사이버 위협, 볼모잡고 금전적인 이득 노린다

[아이티데일리] 랜섬웨어가 기승을 부리고 있다. 연일 스미싱, 피싱 메일 등을 통해 배포되는 악성코드, 랜섬웨어와 관련된 뉴스가 나오고 있다. 특히 최근 랜섬웨어는 개인을 노리는 것뿐만 아니라 기업을 노린 타깃형 공격으로도 이어지고 있다. 단순히 데이터를 암호화하고 복호화를 위한 몸값을 요구하는 것을 넘어, 데이터를 유출시키겠다는 협박으로 더욱 많은 비용을 요구하는 정황도 발견되고 있다. 랜섬웨어 외에 분산서비스거부(DDoS, 이하 디도스) 공격도 계속되고 있다. 디도스 공격 또한 단순히 서비스에 장애를 발생시키는 것을 넘어, ‘또 다시 디도스 공격을 실행하겠다’는 협박성 메시지로 비용을 요구하고 있다.

이와 같이 금전적인 이득을 노리고 진행되는 사이버 공격 사례가 다수 발견되고 있다. 올해에도 협박성 사이버 공격이 계속 기승을 부릴 것으로 전망된다.

① 전 세계 랜섬웨어 기승…작년 3분기부터 50% 이상 급증
② 정보유출, 디도스 공격으로도 랜섬웨어처럼 몸값 요구
③ 고도화되는 사이버 위협 대응 위해 보안 및 백업 체계 갖춰야

 

정보유출, 디도스 등으로 확장되는 협박성 공격

특히 최근 랜섬웨어뿐만 아니라 정보유출, 디도스 공격 등으로 협박하는 사이버 공격도 기승을 부리고 있다. 이랜드 사건을 살펴보면, 단순히 랜섬웨어로 암호화하고 대가를 요구하는 것에서 그치지 않고, 정보를 공개하겠다는 협박으로 수백억 원에 달하는 비용을 요구하고 있다. 랜섬웨어가 데이터를 단순 암호화만 하는 것이 아니라, 정보유출 등으로 고도화되는 것을 확인할 수 있는 사례다.

심각한 것은 랜섬디도스 공격이다. 전 세계적으로 기업들이 디도스 공격을 실행하겠다는 협박 메시지를 받는 경우가 늘어나고 있다. 초기에는 금융 서비스를 노린 공격이 가장 많았으나, 최근에는 비즈니스 서비스, 첨단기술, 호텔 및 관광, 리테일, 여행 등 다양한 산업 분야의 기업을 대상으로 협박성 메시지가 전달되고 있다.

랜섬디도스는 디도스 공격으로 특정 서비스 또는 네트워크를 중단시키겠다고 협박하며 비용을 요구하는 공격 방식이다. 랜섬디도스 공격의 가장 큰 특징은 먼저 디도스 공격을 실행한 다음 공격 중단을 위해 비용을 요구한다는 것이다. 또한 공격한 사례를 기반으로 공격을 재실행하겠다고 협박하는 경우도 있다.

글로벌 CDN 기업 아카마이는 아르마다 콜렉티브(Armada Collective), 코지베어(Cozy Bear), 팬시베어(Fancy Bear), 라자루스 그룹(Lazarus Group)이라고 주장하는 조직들의 공격이 증가한 것을 확인했다. 최대 2Tbps의 디도스 공격을 실행하겠다는 협박 메시지도 발견했으며, 관측된 공격의 대역폭 범위는 20Gbps에서 300Gbps까지 광범위하게 나타났다.

아카마이 보안 인텔리전스 연구팀은 지난 8월 여러 분야 기업을 타깃으로 한 디도스 공격을 조사한 바 있다. 조사 결과에 따르면 공격은 암호화폐를 대가로 지불하지 않는 경우 디도스 공격을 시작하겠다는 협박성 메시지를 받으면서 시작됐다. 협박 내용을 외부에 공개하면 공격을 즉각 실행하겠다는 경우도 있었다. 협박 메시지에서는 실행하는 공격이 단순히 인프라를 무너뜨리는 것 이상이 될 것이라고 경고하면서 평판 실추를 집중적으로 언급했다.

