랜섬웨어와 랜섬 디도스 트렌드
DDOS 공격을 빌미로 몸값을 요구하는 랜섬 디도스(RDDoS)의 추세
랜섬웨어와 랜섬 디도스
랜섬 디도스(RDDoS)는 랜섬웨어 공격에서처럼 공격을 빌미로 몸값을 요구하는 협박을 디도스(DDoS) 공격과 혼용한 형태를 의미한다. 랜섬웨어는 사용자 디바이스나 네트워크 스토리지 디바이스의 파일을 불법적으로 암호화하고 해독키를 대가로 거액을 요구하는 멀웨어 공격 유형이다. 암호화된 파일에 대한 접속 권한을 복구하기 위해 추적이 어려운 비트코인과 같은 전자 결제 방식을 통해 대가를 지불하도록 협박하는 수법을 사용한다.
랜섬 디도스는 디도스 공격으로 특정 서비스 혹은 네트워크를 중단시키겠다고 협박하며 돈을 요구하는 공격이다. 공격을 먼저 자행하고 공격 중단을 위해 돈을 요구하거나 디도스 공격 이전에 먼저 요구하는 방식을 사용한다.
공격에 대한 징후는 어떻게 포착하나?
보통은 기업의 대표 이메일 혹은 네트워크나 보안 담당자 이메일로 연락을 받는 경우가 대부분이다. 실제 공격을 할 능력이 되지 않는 공격자가 겁만 주는 경우를 블러핑(bluffing)이라고 한다. 대부분 협박 메일에는 공격자가 과거 어떤 디도스 공격을 유발했는지와 어떤 해커 단체 소속인지를 과시하는 경우가 많으나 이것의 사실 여부를 밝히거나 단순 블러핑에 해당하는 가벼운 위협인지 아닌지는 사실 사전에 정확하게 구분할 수 없다. 다만 공격자의 협박과 달리 공격이 발생하거나 예상만큼 심각한 공격이 발생하지 않은 사례가 많다.
공격의 대상은 누구인가?
랜섬 디도스 공격은 일반 디도스 공격과 유사하게 특정 분야의 기업만을 표적으로 삼지 않는다. 하지만 대부분의 국영기업, 공기업, 금융사, 이커머스, 리테일 업체들이 대다수의 일반인들을 대상으로 비즈니스를 영위하고 있기 때문에 그러한 기업의 서비스가 디도스 공격으로 인해 멈춘다면 많은 사용자들이 피해를 보는 경우가 많다. 최근 국내에 발생한 랜섬웨어로 인한 피해로 영업을 잠시 멈추어야 했던 기업의 경우가 그 예제라고 볼 수 있다. 예전의 디도스 목표가 되었던 기업이나 단체는 종교적, 정치적인 이유가 많았지만 최근에는 그러한 이해관계와 상관없이 많은 기업을 대상으로 몸값을 요구하며 디도스를 수행하는 경우가 증가하였다.
최근에는 북미, 아시아 태평양, 유럽⋅중동⋅아프리카 지역 기업이 협박 이메일을 받고 있다. 처음에는 금융 서비스가 가장 위협을 많이 받는 분야였으나 최근에 비즈니스 서비스, 첨단 기술, 호텔 및 관광, 리테일, 여행과 같은 산업 분야의 기업을 대상으로 한 협박 이메일이 많았다.
최근의 국내외 대표적 랜섬 디도스 사례는?
저명한 네트워크 업체의 조사에 따르면 최근 Armada Collective, Cozy Bear, Fancy Bear, Lazarus Group이라고 주장하는 조직들의 공격이 지속적으로 증가한 것을 확인했다. 최대 2Tbps의 공격을 일으키겠다는 위협을 받은 고객들도 있었다. 지금까지 관측된 공격의 대역폭 범위는 20Gbps에서 300Gbps까지 광범위하게 나타나며 다양한 공격 기법이 사용되었다.
지난 2020년 6월 21일 대형 유럽 은행을 노린 공격은 809Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 업계 최고 기록을 경신했다. 6월 초에도 금융 서비스 기관을 대상으로 385Mpps의 대규모 디도스 공격을 관측되었는데, 이번 공격은 6월 초 공격의 2배를 넘어서는 규모였다. 규모뿐 아니라 공격 속도 역시 최고 수준을 기록했다. 정상 트래픽 수준인 418Gbps 규모에서 약 2분 만에 809Mpps에 도달했고 공격 시간은 약 10분 동안 지속됐다.
