랜섬웨어 제작 대행...사이버범죄도 분업화

MS, 사이버 위협 인텔리전스 요약 보고서 ‘사이버 시그널' 발간

컴퓨팅입력 :2022/08/25 18:07

사이버범죄가 지속되며 점차 범죄 행위가 세분화되고 있다. 랜섬웨어 제작자와 구매자, 유포자 등으로 나뉘면서 기술 전문성 없는 사람도 사이버 공격에 가담하며 규모가 확대되고 있다.

마이크로소프트는 글로벌 보안 시그널과 전문가 의견을 취합한 사이버 위협 인텔리전스 요약 보고서 ‘사이버 시그널(Cyber Signal)’을 공개하고, 랜섬웨어에 대한 보안 동향을 25일 발표했다. 

마이크로소프트는 지난 2월 처음으로 사이버 시그널을 소개했다. 보고서는 현재 우리가 직면한 사이버 위협 상황에 대한 전문가의 식견을 제공하고, 주요 공격자가 사용하는 전략 및 기술에 대한 분석을 정기적으로 공유한다. 이번 사이버 시그널은 2번째로 발간된 보고서다.

(이미지=마이크로소프트)

이번 사이버 시그널은 사이버범죄 중 갈취 공격이 발생되는 요인과 랜섬웨어 공격을 활발하게 하는 ‘서비스형 랜섬웨어(RaaS)’ 영향력 증대에 대한 인사이트를 담았다.

사이버범죄가 전문화되고 고도화되면서 RaaS가 업계의 지배적인 비즈니스 모델이 되고 있다. RaaS란 개발자가 랜섬웨어를 제작해 판매하고 공격자는 이를 구매해 유포하는 형태로, 범죄 수익을 나눠 이득을 취하는 상품이다. 이 때문에 기술 전문성 없이도 누구나 쉽게 랜섬웨어를 배포, 사이버 공격에 접근할 수 있게 됐다.

오늘날 사이버 범죄자들은 RaaS를 통해 랜섬웨어 페이로드, 데이터 유출 뿐 아니라 결제 인프라에 대한 액세스도 구입할 수 있다. 악명 높은 랜섬웨어 집단들이 콘티(Conti)나 레빌(REVil)과 같은 RaaS 프로그램이며, 이들은 다양한 공격자들에 의해 사용되고 있다.

이와 같은 사이버범죄의 산업화로 네트워크에 대한 액세스를 판매하는 액세스 브로커(Access broker) 같은 전문 역할까지도 생겨났다.

이번 사이버 시그널의 주요 내용은 다음과 같다.

-랜섬웨어 공격 80% 이상이 소프트웨어 및 디바이스의 일반적인 환경 설정 에러를 통해 유입될 수 있다.

- 마이크로소프트 사이버범죄 대응조직은 2021년 7월부터 2022년 6월까지 53만1천 개 이상의 고유 피싱 URL과 5천400개 이상의 피싱 키트에 대한 제거를 지시하고, 도난당한 고객 비밀번호를 수집하는 데 사용된 1천400개 이상의 악성 이메일 계정을 식별, 폐쇄했다.

- 개인이 피싱 이메일의 피해자가 된 경우, 공격자가 개인 데이터 접근에 소요된 시간은 평균 1시간 12분이다.

- 엔드포인트 위협의 경우, 디바이스 공격을 통해, 공격자가 기업 네트워크에서 측면이동(래터럴 무브먼트)를 시작하는 데 드는 시간은 평균 1시간 42분이다.

사이버 시그널은 비밀번호 예방관리, 비밀번호 노출에 대한 감사, 공격 표면 축소, 클라우드 리소스 및 ID 보안 등 기업이 갈취 위협을 효과적으로 예방할 수 있는 방법도 제안한다.

관련기사

바수 자칼(Vasu Jakkal) 마이크로소프트 보안 부문 기업 부사장은 "랜섬웨어 문제를 해결하기 위해서는 새로운 차원의 협업이 필요하다"라며, “특히 공공 부문과 민간 부문 간 더 많은 정보 공유와 더 안전한 세상을 만든다는 집단적 결의가 필요함을 의미한다"라고 말했다.

한편 마이크로소프트는 위협 인텔리전스를 통해 매일 43조 개의 위협 신호와 8천500명 이상의 마이크로소프트 전문가의 휴먼 인텔리전스를 통해 위협 상황을 폭넓게 파악, 이를 기반으로 기업이 해당 정보를 활용해 사이버 위협을 사전에 방지하고 차단할 수 있도록 지원하고 있다.