아카마이가 아르마다 콜렉티브의 요구를 확인한 결과 초기 5비트코인에서 시작해, 매일 5비트코인씩 늘어나는 것을 확인했다. 이러한 대가 요구는 일반적으로 정해진 금액을 따랐지만, 기준은 공격자에 따라 달라졌다. 문제는 대가를 지불한다고 해서 디도스 공격이 끝난다는 보장이 없다는 것이다. 보안 업계는 몸값을 지불하는 순간 공격그룹의 범행 자금을 지원하는 것이라며, 협박 메시지를 받더라도 대가를 지불하지 않을 것을 권장하고 있다.

유럽 은행을 타깃한 809Mpps 디도스 공격(출처: 아카마이)
유럽 은행을 타깃한 809Mpps 디도스 공격(출처: 아카마이)

 

<인터뷰> “지난해 크리덴셜 스터핑·디도스 공격 기승”

강상진 아카마이코리아 상무

“지난해 랜섬웨어와 랜섬디도스가 주요 사이버 위협으로 꼽히지만, 사용자의 계정을 노리는 크리덴셜 스터핑(Credential Stuffing, 무차별 대입) 공격 또한 심각한 보안 이슈가 되고 있다.”

강상진 아카마이코리아 상무는 최근 사이버 위협 트렌드로 랜섬웨어 및 랜섬디도스 외에도 크리덴셜 스터핑 공격이 심각한 문제로 떠오르고 있다고 강조했다. 강 상무에 따르면, 아카마이는 지난 2018년 7월부터 2년간 리테일·여행·호텔 업계를 대상으로 약 630억 건의 크리덴셜 스터핑 공격을 관측했다.

크리덴셜 스터핑 공격자들은 2020년 1분기 코로나19로 인한 봉쇄 기간 동안 전 세계적인 이례적 상황과 유출된 비밀번호 조합 목록을 이용해 커머스 업계를 공격 대상으로 삼기도 했다. 계정 탈취에 중점을 둔 크리덴셜 스터핑 공격은 미디어 업계를 대상으로 매일 수천만 건의 공격과 함께 꾸준하게 유지됐다. 이러한 공격 규모는 범죄자들이 악용할 수 있는 리소스가 많다는 것으로 분석된다.

강상진 상무는 “모든 공격이 API에만 집중된 것은 아니었다. 아카마이는 2019년 8월 7일 한 금융 서비스 업체에 아카마이 관측 사상 단일 규모로는 가장 큰 크리덴셜 스터핑 공격이 가해진 것을 포착했다. 약 5,500만 회의 악성 로그인 시도가 있었으며, 이 공격에는 API 공격뿐만 아니라 기타 방법이 섞여 있었다. 8월 25일에는 공격자들이 API를 직접 표적으로 삼아 1,900만 회 이상의 크리덴셜 어뷰즈 공격이 일어났다”고 설명했다.

이어 “크리덴셜 스터핑은 숫자 게임이다. 사용자가 단순한 아이디와 계정을 사용하거나, 타 서비스와 동일한 계정을 반복해 사용한다면 범죄자가 확보한 인증정보 목록이 충분하다면 공격 성공까지는 시간 문제다. 대부분의 크리덴셜 스터핑 공격은 자동화되고 올인원 툴이나 인간의 행동을 모방하는 봇을 이용하기 때문에 악성 트래픽과 정상 트래픽을 구분하는 것은 단순히 예상 가능한 알고리즘만으로는 해결될 수 없는 부분”이라고 덧붙였다.


역대급 규모 경신하는 디도스 공격

강상진 상무는 랜섬디도스 공격과는 별개로 디도스 공격 또한 활발하다고 설명했다. 특히 역대급 규모를 경신하는 디도스 공격이 지속적으로 발생하고 있다고 강조했다. 강 상무에 따르면, 지난 6월 21일 유럽의 은행을 노린 공격은 809Mpps(초당 패킷 전송량)를 기록하며 업계 최고 기록을 갱신했다. 이 공격은 약 10분간 지속됐다. 또한 아카마이는 6월 초에도 385Mpps의 대규모 디도스 공격을 관측한 바 있다.