공격이 진행되는 동안 공격에 사용된 IP 주소의 수 또한 급증했다. 이 고객에게 일반적으로 관측되던 평균적인 접속 IP 수에 비해 소스 IP 수가 1분에 600배 이상 증가했다는 점에서 이번 공격이 고도로 분산된 공격임을 알 수 있다. 새로운 봇넷의 등장도 주목할 만한 점이다. 이번 공격에서는 소스 IP 대다수가 2020년 이전 공격에서는 사용되지 않던 IP에서 발생했다. 전체 소스 IP 중 96.2%가 최초로 관측된 매우 이례적인 공격이었다.
또한 2020년 100Gbps 이상의 공격 건수와 공격 종류가 30개월 만에 최고치를 기록하며 공격이 계속하여 증가하고 있다는 것도 발견되었다. 이런 증가 추세는 2020년 초 COVID19 확산으로 인한 격리 조치가 실행되면서 더욱 증가했다는 점이 흥미로운 부분이다.
국내에서는 2020년 8월에 Armada Collective라 주장하는 해킹 그룹이 국내 3개 금융사를 대상으로 디도스 공격과 동시에 공격 예고 협박 메일을 보냈으나 다행히 큰 피해는 없었다. 2020년 추석 연휴 기간 일부 국내 금융기관에 디도스 공격 시도가 발생한 뒤 Fancy Bear라 주장하는 해킹그룹이 국내 4개 은행에 비트코인을 입금하지 않으면 대규모 디도스 트래픽 공격을 하겠다고 예고했다. 하지만 실제 공격은 감행하지 않은 것으로 확인됐다.
어떻게 방어해야 하나?
웹 공격에 대해서는 평소에도 로그를 분석하여 어떤 형태의 공격이 유입되고 있는지를 확인하고 이에 대한 취약점을 미리 제거하고 방화벽 정책을 최신으로 유지하는 것이 필요하다. 기본적으로 SQL Injection, Cross Site Script, Remote File Inclusion 공격에 대한 방어는 늘 필요하다.
디도스 공격 대비를 위해 네트워크 상에서 디도스가 감지되었을 때 공격성 트래픽을 걸러내고 순수하게 서비스 트래픽만 전달할 수 있는 기술과 프로세스를 평소에 준비해두어야 한다. 디도스 공격을 대비한 스크러빙 센터(scrubbing center) 혹은 사이버 대피소, 클린존 서비스 등의 준비가 대표적이다. 디도스 공격의 대상이 다양하므로 DNS와 애플리케이션 레이어에서 포괄적인 디도스 방어 조치를 구축하는 것 또한 필요하다. 무엇보다 방어를 위한 시스템은 디도스의 공격 볼륨을 빠르게 탐지하고 충분히 소화하고 막아낼 수 있는 용량을 보유해야 한다.
랜섬웨어의 경우 주로 스팸 이메일을 통해 배포된다. 합법적인 파일로 위장한 악성코드가 담긴 첨부파일, 이메일 본문에 악성코드를 주입하는 파일 혹은 사이트로의 링크 URL을 클릭하도록 유도하는 방식이다. 따라서 이에 감염되지 않도록 알려지지 않은 메일 송신자의 링크나 첨부파일 클릭을 금지하고 사내 시스템에 접속해 사용하는 PC, USB, 저장 장치 등의 시스템은 업무용으로만 활용하는 등 직원들의 보안 의식도 필요한 부분이다.
마지막으로 보안 담당자뿐만 아니라 모든 직원의 보안 의식 고취가 필요하다. 보안을 위한 기술뿐만 아니라 프로세스, 사람이 모두 기술과 어우러지는 행동 규칙에 평소 훈련이 되어있어야 한다.
최근 기업을 대상으로 한 보안 사례들의 가장 큰 특징은 공격 수법이 더욱 교묘해지고 공격 회수도 지속적으로 증가한다는 점이다. 예를 들어 전통적인 랜섬웨어 공격과 다르게 최근의 랜섬웨어는 한국어로 감염 사실을 알리고 데이터를 미리 탈취하고 외부 공개를 협박하는 방식을 사용했다. 가상 머신을 사용해 랜섬웨어를 실행하는 것 또한 공격 기법이 다양해졌다는 것을 시사한다.
COVID19 상황이 장기화되면서 각종 공격에 COVID19 관련 키워드로 사람들의 이목을 집중시키는 것 또한 최근 특징 중의 하나이다. 가트너(Gartner)를 인용하자면 “네트워킹 및 네트워크 보안 패턴이 변화하면서 향후 10년간 경쟁 구도가 변할 것이며 기업이 복잡성을 줄이고 IT 직원이 네트워크 및 네트워크 보안 운영의 일상적인 측면을 제거할 수 있는 중요한 기회가 창출될 것”으로 보인다. 이런 측면에서 네트워크와 네트워크 보안을 하나의 컨버전스로 구현하는 부분도 고려가 필요하다.
