랜섬웨어 + 디도스?
1. 한 보안 기업이 발표한 2021년 사이버 공격 전망에는 랜섬 디도스 공격이 늘어날 것이라고 내다봤다. 랜섬 디도스가 생소할 수 있는 사람들에게 이 공격이 어떤 것인지 소개 바란다.
랜섬 디도스(RDDoS)는 랜섬웨어 공격에서처럼 공격을 빌미로 몸값을 요구하는 협박을 디도스(DDoS) 공격과 혼용한 형태를 의미한다. 랜섬웨어는 사용자 디바이스나 네트워크 스토리지 디바이스의 파일을 불법적으로 암호화하고 해독 키를 대가로 거액을 요구하는 멀웨어 공격 유형이다. 암호화된 파일에 대한 접속 권한을 복구하기 위해 추적이 어려운 비트코인과 같은 전자 결제 방식을 통해 대가를 지불하도록 협박하는 수법을 사용한다. 랜섬 디도스는 표적이 된 특정 서비스 혹은 전체적인 네트워크를 디도스 공격으로 중단시키겠다고 협박하며 대가를 요구한다. 디도스 공격을 먼저 수행하고 공격 중단을 위해 돈을 요구하거나, 디도스 공격 이전에 먼저 요구하는 방식을 사용한다.
2. 랜섬웨어 공격의 경우 파일을 암호화해 인질로 잡는데, 랜섬 디도스 공격의 경우 공격자가 자신이 공격할 수 있다는 사실을 어떤 방식으로 알리는지 알고 싶다. 또, 이 경우 실제 공격이 일어나지 않는 블러핑인지 여부를 (예비) 피해자가 알아차릴 수 있을지?
보통은 기업의 대표 이메일 혹은 네트워크나 보안 담당자 이메일로 연락을 받는 경우가 대부분이다. 그 후 대응하지 않으면 실제로 소규모의 공격을 진행하기도 한다. 실제로 큰 볼륨의 공격을 할 능력이 되지 않는 공격자가 겁만 주는 경우를 블러핑(bluffing)이라고 한다. 대부분 협박 메일에는 공격자가 과거 어떤 디도스 공격을 유발했는지와 어떤 해커 단체 소속인지를 과시하는 경우가 많으나 이것의 사실 여부를 미리 밝히거나 단순 블러핑에 해당하는 가벼운 위협인지 아닌지는 사전에 명확하게 구분하는 것은 어렵니다. 다만 공격자의 협박과 달리 공격이 발생하거나 예상만큼 심각한 공격이 발생하지 않은 사례가 많기 때문에 협박에 순순히 응하는 것은 좋은 방법이 아니다.
3. 주로 어떤 분야의 기업이 이러한 공격으로 피해를 입는가?
랜섬 디도스 공격은 일반 디도스 공격과 유사하게 특정 분야의 기업만을 표적으로 삼지 않는다. 대부분의 국영기업, 공기업, 금융사, 이커머스, 리테일 업체들은 대다수의 일반인들을 대상으로 비즈니스를 영위하고 있기 때문에 그러한 기업의 서비스가 디도스 공격으로 인해 멈춘다면 많은 사용자들이 피해를 보게 된다. 최근 국내에 발생한 랜섬웨어로 인한 피해로 영업을 잠시 멈추어야 했던 기업의 경우가 해당한다.
예전의 디도스 목표가 되었던 기업이나 단체는 종교적, 정치적인 이유도 많았지만 최근에는 그러한 이해관계와 상관없이 많은 기업을 대상으로 몸값을 요구하며 디도스를 수행하는 경우가 증가하였다.
최근에는 북미, 아시아 태평양, 유럽⋅중동⋅아프리카 지역 기업이 협박 이메일을 받고 있다. 처음에는 금융 서비스가 가장 위협을 많이 받는 분야였으나 비즈니스 서비스, 첨단 기술, 호텔 및 관광, 리테일, 여행과 같은 산업 분야의 기업을 대상으로 한 협박 이메일이 증가하고 있다.
4. 국내외 주요 사례는 어떤 것이 있는지 듣고 싶다.
최근 Armada Collective, Cozy Bear, Fancy Bear, Lazarus Group이라고 주장하는 조직들의 공격이 지속적으로 증가하고 있다. 최대 2 Tbps의 공격을 일으키겠다는 위협을 받은 기업들도 있었다. 지금까지 관측된 공격의 대역폭 범위는 20 Gbps에서 300 Gbps까지 광범위하게 나타나며 다양한 공격 기법이 사용되었다.
지난 2020년 6월 21일 대형 유럽 은행을 노린 공격은 809 Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 업계 최고 기록을 경신했다. 6월 초에도 금융 서비스 기관을 대상으로 385 Mpps의 대규모 디도스 공격이 있었는데 이번 공격은 6월 초 공격의 2배를 넘어서는 규모였다. 규모뿐 아니라 공격 속도 역시 최고 수준을 기록했다. 정상 트래픽 수준인 418 Gbps 규모에서 약 2분 만에 809 Mpps에 도달했고 공격 시간은 약 10분 동안 지속됐다.
