[아이티데일리] 지난 6월 주간 평균 랜섬웨어 활동이 1년 전보다 10배 이상 증가한 것으로 나타났다. 특히 랜섬웨어 공격은 여러 주요 기업들의 공급망을 손상시켰으며, 일상적인 업무는 물론, 생산성과 상업 활동에 그 어느 때보다 큰 영향을 미쳤다. 또한 통신 분야 기업들이 가장 많은 공격을 받았으며 정부, 관리형 보안 서비스 제공업체, 자동차 및 제조 부문 기업에 대한 랜섬웨어 공격도 나타나고 있는 것으로 조사됐다.

5일 포티넷(한국지사장 조원균)은 보안연구소인 포티가드랩이 발표한 ‘2021년 상반기 글로벌 위협 전망 보고서’를 발표했다.

이 보고서에서는 개인 및 기업은 물론, 중요 인프라를 타깃으로 하는 공격의 규모와 정교성이 크게 강화되고 있으며, 기존 네트워크 내, 외부의 하이브리드 근무자 및 학습자들이 증가하면서 공격 범위가 확장되고 그들이 주요 공격 대상이 되고 있다는 점을 시사한다.

이번 보고셔에 따르면, 일부 랜섬웨어 운영자들은 이메일로 침투하는 페이로드에서 기업 네트워크에 대한 최초 접근 권한을 확보 및 판매하는데 주력하는 전략으로 전환했으며, 이는 사이버범죄를 증가시키는 RaaS(Ransomware-as-a-Service, 서비스형 랜섬웨어)가 계속 진화하고 있다는 점을 보여준다.

온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 탐지한 기업은 1/4에 불과했다. 멀웨어 군별로 많이 탐지된 멀웨어 순위를 보면 사회공학적 기법을 이용하는 멀버타이징(Malvertising)과 스케어웨어(Scareware)가 증가한 것으로 나타났다. 4개 중 1개 이상의 기업이 멀버타이징(Malvertising) 또는 스케어웨어(Scareware) 시도를 감지했다.

봇넷 활동의 증가에 따른 봇넷 탐지 이벤트 수도 증가했다. 연초 기업의 35%가 한 종류 또는 다른 종류의 봇넷 활동을 감지했다고 보고했으나, 6개월 후 이 수치는 51%로 증가했다. 트릭봇(TrickBot) 활동이 증가한 것은 6월에 봇넷 활동이 전반적으로 급증한 데 기인한다. 이외에도 미라이(Mirai)는 전반적으로 가장 광범위하게 확산되고 있는 것으로 나타났다.

포티가드랩은 샘플 폭파(detonating)를 통해 사이버 공격자들이 의도한 결과가 무엇인지 살펴봄으로써 탐지된 멀웨어에 내재되어 있는 특정 기능을 분석했다. 그 결과, 공격 페이로드가 타깃 환경에서 실행된 경우, 멀웨어가 수행한 부정적인 작업 목록이 나왔다. 이는 사이버 공격자들이 권한을 상승시키고, 보안 시스템의 방어 기술을 회피하며, 내부 시스템에서 공격을 확산시키고, 손상된 데이터를 탈취하려고 시도했음을 시사한다.

데릭 맨키(Derek Manky) 포티가드랩(FortiGuard Labs) 보안 인사이트 & 글로벌 위협 얼라이언스 총괄은 “한 번의 사고가 수천 개의 기업에 영향을 미치는 파괴적인 사이버 공격이 증가하고 있으며, 우리는 사이버범죄와의 전쟁에 중요한 변곡점을 맞이하고 있다. 그 어느 때보다도 모든 이들이 킬 체인(kill chain)을 강화하는 데 중요한 역할을 하고 있다. 사이버범죄 공급망을 교란시키려면 협업을 통해 힘을 조절하는 것이 우선시돼야 한다. 정보 공유 및 파트너십을 통해 보다 효과적인 대응이 가능하고 미래의 공격 기법을 효과적으로 예측해 공격을 차단할 수 있다. 지속적인 사이버 보안 인식 교육은 물론, 엔드포인트, 네트워크 및 클라우드 전반에서 통합된 AI 기반 예방, 탐지 및 대응 기술은 사이버범죄에 대응하는데 매우 필수적인 요소”라고 말했다.