티스토리 뷰
랜섬웨어(ransomware)에 이어 디도스(DDos) 공격이 꾸준히 이어지고 있다. 이에 국내 기업의 피해 사례가 꾸준해다. 이스트시큐리티(알약 회사)는 2021년 1분기 15만 건의 랜섬웨어를 차단했다고 알렸다. 지난 2년간 통계치를 보면 공격수는 감소 추세라고는 하지만 예전에 비해서는 전략적으로 접근해서 한번 당하면 그 기업의 피해가 엄청나게 크고, 광범위하다는 것이다. 랜섬웨어의 종류는 수백 가지가 된다. 최근 2년 동안 유행한 랜섬웨어는 매그니베르, 마캅(MACOP), 이코렉스, 레빌, 스톱, 포보스, 글로브임포스터 등이 있다. 랜섬웨어는 마치 지금의 코로나19 바이러스와 같다. 다양한 변종 랜섬웨어가 지급도 만들어지고, 개인 혹은 단체, 기업들에게 몰래 들어가서 디지털 자료를 갈취하고, 돈을 요구한다. 랜섬웨어에 걸렸다는 것은 그냥 내 정보, 디지털 자료는 끝이 났다고 보면 된다.
요즘 코로나 때문에 학교에서나 회사 등에서 원격으로 수업을 하고, 업무를 자주 한다. 랜섬웨어를 기본적으로 예방하기 위해서는 비밀번호를 영문과 숫자, 기호 등의 조합으로 복잡하게 변경을 해야 한다. 귀찮다고 1234, 휴대폰 뒷자리, 생년월일 등의 단순히 알아볼 수 있는 비밀번호는 피하자.
특히 한번 랜섬웨어에 걸렸던 아픈 추억이 있다면 해킹을 하는 해커의 표적 리스트에 당당히 적혀 있을 것이다. 한번 걸려본 사람들은 알 것이다. 디지털 자료의 백업이 얼마나 중요한지를.. 습관적인 암호화 관리, 주기적인 백업을 하면 비용을 안 들이고, 최소한의 피해를 예방할 수 있다. 물론 비용을 지불하면서 예방 소프트웨어 및 솔루션을 사용해주면 예방률을 올라간다. 하지만 100%는 없다.. 지금의 코로나 백신도 100%는 아니지 않은가?
최신 랜섬웨어 피해 사례-AXA(악사) 프랑스 보험사
아바돈 랜섬웨어 조직, "삼중 협박 전략"으로 협상을 유리하게 이용
상기 소제목에 삼중으로 협박을 지능적으로 해커집단이 글로벌 기업에게 돈을 요구했을 것이다. 프랑스 보험사인 악사(AXA)의 아시아 지사 일부가 랜섬웨어 공격을 받아 손해를 입었다. 이번 공격으로 태국, 말레이시아, 홍콩, 필리핀 지역의 사이트가 마비되는 등 기업 운영에 시간적 피해를 받았다. 이 공격은 미국 사이버 해킹 조직 '아바돈(Avaddon)'은 자신들이 AXA를 공격했으며 3TB의 데이터를 갈취하는 데 성공했다고 알렸다.
AXA는 데이터적인 피해가 없다고 했을 것이고, 해커 집단은 데이터를 갈취해서 협박했다고 알리는 셈이다. 나의 입장에서는 둘 다 믿을 수는 없다. 둘 다 숨기는 것은 반드시 있을 것이다. 해커들이 주장하는 데이터는 고객 개인정보, 의료 정보, 은행 계좌, 계약 문서 등이 포함된다.
기존 랜섬웨어 조직은 기업이나 개인의 시스템을 잠그거나 데이터를 암호화해서 사용을 불가능하게 만들고 이를 인질을 삼아 돈을 요구한다. 아바돈은 랜섬웨어 공격과 기밀 유출 협박의 기존 랜섬웨어 협박법에서 1가지를 더해서 분산서비스거부(DDOS) 공격을 동시에 했다. 삼중 협박 전략을 사용했다. 돈을 갈취하는 확률을 더 높이기 위해서 DDOS 공격을 동시에 했을 것이다. 그러나 AXA는 5월 초 "랜섬웨어 범죄자들에게 돈을 지급하는 것은 자금을 지원하는 결과를 낳을 뿐이다. 더는 그 어떤 돈도 지급하지 않겠다"라고 발표를 했다.
