최대규모 랜섬웨어 그룹 ‘LockBit’ 검거 이후에도 활동…피싱 메일 유포
[SRT(에스알 타임스) 선호균 기자] SK쉴더스가 2024년 1분기 KARA(Korea Anti Ransomeware Alliance) 랜섬웨어 동향 보고서를 공개했다고 3일 밝혔다.
민간 랜섬웨어 대응 협의체 KARA는 랜섬웨어 예방, 사고접수, 복구까지의 전 과정을 원스톱으로 대응하고 있으며 매분기 랜섬웨어 동향 보고서를 발간하며 정보 공유 활동에 앞장서고 있다.
보고서에 따르면 지난 1분기 총 1,122건의 랜섬웨어 공격이 발견돼 지난해 4분기(914건)보다 23%, 지난해 같은 기간(1분기)보다는 20.3% 증가한 것으로 나타났다. 특히 1분기에 발생한 주요 공격 트렌드를 살펴보면 시스템 관리 도구를 악용하는 공격자들이 늘어난 것으로 조사됐다.
기존 랜섬웨어 그룹들은 공격 대상 맞춤형 도구를 제작해 사용한 반면 최근 랜섬웨어 공격자들은 탐지 우회를 위해 시스템 내부에 있는 운영 도구나 네트워크 장비 모니터링 소프트웨어를 사용하고 있는 것으로 조사됐다.
BYOVD 기법의 랜섬웨어 공격도 주목을 받고 있다. BYOVD란 Bring-Your-Vulnerable-Driver의 약자다. 합법적인 서명이 돼 있어 시스템이 정상 드라이버로 인식하지만 실제로는 공격에 취약한 드라이버를 악용하는 것을 말한다.
지난해부터 등장한 이 공격 기법은 관리자 권한보다 높은 시스템 권한을 실행할 수 있어 보안 솔루션을 쉽게 우회할 수 있다.
이밖에도 보고서에는 최대 규모의 랜섬웨어 그룹인 ‘LockBit’에 대해 자세히 다뤘다. LockBit은 지난 3월 FBI의 검거에도 불구하고 새로운 공격 인프라를 구축하며 활동을 이어가고 있다. LockBit은 이력서나 입사지원서 등으로 위장한 피싱메일을 유포하는 방식으로 공격하는 것으로 알려져 있다.
KARA는 LockBit과 같이 피싱메일이나 초기 침투의 취약점을 악용한 랜섬웨어 공격에 대비하기 위한 ▲악성메일 훈련 ▲모의 해킹 ▲보안체계 점검 등 사전 예방 활동의 중요성을 강조했다. 랜섬웨어에 감염됐을 때에는 ‘랜섬웨어 특화 모의해킹’, ‘악성메일 대응 훈련’ 등의 서비스를 통해 추후 발생할 수 있는 피해를 줄여한 한다고 업계는 입을 모은다.
김병무 SK쉴더스 정보보안사업부장(부사장)은 “랜섬웨어 그룹들은 공격 기법을 최신화하며 보안 솔루션과 시스템을 회피하는 방식을 선호하고 있어 선제적인 대응 방안 마련이 시급하다”며 “SK쉴더스는 KARA 회원사들과 랜섬웨어 피해를 줄일 수 있는 보안 체계 구축과 서비스 개발에 매진하겠다”고 밝혔다.
한편, 주요·신규 랜섬웨어 공격 그룹에 대한 동향과 대응 방안이 담긴 2024년 1분기 KARA 랜섬웨어 동향 보고서는 SK쉴더스 홈페이지를 통해 무료로 다운로드 받을 수 있다.