Trace Id is missing

RaaS(서비스형 랜섬웨어): 산업화된 사이버 범죄의 새로운 얼굴

공유
두 개의 화살표가 선 위에 겹쳐 있, 서로 다른 경로에서 서로를 가리키고 있는 모습

 사이버 범죄의 최신 비즈니스 모델인 사람이 조작하는 공격 방식으로 인해 다양한 능력을 가진 범죄자들이 더 대담해졌습니다.

가장 지속적으로 발생하며 널리 퍼져 있는 사이버 위협 중 하나인 랜섬웨어는 계속해서 진화하고 있으며, 그 최신 형태가 전 세계 조직에 새로운 위협이 되고 있습니다. 랜섬웨어의 이러한 진화는 새로운 기술 발전과 상관이 없습니다. 그보다는 새로운 비즈니스 모델인 RaaS(서비스형 랜섬웨어)와 상관이 있습니다.

RaaS는 갈취 작업을 실행하는 도구를 개발 및 관리하는 개발자와 랜섬웨어 페이로드를 배포하는 제휴자 사이의 구조화된 협약입니다. 공모자가 랜섬웨어 및 갈취 공격에 성공하면 양측 모두 이익을 얻습니다.

RaaS 모델은 자체적으로 도구를 개발할 기술이나 기술적 능력은 없지만, 이미 만들어진 침투 테스트 및 시스템 관리자 도구를 관리하여 공격을 수행할 수 있는 공격자에게 진입 장벽을 낮춰줍니다. 이처럼 수준이 낮은 범죄자들은 이미 보안 경계를 침입한 보다 수준 높은 범죄자 그룹으로부터 네트워크 액세스 권한을 구매할 수도 있습니다.

RaaS 제휴자가 수준 높은 개발자에게 받은 랜섬웨어 페이로드를 사용하긴 하지만, 그렇다고 같은 랜섬웨어 '범죄 집단'에 속한 것은 아닙니다. 이들은 전반적인 사이버 범죄 경제 내에서 활동하는 별개의 기업이라고 할 수 있습니다.

사이버 범죄자의 능력 향상과 전반적 사이버 범죄 경제의 성장

RaaS 모델은 능력이 떨어지는 범죄자가 수행할 수 있는 공격을 빠르게 개선하고 산업화했습니다. 과거 수준 낮은 범죄자들은 직접 구축하거나 구매한 상용 맬웨어를 사용해 제한된 범위의 공격을 수행했지만, 이제 그들은 네트워크 액세스 권한부터 랜섬웨어 페이로드에 이르기까지 필요한 모든 것을 RaaS 개발자로부터 (물론 대가를 내고) 얻을 수 있습니다. 게다가 다수의 RaaS 프로그램은 유출 사이트 호스팅, 랜섬노트 통합, 암호 해제 협상, 금액 지불 압박, 암호화폐 거래 서비스 등, 일련의 갈취 지원 서비스를 추가로 포함하고 있습니다.

즉, 랜섬웨어 및 갈취 공격의 피해가 공격자의 능력과 상관없이 동일하게 유지된다는 뜻입니다.

네트워크 취약점 파악 및 악용, 대가를 내면 가능

RaaS 개발자가 제휴자에게 제공하는 상품 중 하나는 침입한 네트워크에 대한 액세스 권한입니다. 액세스 권한 브로커는 인터넷을 스캔해 침입할 수 있는 취약한 시스템을 찾은 다음 이후에 수익을 얻기 위해 보류해둡니다.

공격자는 성공하기 위해 자격 증명이 필요합니다. 이러한 공격에서 유출된 자격 증명은 너무나 중요하기 때문에 사이버 범죄자가 네트워크 액세스 권한을 판매할 때는 많은 경우 관리자 계정 보장을 가격에 포함합니다.

