈 수 있는 범죄입니다. 간단한 취약점에 대한 익스플로잇 코드(침투 코드)만 구동할 줄 알고, 공개된 랜섬웨어 코드를 조금만 수정할 줄만 알아도 누구나 랜섬웨어 공격을 실시할 수 있습니다. 특히나 이런 랜섬웨어 공격자들이 원하는 것은 대부분 돈이기 때문에 알고 있는 취약점을 대강 스캔해서 발견되는 시스템에 무차별적으로 침투, 공격을 시도하는 경우가 많죠. 목표가 특정한 대상이 아니라 단순히 돈만이기 때문에 아무나 걸려라 하는 공격을 하는거죠. 랜섬웨어 피해가 산업 전반을 가리지 않고 곳곳에서 발생하는 것도 이 때문입니다.
데이터 유출에서 DDoS 공격까지… 다중 갈취 전략의 등장
하지만 2024년, 랜섬웨어 공격은 또 새롭게 진화하고 있습니다. 바로 삼중 갈취 공격입니다. 초기 랜섬웨어 공격은 데이터 암호화 뿐이었는데요. 이후 공격자는 더 많은 돈을 갈취하기 위해 민감한 데이터를 유출하겠다고 협박을 하기 시작했습니다. 이것이 바로 이중 갈취 공격입니다. 최근 나타나는 경향성은 공격자가 피해자의 고객에게 연락하거나, 미디어 또는 규제 기관에 데이터 유출에 대해 알리거나, 서비스 거부(DDoS) 공격을 시작하겠다고 위협하는 것입니다. 단순히 기술적 침투를 떠나 협박과 같은 사회공학적 기법을 최대한 악용하는 이런 삼중 갈취 공격은 피해자에게 최대의 압력을 가하여 피해자에게 최대한 많은 양의 돈을 갈취하는 것을 목표로 합니다. 예를 들어 모든 데이터가 암호화되어 비즈니스 운영이 중단된 상황에서 공격자측이 개인 고객 데이터를 유출하여 수백만 달러의 법적 비용을 발생시키겠다고 협박하는것을 가정해봅시다. 그 다음 공격자측은 피해자의 회사 웹사이트에 DDOS 공격을 가해 손발을 묶은 뒤, 고객과 미디어에 연락해 사건 혹은 개인정보를 유포하는거죠. 이렇게 되면 피해자측이 입은 누적 피해 규모는 상상을 초월해질 정도로 커지게 됩니다.
E-Discovery 확산과 로펌의 사이버 보안에 대한 새로운 도전
흥미로운점은 2023년부터 점점 로펌 및 관련 회사에 대한 공격 비중이 커지고 있다는 점입니다. e-Discovery 소송이 일반화되면서 법률 데이터가 문서가 아닌 전자적으로 저장되어 호스팅되고 있고, 공격자가 데이터 유출을 일으키면 치명적인 문제가 발생하는 리걸테크라는 업계 자체가 가진 문제는 실제 2023년 중 데이터 유출이 발생, 고객의 소송 데이터를 보호하지 못한 로펌을 상대로 소송이 제기되는 등 위협이 현실화되면서 더욱 피부에 와닿게 되었습니다.
특히 이런 e-Discovery 소송은 웹 브라우저를 사용해 작업하게 되는데, 최근 들어 브라우저의 기능이 향상되며 거의 운영체제와 유사할 정도로 다양한 기능을 갖추고 파일 시스템에 접근할 수 있는 등의 기능을 보유하게 되었는데요. 이러한 기능은 File System Access API를 통해 클라우드, 공유 폴더 및 외부 드라이브에 있는 파일을 포함하여 호스트 컴퓨터의 파일에 대한 브라우저의 액세스와 결합되어 랜섬웨어의 침투 수단이 넓어지는 결과를 낳게 되었습니다.
사이버 보안의 미래: 지속적인 교육과 업그레이드 필요성
2023년 8월 USENIX 보안 심포지엄 에서 발표된 RøB: 최신 웹 브라우저를 통한 랜섬웨어(RøB: Ransomware over Modern Web Browsers)라는 논문에서 이 새 랜섬웨어 변종이 어떻게 설계하기 쉽고 얼마나 피해를 줄 수 있는지 공표된 바 있습니다. RøB 랜섬웨어는 다양한 유형의 파일을 암호화할 수 있으며, 브라우저 내에서 실행되기 때문에 기존 바이러스 백신 프로그램이 포착할 수 있는 악성 시그니처나 페이로드가 없다는 강점도 있었습니다. 기존 랜섬웨어 탐지 시스템은 브라우저 기반 랜섬웨어를 막지 못한다는거죠. 결국 브라우저, 파일 시스템, 사용자 등 다양한 수준에서 다양한 층위의 보안 조치가 실행되어야 한다는 것을 알 수 있습니다.
특히 정보 보안의 연결고리 중 사람이 가장 취약한 연결고리라는 점을 인지하고, 민감한 데이터에 액세스할 수 있는 사람에겐 보안 교육과 인식을 수행할 필요가 있습니다. 또한 모든 데이터를 동일한 방식으로 처리해서는 안 됩니다. 최소 권한의 원칙을 지켜 데이터가 중요할수록 데이터에 액세스할 수 있는 사람의 수를 더욱 엄격하게 제한하고 암호화 및 이중 인증과 같은 보안 장치를 확립해야 합니다.
인텔렉추얼데이터는 국내 대표 e-Discovery 기업으로 중요한 핵심 가치인 데이터 보안을 위해 끊임없는 노력을 하고 있습니다. 보안 체계 구축을 위한 전문 인력 배치, 지속적인 내부 교육과 실전 같은 보안 훈련을 통해 기업의 중요 정보와 데이터를 높은 수준의 보안 시스템 내에서 유지, 관리하고 있습니다. 해외 소송 상황과 같이 기업의 민감하고 중요한 데이터에 대한 e-Discovery 필요하다면, 인텔렉추얼데이터의 전문가와 상담받아보세요.