UPDATED. 2022-09-30 20:00 (금)
"기업 사이버침해 피해 '랜섬웨어·BEC'가 주요 원인"
"기업 사이버침해 피해 '랜섬웨어·BEC'가 주요 원인"
  • 박광하 기자
  • 승인 2022.09.06 08:43
  • 댓글 0
이 기사를 공유합니다

팔로알토 네트웍스
인시던트 대응 보고서 공개

피해 예방 위해선 퇴직자 관리 강화
엔드포인트 탐지 대응 체계 갖춰야
'2022 인시던트 대응 보고서'. [자료=팔로알토네트웍스]
'2022 인시던트 대응 보고서'. [자료=팔로알토네트웍스]

[정보통신신문=박광하기자]

기업들이 랜섬웨어나 기업 이메일 침해(BEC, Business Email Compromise) 공격 등으로 막대한 경제적 피해를 입고 있다는 조사 결과가 나왔다. 이들 사고의 대응 사례를 살펴보면, 75%가 퇴직자와 관련 있고, 44%는 탐지 대응 솔루션을 갖추지 않았다. 이는 기업이 퇴직자 관리에 보다 관심을 기울이고, 엔드포인트 탐지 대응(EDR)·확장형 탐지 대응(XDR) 솔루션을 설치, 운영한다면 사이버침해 피해를 상당부분 줄일 수 있다는 의미이기도 하다.

사이버보안 기업 팔로알토 네트웍스(Palo Alto Networks, 지사장 이희만)는 인시던트 대응을 위한 자사의 연구 조사 기관 '유닛42'에서 수집한 600여개 이상의 사고 대응 사례를 샘플링한 분석 결과를 담은 '2022 유닛42 인시던트 대응 보고서'를 최근 발표했다.

보고서는 각 조직의 정보보호최고책임자(CISO) 및 보안팀에서 최우선으로 해결해야 할 보안 위협을 이해하고, 이에 대응하기 위해 자원을 전략적으로 운용할 수 있는 팁을 담고 있다.

보고서에 따르면 랜섬웨어로부터 몸값을 지불하도록 요구된 금액이 가장 높은 업종은 금융과 부동산으로, 평균 금액은 각각 평균 800만달러, 520만달러에 육박했다.

지난 12개월 동안 가장 빈번하게 발생한 공격 유형은 전체 인시던트 대응의 70%를 차지하는 '랜섬웨어'와 기업 이메일을 침해하는 BEC 공격인 것으로 조사됐다.

사이버침해 사고 초기 액세스 경로. [자료=팔로알토 네트웍스]
사이버침해 사고 초기 액세스 경로. [자료=팔로알토 네트웍스]

올해 인시던트 대응 보고서에 포함된 주요 동향을 살펴보면, 새로운 랜섬웨어 피해자가 4시간마다 유출 사이트에 게시되고 있다. 랜섬웨어 활동을 조기에 식별하는 것이 매우 중요한데, 일반적으로 랜섬웨어 공격자들은 파일이 암호화된 후에야 발견되고, 피해 조직에서는 그 이후에 금전 요구 액수와 지불 방법 등이 담긴 랜섬 노트를 받는다. 유닛42는 랜섬웨어 공격 시 위협 행위자들이 표적 환경에서 탐지되기 전에 보내는 시간을 의미하는 중간 체류 기간이 28일임을 확인했다. 2022 랜섬웨어 보고서 발표 이후로도 공격 빈도와 피해 금액은 지속적으로 증가해, 몸값 요구 금액은 3000만달러, 실제 지불 금액은 800만달러에 이른 것으로 조사됐다. 특히 몸값을 지불하지 않을 경우 민감한 정보를 공개하겠다고 위협하는 이중 갈취 수법이 지속적으로 늘어나고 있다.