공격이 진행되는 동안 공격에 사용된 소스 IP 주소 또한 급증했다. 공격 대상이 된 기업에게 일반적으로 관측되던 평균적인 접속 IP 수에 비해 소스 IP 수가 1분에 600배 이상 증가했다는 점에서 이번 공격이 고도로 분산된 공격임을 알 수 있다.
새로운 봇넷의 등장도 주목할 만한 점이다. 이번 공격에서는 소스 IP 대다수가 2020년 이전 공격에서는 사용되지 않던 IP에서 발생했다. 전체 소스 IP 중 96.2%가 최초로 관측된 매우 이례적인 공격이었다. 이런 증가 추세는 2020년 초 COVID19 확산으로 인한 격리 조치가 실행되면서 더욱 증가했다는 점이 흥미로운 부분이다.
국내에서는 2020년 8월에 Armada Collective라 주장하는 해킹 그룹이 국내 3개 금융사를 대상으로 디도스 공격과 동시에 공격 예고 협박 메일을 보냈으나 다행히 큰 피해는 없었다. 2020년 추석 연휴 기간에는 일부 국내 금융기관에 디도스 공격 시도가 발생한 뒤 Fancy Bear라 주장하는 해킹그룹이 국내 4개 은행에 비트코인을 입금하지 않으면 대규모 디도스 트래픽 공격을 하겠다고 예고했다. 하지만 실제 예상한 만큼의 공격은 감행하지 않은 것으로 확인됐다.
5. 최근 사이버 공격은 특정 기업을 노린 표적형으로 이뤄지면서 수익성을 극대화하려는 모습을 보인다. 이러한 공격에 기업과 보안 담당자는 어떻게 대응해야 할까?
웹 공격에 대해서는 평소에도 웹 서버의 액세스 로그를 분석하여 어떤 형태의 공격이 유입되고 있는지를 확인하고 이에 대한 취약점을 미리 제거하고 방화벽 정책을 최신으로 유지하는 것이 필요하다. 기본적으로 SQL Injection, Cross Site Script, Remote File Inclusion 공격에 대한 방어는 필수다.
디도스 공격 대비를 위해 네트워크 상에서 디도스가 감지되었을 때 공격성 트래픽을 걸러내고 순수하게 서비스 트래픽만 전달할 수 있는 기술과 프로세스를 평소에 준비해두어야 한다. 무엇보다 방어를 위한 시스템은 디도스의 공격 볼륨을 빠르게 탐지하고 충분히 소화하고 막아낼 수 있는 용량을 보유해야 한다.
랜섬웨어의 경우 주로 스팸 이메일을 통해 배포된다. 합법적인 파일로 위장한 악성코드가 담긴 첨부파일, 이메일 본문에 악성코드를 주입하는 파일 혹은 사이트로의 링크 URL을 클릭하도록 유도하는 방식이다. 따라서 이에 감염되지 않도록 알려지지 않은 메일 송신자의 링크나 첨부파일 클릭을 금지하고 사내 시스템에 접속해 사용하는 PC, USB, 저장 장치 등의 시스템은 업무용으로만 활용하는 등 직원들의 보안 의식도 필요한 부분이다.
마지막으로 비단 보안 담당자뿐만 아니라 모든 직원의 보안 의식 고취가 필요하다. 보안을 위한 기술뿐만 아니라 프로세스, 사람이 모두 기술과 어우러지는 행동 규칙에 평소 훈련이 되어있어야 한다.
6. 랜섬 웨어 및 디도스 관련, 강조하고 싶거나 덧붙일 이야기는?
최근 기업을 대상으로 한 보안 사례들의 가장 큰 특징은 공격 수법이 더욱 교묘해지고 공격 회수도 지속적으로 증가한다는 점이다. 예를 들어 전통적인 랜섬웨어 공격과 다르게 최근의 랜섬웨어는 한국어로 감염 사실을 알리고 데이터를 미리 탈취하고 외부 공개를 협박하는 방식을 사용했다. 가상 머신을 사용해 랜섬웨어를 실행하는 것 또한 공격 기법이 다양해졌다는 것을 시사한다. COVID19 상황이 장기화되면서 각종 공격에 COVID19 관련 키워드로 사람들의 이목을 집중시키는 것 또한 최근 특징 중의 하나이다.
이런 위협에서 IT 자산을 보호하기 위해서는 상황별 시그널을 지속적으로 분석하고 이런 시그널을 기반으로 현명한 보안 및 접속 의사결정을 하면 근본적인 신뢰를 구축해야 한다. 가트너를 인용하자면 “네트워킹 및 네트워크 보안 패턴이 변화하면서 향후 10년간 경쟁 구도가 변할 것이며 기업이 복잡성을 줄이고 IT 직원이 네트워크 및 네트워크 보안 운영의 일상적인 측면을 제거할 수 있는 중요한 기회가 창출될 것”으로 보인다.