이번 공격을 감행한 아바돈은 최근 한국 기업도 공격한 것으로 알려졌다. 다크웹 유출 사이트에 올라온 게시글에 따르면, 아바돈이 한국의 한 자동차 부품업체를 공격했으며, 여권, 카드, 계약서 등을 공격해 몸값을 지급하지 않을 시 240시간 뒤 추가로 데이터를 유출하겠다고 밝혔다. 실제로 해당 업체는 디도스 공격으로 홈페이지가 마비되는 손해를 입었다.
피해를 입은 업체는 한국인터넷진흥원(KISA)과 공조해서 향후 대응책을 마련해 나가겠다는 입장이다. 회사 관계자는 "일단 1차 공격에 대한 암호화 복구 작업은 완료했고, 다크웹에 공개된 자료도 오래된 자료이다. 홈페이지는 여전히 마비된 상황이나, 회사의 영업에 직접 미치는 영향은 거의 없다"라고 설명했다.
랜섬웨어는 나라와 개인 혹은 착함 사람, 나쁜 사람을 가리지 않고 접근하고 훔치고 파괴한다. 이렇게 언론이나 보이는 피해 사례보다 음지에 숨겨진 피해 사례는 더 많을 것이다. 이에 정부와 보안업계는 돈을 요구해서 줘버리면 그 수익으로 사이버 범죄 단체 혹은 해커들이 더 공격적이고, 규모를 넓어지니 될수록 돈을 지급하지 말라고 권고하고 있다.
이쪽 분야에 연관이 있는 사업을 하고 있는 나로서는 실제로 내 고객도 랜섬웨어 피해를 받은 업체를 보았다. 이렇게 언론에 알려지지 않았고, 피해를 숨기고, 해커에게 협박에 의한 돈을 지급하고 데이터를 복구했었다. 다시 한번 이 글을 포스팅하면서 되새김질을 해본다. 난 개인이라서 괜찮겠지? 라고 생각하면서 사진, 개인정보가 있는 자료들을 백업을 하고 있지 않다면 당장 몇 분을 투자해서 자료를 백업하길 바란다.
UnKnown 랜섬웨어 긴급 정보 - 실제 사례
특정 제조 기업에서 실제로 확인된 UnKnown 랜섬웨어는 OS 종류에 상관없이 무차별 감염 시도가 대량으로 유포된다. 기존 랜섬웨어를 방어하는 소프트웨어 및 솔루션은 무방비 상태일 수도 있다. 이미 사용 중인 바이러스 백신 소프트웨어(알약, V3, 카스퍼스키 등)에서도 무방비 상태일 것이다. UnKnown 랜섬웨어는 신종 랜섬웨어라고 보면 된다. 알 수가 없는 형태로 새로운 변이 랜섬웨어라고 보면 된다.
1. 랜섬웨어 분류
: 멀웨어 - 랜섬웨어 (Avaddon 랜섬웨어 / 사용자 파일 암호화 / 볼륨섀도 카피 삭제 / 바이러스토탈 기준-Unknown)
2. 현재 파악된 감연 OS 종류 : Windows 10, Windows 2012 이상 모든 시스템
3. 랜섬웨어 특징
: 여러 시스템에서 사용하지 않는 OS 계정을 생성-로그인-로그아웃 증거 확인(전형적인 타겟팅 공격 유형)이 되었고, 이 신종 랜섬웨어는 보안 수준을 악화하기 위해 UAC(User Access Control) 관련 레지스트리 키에 존재하는 데이터 값을 변경한다. UAC(User Access Control)는 일반 사용자의 권한을 제한하여 보안 수준을 높이는 기능이다. UAC가 비활성화될 경우 디바이스 보안 수준의 약화가 된다. 암호화 수행 전 서비스 중지 및 프로세스를 종료한다. 이는 특정 솔루션 관련 프로세스가 동작 중일 경우 파일 암호화가 수행되지 않을 경우를 방지하기 위한 것 같다. 자가 복제 후 지속성을 위한 작업 스케줄러 등록해서 지속적으로 실행한다. 그리고 데이터 복원 무력화를 위한 볼륨 쉐도우 카피 삭제 및 복구 시도 비활성화를 수행한다.
뉴스 기사 원문
AXA, 랜섬웨어 이어 디도스 공격까지...'국내 기업'도 당했다 - CCTV뉴스
프랑스 보험사인 악사(AXA)의 아시아 지사 일부가 랜섬웨어 공격을 받아 손해를 입은 것으로 나타났다. 이번 공격으로 태국, 말레이시아, 홍콩, 필리핀 지역의 사이트가 마비되는 등 사업 운영에
www.cctvnews.co.kr