BEC 부문에서는 사이버 범죄자들이 업무용 전자 메일을 타깃으로 하는 송금 사기 기법을 사용하고 있다. 피싱과 같은 소셜 엔지니어링의 형태는 발견의 위험을 낮추는 동시에 은밀한 액세스 권한을 얻을 수 있는 쉽고 비용 효율적인 방법이다. 이번 조사에 따르면, 많은 경우에 사이버 범죄자들이 무작위의 타깃에게 자격 증명을 요구하고 실제로 탈취에 성공하는 것으로 나타났다. 접근 권한을 얻고 난 후, BEC 공격의 평균 체류 기간은 38일, 평균 피해 금액은 28만6000달러로 집계됐다.

공격자들은 주로 돈이 되는 산업군에 집중하는 한편 널리 알려진 취약점을 활용할 수 있는 시스템을 찾기 위해 단순히 인터넷을 검색하는 등의 양상도 보이고 있다. 침해 사고 대응 사례 조사 결과 가장 영향을 많이 받은 업종은 금융, 전문 및 법률 서비스, 제조, 의료, 첨단 기술 및 도소매 순으로 나타났다. 이러한 산업군은 대량의 수익 창출이 가능한 민감 정보를 저장, 전송, 처리한다는 공통점이 있다.

위협 행위자들이 가장 많이 사용한 3가지의 초기 액세스 벡터는 주로 원격 데스크톱 프로토콜(RDP)에 초점을 맞춘 피싱, 알려진 소프트웨어 취약점 악용, 무차별적인 자격 증명 공격이다. 이러한 공격 벡터는 침입으로 의심되는 전체 근본 원인의 77%를 차지한다.

초기 접속을 위해 악용된 취약점의 절반 이상은 프록시셸(ProxyShell)이 55%로 가장 많았고, 로그포제이(Log4J)가 14%, 소닉월(SonicWall)이 7%, 프록시로그온(ProxyLogon)이 5%, 조호 매니지 엔진(Zoho ManageEngine ADSelfService Plus)이 4%로 뒤를 이었다.

인시던트 대응 사례의 절반에 가까운 비율로 기업 웹 메일, 가상 사설망(VPN) 솔루션 또는 기타 원격 액세스 솔루션과 같은 인터넷 기반 시스템에 멀티팩터 인증이 갖춰지지 않은 것으로 조사됐다.

사고 대응 사례 중 13%는 무차별 자격 증명 공격에 대한 계정 잠금을 보장할 수 있는 조치를 마련하지 않았던 것으로 나타났다.

사고 대응 사례 중 28%는 미흡한 패치 관리 절차가 침해 발생으로 이어졌다.

사고 대응 사례 중 44%는 조직에서 EDR 및 XDR 보안 솔루션을 갖추지 않거나, 영향을 받은 시스템을 충분히 탐지하도록 포괄적으로 구축되지 않았던 것으로 드러났다.

사고 대응 사례의 75%는 퇴직자와 관련이 있는 것으로 조사됐다.

팔로알토 네트웍스는 대규모의 사이버 공격에 대처한 경험이 있는 공공·민간 분야의 보안 전문 컨설턴트들로 구성된 연구 조사팀을 운영하고 있다. 복잡한 사이버 위험 요소를 관리하고 국가 규모의 공격, 지능형 지속 공격(APT) 분석, 복잡한 랜섬웨어에 대한 조사 등의 업무를 수행하는 유닛42 인시던트 대응팀은 연중 무휴로 고객 지원을 제공하며, 고객이 공격을 이해하고 신속하게 이를 억제 및 완화할 수 있도록 지원한다.

이희만 팔로알토 네트웍스 코리아 대표는 "사이버 범죄는 적은 비용으로 높은 수익을 낼 수 있어 진입 장벽이 무척 낮아졌다. 기술력이 뛰어나지 않은 초보 공격자들까지도 다크웹에서 성행하고 있는 서비스형 해킹 툴을 사용해 공격에 뛰어들고 있다"며 "또한 랜섬웨어 공격자들은 고객 서비스와 만족도 조사까지 실시해가며 조직화되고 있는 추세"라고 말했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-09-30
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트