범죄자가 확보한 액세스 권한으로 수행하는 작업은 소속 그룹과 작업량, 또는 동기에 따라 크게 달라집니다. 따라서 초기 액세스 후 hands-on-keyboard 배포까지 걸리는 시간은 몇 분에서 며칠, 또는 그 이상일 수 있습니다. 그러나 상황이 허락하는 경우 엄청난 속도로 피해를 입힐 수 있습니다. 실제로 최초 액세스에서 랜섬 공격 완료까지(액세스 브로커에서 RaaS 제휴자로 전달 포함) 걸리는 시간은 한 시간도 채 걸리지 않는 것으로 관찰되었습니다.

계속 움직이는 경제 - 끈질기고 교묘한 액세스 수법

일단 공격자가 네트워크에 액세스 권한을 얻고 나면 랜섬을 받은 후에도 쉽게 떠나지 않습니다. 사실 랜섬을 지급해도 피해 네트워크의 위험은 줄어들지 않을 수 있으며 오히려 사이버 범죄자에게 자금만 제공한 것이 될 가능성이 있습니다. 이들은 퇴치될 때까지 다른 맬웨어나 랜섬웨어 페이로드를 사용한 공격으로 계속 수익을 얻으려 할 것입니다.

사이버 범죄 경제 내의 전환으로 공격자 사이에 전달이 이루어진다는 것은 여러 활동 그룹이 하나의 환경에서 랜섬웨어 공격에 사용하는 도구와는 다른 다양한 방법을 이용해 머물 수 있다는 사실을 의미합니다. 예를 들어, 뱅킹 트로이 목마가 얻은 초기 액세스 권한은 Cobalt Strike 배포로 이어지지만, 해당 액세스 권한을 구매한 RaaS 제휴자는 공격을 수행하기 위해 TeamViewer 등의 원격 액세스 도구를 사용할 수도 있습니다.

합법적인 도구와 설정을 사용하여 Cobalt Strike 등의 맬웨어 임플란트와 달리 지속성을 유지하는 것은 랜섬웨어 공격자들이 탐지를 피하고 네트워크에 오래 머물기 위해 널리 사용하는 수법입니다.

널리 사용되는 또 다른 공격 수법은 로컬 또는 Active Directory에 새로운 백도어 사용자 계정을 만든 후 VPN(가상 사설망) 또는 원격 데스크톱 등의 원격 액세스 도구에 추가하는 것입니다. 랜섬웨어 공격자가 원격 데스크톱을 활성화하고 프로토콜 보안을 낮추며 원격 데스크톱 사용자 그룹에 새 사용자를 추가하기 위해 시스템 설정을 편집하는 것도 관찰되었습니다.

RaaS 공격의 계획 및 수행 방법을 설명하는 흐름 다이어그램

세상에서 가장 파악하기 어렵고 교묘한 공격자에 맞서기

RaaS 위협의 가장 우려스러운 특징 중 하나는 도착한 네트워크에서 파악한 상황에 따라 계산된 결정을 내리고 공격 패턴을 바꿔 목표를 달성할 수 있는 인간 공격자가 공격을 수행한다는 점입니다.

Microsoft는 이러한 범주의 공격을 정의하기 위해 사람이 조작하는 랜섬웨어라는 용어를 만들었습니다. 이러한 공격은 차단할 맬웨어 페이로드의 집합이 아니라, 랜섬웨어 페이로드로 끝나는 일련의 활동입니다.

초기 액세스 활동은 대부분 자동 정찰에 의존하지만 공격이 hands-on-keyboard 단계에 들어서면 공격자는 자신의 지식과 기술을 사용하여 해당 환경 내의 보안 제품을 무력화하려고 시도합니다.

랜섬웨어 공격자는 손쉬운 수익을 동기로 활동하기 때문에, 보안 강화를 통해 그들의 비용을 늘리는 것이 사이버 범죄 경제를 혼란에 빠뜨리는 데 아주 중요한 요소입니다. 이처럼 사람이 의사결정을 한다는 것은 보안 제품이 특정 공격 단계를 탐지해도 공격자 본인은 완전히 퇴치되지 않고 보안 제어 기능에 의해 차단되지 않는 한 공격을 계속 시도한다는 것을 의미합니다. 많은 경우 도구나 페이로드가 바이러스 백신 제품에 탐지 및 차단되면 공격자는 단순히 다른 도구를 사용하거나 페이로드를 수정하기만 하면 됩니다.