공격이 진행되는 동안 공격 타깃에 트래픽을 등록한 소스 IP 수도 급증한 것으로 나타났다. 일반적으로 관측되던 IP 수에 비해, 공격 당시에는 분당 소스 IP 수가 600배 이상 증가했다. 아카마이는 이러한 결과를 통해 고도로 분산된 공격이라고 분석했다. 더불어 이번 공격에서 사용된 소스 IP의 대부분이 2020년 이전에는 사용하지 않던 IP에서 발생했다. 전체 소스 IP 중 96.2%가 최초로 발견된 것이다.

강상진 상무는 “아카마이는 올해 100Gbps 이상의 공격 건수와 종류가 30개월만에 최고치를 기록하며 모두 증가하고 있다는 점을 관측했다. 이런 증가 추세는 올해 초 코로나19 확산으로 인한 격리 조치가 본격화되면서 시작됐다”고 설명했다(그래프 1 참조).

그래프 1. 월별 100Gbps 이상 규모의 디도스 공격 수(출처: 아카마이)
그래프 1. 월별 100Gbps 이상 규모의 디도스 공격 수(출처: 아카마이)

이어 “<그래프 2>를 살펴보면, 최근 비즈니스 서비스를 대상으로 한 디도스 공격이 증가한 것을 볼 수 있다. <그래프 3>은 100Gbps 이상의 디도스 공격에 다양한 공격 기법이 사용됐다는 점을 보여준다. 지난 6월에는 TCP 스택 공격이 증가했다. 하지만 대규모 디도스 공격에 사용된 공격기법은 월별로 많은 차이를 보였다”고 말했다.

그래프 2. 100Gbps 이상 디도스 공격 업계별 분포(출처: 아카마이)
그래프 2. 100Gbps 이상 디도스 공격 업계별 분포(출처: 아카마이)
그래프 3. 100Gbps 이상 디도스 공격의 기법(출처: 아카마이)
그래프 3. 100Gbps 이상 디도스 공격의 기법(출처: 아카마이)

더불어 강 상무는 “<그래프 4>는 공격의 빈도가 증가할 뿐만 아니라 공격의 다양성과 복잡석 역시 가중되고 있다는 것을 보여준다. 여러 가지 색상으로 구성된 막대는 공격 기법의 조합을 나타낸다. 6월 100Gbps를 초과하는 14건의 공격 중에서 3건의 공격은 동일한 공격 기법을 사용했고 8건은 새로운 공격 기법을 조합한 것으로 분석됐다”고 덧붙였다.

그래프 4. 100Gbps 이상 디도스 공격 기법의 조합(출처: 아카마이)
그래프 4. 100Gbps 이상 디도스 공격 기법의 조합(출처: 아카마이)

“네트워크 보안 경계에 대해 다시 생각해야”

강상진 상무는 인터뷰 마지막으로 “최근 몇 년 사이에 제로 트러스트 접속과 같은 새로운 기업 원격 접속 아키텍처 및 프레임워크가 등장했다. 이런 개념은 네트워크 경계를 정의하는 방식을 내부에서 외부가 아닌 외부에서 내부로 바꿔놓았다. 일반적으로 기존 온프레미스 네트워크 경계의 외부에 있는 사용자와 디바이스가 애플리케이션과 서비스에 접속한다”고 설명했다.

이어 “제로 트러스트 접속은 어떠한 사용자도 신뢰하지 않고 신뢰할 수 없다고 가정해 원격 접속의 리스크를 줄이는 데 도움이 되지만, 감염된 디바이스와 관련된 리스크를 완전히 제거하지는 못한다. 이러한 디바이스는 기업용 애플리케이션을 악용하고 데이터 유출 및 민감한 독점 데이터에 대한 접속이라는 결과를 초래할 수 있다”고 강조했다.

강 상무는 이에 대한 대안으로 보안 및 네트워크 접속 제어를 클라우드 기반 서비스로 제공하는 SASE(Secure Access Service Edge)를 제안했다. SASE는 네트워크 및 보안 포인트 솔루션의 기능을 통합된 글로벌 클라우드 네이티브 서비스로 통합하는 개념이다.

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지