지니언스 기술 블로그

국내 기업만 노린다. 랜섬웨어 ‘록빛(LockBit) 과 귀신(Gwisin)’ 어떻게 대응 해야 할까요

Written by Genians | Oct 7, 2022 6:00:00 AM
 

SK쉴더스(대표이사 박진효)가 민간 랜섬웨어 대응 협의체 ‘KARA’(Korea Anti Ransomware Alliance)와 함께 랜섬웨어 동향 보고서를 발간했습니다. (전문 보기 아래 링크)

KARA는 SK쉴더스의 주도로 구성된 랜섬웨어 대응 민간 협의체 입니다. 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보를 공유하며 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공하고 있습니다.

지니언스㈜는 KARA의 공식 회원사로 활동하고 있으며 랜섬웨어로부터 단말(PC 등)을 보호하는 EDR 솔루션, Genian EDR을 공급하고 있습니다. 이외에도 ‘트렌드마이크로, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우’ 등이 회원사로 참여하고 있습니다.

 

랜섬웨어 피해 매년 늘어나

랜섬웨어는 매년 공격 대상과 전략, 몸값 요구 방법 등이 다양해지면서 피해 규모가 기하급수적으로 증가하고 있습니다. 코로나19이후 비대면 활동 증가로 인한 원격 근무 환경을 노린 공격이나 취약한 VPN(가상사설망) 등을 악용해 기업 네트워크에 침투한 후 피해 규모를 확대시키는 공격이 지속적으로 발생하고 있어 귀추가 주목됩니다.



[ 랜섬웨어 월별 피해 사고, KARA 랜섬웨어 동향 보고서]


특히, 개발자가 랜섬웨어를 제작해 판매하고, 공격자는 이를 구매해 유포하는 형태로 공격에 성공할 경우 수익을 나눠가지는 ‘서비스형 랜섬웨어’(RaaS, Ransomware as a Service)는 공격 형태와 협박 방법이 진화하고 있어 전문적이고 종합적인 대응이 요구되고 있습니다.

 

최신 랜섬웨어 트랜드 및 대응방안 

KARA는 최근 랜섬웨어 트렌드를 분석하고 공격 전략과 대응 방안이 담긴 랜섬웨어 동향 보고서를 발표했습니다. 보고서는 주요 랜섬웨어 그룹이 사용한 공격 전략을 글로벌 보안 위협 표준 프레임워크 ‘마이터 어택’(MITRE ATT&CK)에 맞춰 각 단계별로 공격 기법을 분석하고 대응 방안을 기술하고 있습니다. 특히 다크웹에서 가장 활발하게 활동중인 랜섬웨어 그룹 ‘VenusLocker’의 ‘Lockbit 3.0’, 꾸준히 변종이 발생되고 있는 ‘Phobos’, 국내 기업만을 타깃으로 하는 ‘귀신’ 랜섬웨어에 등에 대한 특징을 상세히 분석하고 있습니다.

보고서는 대표적인 서비스형 랜섬웨어 그룹인 ‘VenusLocker’를 분석하며 그 위험성을 경고하고 있습니다. 이들은 2016년부터 *‘스피어 피싱’ 공격 방법을 사용해 랜섬웨어를 유포, 활동을 시작한 이래로 지금까지도 공공기관을 사칭하거나 입사지원서 관련 이력서, 포트폴리오 등으로 위장해 메일로 유포하며 꾸준히 활동을 이어 나가고 있습니다. 최근 ‘Lockbit’ 랜섬웨어를 3.0 버전으로 업데이트하며 버그바운티(보안 취약점 신고 포상제도)를 도입하고 복호화 지불 방법을 다양화하는 등 공격 방법이 진화되고 있어 각별한 주의가 필요합니다.
*스피어 피싱(Spear Phising) : 특정 개인·회사를 대상으로 한 해킹 방법으로 공격 대상에 대한 정보를 사전에 충분히 수집한 후 정밀하게 공격하는 방식

이 밖에도, 2017년 발생해 꾸준히 변종이 발견되고 있는 ‘Phobos’ 랜섬웨어와 최근 국내 기업만을 타깃으로 해 화제가 된 ‘귀신’ 랜섬웨어에 대한 배경과 특징을 자세히 밝히고 있습니다. 이들은 공통적으로 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 내부 인프라에 침입해 데이터를 암호화하고 마비시킨 후 데이터 유출을 통해 협박을 하는 정밀하고 고도화된 공격 방법을 사용하고 있는 것으로 분석되었습니다.

단계별 보안요소와 프로세스 필요 

KARA는 이러한 랜섬웨어 피해를 예방하기 위해 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 미리 탐지하고 차단해야 한다고 강조하고 있습니다.

먼저, 기업 내부의 네트워크와 인프라 자산 등에 대한 관리가 체계적으로 이뤄져야 하며 사고 발생 시 대응 프로세스가 수립되어야 합니다. △네트워크 침입 탐지 및 차단 시스템 도입, △ EDR(엔드포인트 침입 탐지 및 대응) 솔루션 구축, △ 네트워크 내 접근 최소화, △ 정기적인 보안 교육 및 모의 훈련 등 종합적인 대책이 마련되어야 합니다. 또한, 백업 장비에 보안 시스템과 망분리가 적용된 ‘보안 백업’ 솔루션을 도입해 정기적으로 데이터를 백업하고 내부 데이터를 보호하는 방안을 고려해 볼 수 있습니다.

 

 

 

민간 랜섬웨어 대응협의체, KARA

KARA는 24시간 365일 대응 가능한 ‘랜섬웨어 대응 센터(1600-7028, kara@sk.com)’를 운영 중에 있으며 랜섬웨어 공격 단계에 따라 ‘랜섬웨어 위협 사전 점검’, ‘실시간 침입 탐지 및 차단 체계 구축’, ‘랜섬웨어 사고 대응 및 복구’ 서비스를 제공하고 있습니다.

특히 자체 랜섬웨어 위협 진단 Tool을 보유하고 있어 PC나 서버가 랜섬웨어에 노출되어 있는지 쉽고 빠르게 점검이 가능합니다. 해킹 사고 발생 시 대응 프로세스에 따라 KARA 회원사와 함께 ‘원인 분석, 솔루션 도입, 피해 복구, 법적 대응, 보험 가입’ 등의 원스톱 서비스를 기업 환경에 맞춤형으로 지원합니다

 

 

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!