공격자는 또한 SOC(보안 운영 센터)의 대응 시간은 물론 탐지 도구의 기능 및 한계까지 알고 있습니다. 공격이 백업 또는 섀도 복사본 삭제 단계에 도달할 때쯤에는 랜섬웨어 배포 직전에 이른 것입니다. 공격자는 이미 데이터 반출 등의 유해한 작업을 수행했을 가능성이 높습니다. 랜섬웨어에 대응하는 SOC는 다음 핵심 사항을 알아야 합니다. 랜섬웨어 배포 단계 이전에 Cobalt Strike 등의 탐지 사항을 조사하고 신속한 수정 조치 및 IR(인시던트 대응) 절차를 수행하는 것이 인간 공격자를 억제하는 데 매우 중요합니다.

보안 경고에 대한 피로를 방지하면서 보안 강화하기

완강한 인간 공격자에 대하여 지속성 있는 보안 전략을 세우려면 탐지와 완화 목표를 포함해야 합니다. 탐지에만 의존하는 것으로는 충분하지 않습니다. 1) 일부 침투 사건은 실질적으로 탐지가 불가능하고(다수의 정상 행위로 보임) 2) 여러 보안 제품 경고로 누적된 경고 피로로 인해 랜섬웨어 공격을 간과하는 경우가 드물지 않기 때문입니다.

공격자에게는 보안 제품을 회피하고 무력화할 다양한 방법이 있고 정상적인 관리자 행동을 모방하여 최대한 섞여들 수 있기 때문에, IT 보안 팀과 SOC는 보안 강화 조치로 탐지 노력을 뒷받침해야 합니다.

랜섬웨어 공격자는 손쉬운 수익을 동기로 활동하기 때문에, 보안 강화를 통해 그들의 비용을 늘리는 것이 사이버 범죄 경제를 혼란에 빠뜨리는 데 아주 중요한 요소입니다.

다음은 조직이 자기 보호를 위해 직접 취할 수 있는 몇 가지 조치입니다.

 

  • 자격 증명 위생 조치 구축: 내부망 침투를 제한하기 위해 네트워크 세분화와 함께 구현할 수 있는 권한 기반의 논리 네트워크를 세분화합니다.
  • 자격 증명 노출 감사: 자격 증명 노출 감사는 일반적인 랜섬웨어 공격과 사이버 범죄를 예방하는 데 매우 중요합니다. IT 보안 팀과 SOC는 협력을 통해 관리자 권한을 줄이고 자격 증명이 노출되는 수준을 이해할 수 있습니다.
  • 클라우드 강화: 공격자가 클라우드 리소스로 이동함에 따라 온-프레미스 계정뿐만 아니라 클라우드 리소스와 ID를 보호하는 것이 중요합니다. 보안 팀은 보안 ID 인프라를 강화하고, 모든 계정에 MFA(다단계 인증)를 적용하며, 클라우드 관리자/테넌트 관리자를 도메인 관리자와 동일한 보안 및 자격 증명 위생 수준으로 처리하는 데 집중해야 합니다.
  • 보안 사각지대 해소: 조직은 보안 도구가 최적의 구성으로 실행되고 있는지 확인하고 정기적인 네트워크 검사를 수행하여 보안 제품이 모든 시스템을 보호하도록 해야 합니다.
  • 공격 표면 줄이기: 랜섬웨어 공격에 사용되는 일반적인 수법의 공격을 회피하기 위해 공격 표면 감소 규칙을 설정합니다. 관찰된 여러 랜섬웨어 관련 활동 그룹의 공격을 바탕으로 명확하게 정의된 규칙을 마련한 조직은 초기 단계에 공격을 완화하는 동시에 hands-on-keyboard 공격을 방지할 수 있었습니다.
  • 경계 평가: 조직은 공격자가 네트워크 액세스에 이용할 수 있는 경계 시스템을 파악하고 보안 조치해야 합니다. 공용 점검 인터페이스를 사용하여 데이터를 보강할 수 있습니다.
  • 인터넷 연결 자산 강화: 랜섬웨어 공격자와 액세스 브로커는 특히 초기 액세스 단계에서 이미 공개된 취약점이든 제로 데이 취약점이든, 패치가 적용되지 않는 취약성을 이용합니다. 공격자는 또한 신속하게 새로운 취약성을 취하여 이용합니다. 조직은 노출을 더 줄이기 위해 엔드포인트 탐지 및 대응 제품의 위협 및 취약성 관리 기능을 사용해 취약성 및 잘못된 구성을 발견하고 우선 순위를 지정하며 수정할 수 있습니다.
  • 복구 대비: 최선의 랜섬웨어 방어 전략에는 공격이 발생했을 때 신속하게 복구할 수 있는 계획이 포함되어야 합니다. 공격으로부터 복구하는 것이 랜섬을 지급하는 것보다 저렴하기 때문에 중요 시스템을 정기적으로 백업하고 이를 고의적인 삭제 및 암호화로부터 보호해야 합니다. 가능하면 변경이 불가능한 온라인 스토리지 또는 완전한 오프라인 스토리지 또는 사외에 백업을 저장하시기 바랍니다.
  • 랜섬웨어 공격에 대한 추가적인 방어: 새로운 랜섬웨어 경제의 다각적인 위협과 사람이 조작하는 랜섬웨어 공격의 포착하기 어려운 성격으로 인해 조직은 보안에 종합적으로 접근해야 하는 상황입니다.

위에 설명한 조치들은 일반적인 공격 패턴을 방어하는 데 도움이 되며 랜섬웨어 공격 예방에도 큰 도움이 됩니다. 기존 랜섬웨어와 사람이 조작하는 랜섬웨어 및 기타 위협에 대한 방어를 강화하려면 도메인 간의 심층적인 가시성과 통합된 조사 기능을 제공하는 보안 도구를 사용해야 합니다.

공격 예방, 탐지, 수정 팁과 모범 사례 등을 비롯하여 랜섬웨어에 관한 자세한 설명을 보려면  랜섬웨어로부터 조직 보호하기를 참고하세요. 사람이 조작하는 랜섬웨어와 관련된 더 심층적인 정보가 필요하다면 선임 보안 연구원 Jessica Payne의 RaaS(서비스형 랜섬웨어): 사이버 범죄 긱 경제와 자신을 보호하는 방법을 확인하세요.

관련 기사

Cyber Signals 2호: 갈취의 경제학

RaaS(Ransomware as a Service) 개발 관련 최전방 전문가의 이야기를 들어보세요. 프로그램이나 페이로드에서 액세스 브로커와 그 제휴사에 이르기까지, 사이버 범죄자들이 좋아하는 도구, 전략, 대상에 대해 자세히 알아보고 내 조직을 보호하는 데 도움이 되는 지침을 들어보세요.
자세한 정보

Expert Profile: Nick Carr

Microsoft 위협 인텔리전스 센터의 사이버 범죄 인텔리전스 팀장인 Nick Carr이 랜섬웨어 동향에 대해 이야기하고, 랜섬웨어로부터 고객을 보호하기 위해 Microsoft가 하고 있는 일을 설명하며, 조직이 랜섬웨어의 영향을 받은 경우 취할 수 있는 조치에 대해 알려줍니다.
자세한 정보

랜섬웨어로부터 조직 보호하기

랜섬웨어 지하 경제에서 활동하는 범죄자에 관해 알아보세요. 랜섬웨어 공격의 동기와 메커니즘을 이해하고 보호, 백업, 복구의 모범 사례를 확인하세요.
자세한 정보