사이버 갈취: 위험 및 예방 가이드

사이버 갈취란 무엇인가?

사이버 갈취 공격에서 범죄자는 시스템을 침해하거나 데이터를 탈취하거나 운영을 방해한 뒤, 공격 중단 또는 데이터 공개 방지를 조건으로 암호화폐 지불을 요구합니다. FBI가 2025년 4월 24일 발표한 2024년 인터넷 범죄 신고센터 보고서에 따르면, 2024년 갈취 관련 신고는 12,618건으로 2023년 5,396건 대비 134% 증가했습니다.

현대의 사이버 갈취는 데이터 갈취 및 암호화 위협을 통해 수익, 운영 연속성, 규제 준수를 동시에 위협합니다. FinCEN의 금융 동향 분석에 따르면, 랜섬웨어 조직은 2022년부터 2024년까지 21억 달러 이상을 갈취했으며, 제조업, 금융 서비스, 의료 부문이 주요 표적이었습니다.

조직에 미치는 사이버 갈취의 영향

사이버 갈취는 비즈니스 전반에 연쇄적인 영향을 미칩니다. 재정적 영향은 단순한 몸값 요구를 넘어섭니다. 2024년 Change Healthcare 공격은 사고 대응, 시스템 복구, 규제 통지, 비즈니스 중단 등으로 수십억 달러의 비용이 발생했습니다.

운영 중단은 재정적 손실을 가중시킵니다. 2024년 6월 Synnovis(영국 NHS 병리 서비스 제공업체)가 랜섬웨어 공격을 받으면서 런던 전역의 병원은 1,100건 이상의 선택 수술과 2,000건의 외래 진료를 연기해야 했습니다. 혈액 수혈, 암 치료, 제왕절개 등이 지연되어 환자 치료에 직접적인 영향을 미쳤습니다. 시스템 복구 이후에도 평판 손상은 지속되며, 데이터 유출에 따른 규제 처벌은 특히 의료 및 금융 서비스 분야에서 추가적인 재정 부담을 초래합니다.

이러한 공격이 광범위한 피해를 유발하는 이유를 이해하려면, 사이버 갈취와 단순 랜섬웨어 공격을 구분해야 합니다.

사이버 갈취 vs 랜섬웨어

랜섬웨어는 파일을 암호화하고 복호화 키 제공을 조건으로 금전을 요구합니다. 사이버 갈취는 랜섬웨어를 포함하면서도, 백업 복구가 가능하더라도 지불을 강요하는 다양한 압박 전술을 추가합니다.

전통적인 랜섬웨어는 단일 거래에 해당합니다. 오프라인 백업이 있으면 지불 없이 복구할 수 있습니다. 공격자들은 이 한계를 인식하고 전술을 발전시켰습니다. 현대의 사이버 갈취는 암호화와 데이터 탈취, 공개 위협, 협상 중 DDoS 공격, 고객 또는 파트너 직접 접촉 등을 결합합니다. 각 추가 전술은 복구 옵션을 제거합니다. 완벽한 백업이 있어도 지불을 거부하면 데이터 노출 위험이 남아 있습니다.

사이버 갈취는 또한 더 긴 공격 기간을 특징으로 합니다. 랜섬웨어는 몇 초 만에 실행될 수 있지만, 사이버 갈취 캠페인은 최종 암호화 단계 전까지 며칠 또는 몇 주간 정찰, 자격 증명 탈취, 횡적 이동, 데이터 유출을 수행합니다. 이 확장된 기간 동안 공격자 행위를 탐지할 수 있다면 공격을 차단할 수 있는 여러 기회가 생깁니다.

현대 사이버 갈취 캠페인의 핵심 구성 요소를 이해하면, 이러한 전술이 어떻게 결합되어 압박을 극대화하는지 알 수 있습니다.

사이버 갈취의 핵심 구성 요소

현대 사이버 갈취는  랜섬웨어 암호화, 데이터 탈취 및 공개 위협, DDoS 공격 등 여러 공격 방식을 동시에 결합하여 조직을 겨냥합니다.

1. 랜섬웨어 암호화는 복호화 키를 받을 때까지 생산 시스템과 데이터 저장소를 잠급니다. 공격자는 백업 인프라를 우선적으로 노립니다.  CISA의 랜섬웨어 캠페인 분석에 따르면, 공격자는 Veeam의 CVE-2023-27532와 같은 백업 소프트웨어 취약점을 패치가 배포된 이후에도 지속적으로 악용합니다.
2. 데이터 탈취 갈취는 암호화 전에 민감 데이터를 유출하고, 탈취한 정보를 공개하거나 피해 고객에게 직접 연락하겠다고 위협합니다.  CISA와 FBI의 Medusa 랜섬웨어 공동 권고에 따르면, 이러한 이중 갈취 전략은 표준 관행이 되었습니다.
3. DDoS 기반 방해는  분산 서비스 거부 공격을 통해 네트워크 인프라를 마비시키며, 동시에 랜섬웨어 배포 및 데이터 공개 위협을 가합니다. 이 삼중 갈취 방식은 운영, 데이터, 공급망 파트너를 동시에 겨냥합니다.

이러한 구성 요소는 예측 가능한 순서로 작동하며, 갈취 캠페인의 경고 신호를 인지하면 암호화가 실행되기 전에 대응할 수 있습니다.

사이버 갈취 시도 주요 지표

사이버 갈취 캠페인은 정찰 및 준비 단계에서 흔적을 남깁니다. CISA의 Play 랜섬웨어 권고에 따르면, 공격자는 AdFind와 같은 도구로 도메인 컨트롤러와 권한 계정을 열거합니다. 일반적으로 관리 기능을 수행하지 않는 워크스테이션에서 AD 쿼리 급증이 발생하는지 주시해야 합니다.

유출 전, 공격자는 탈취 파일을 압축 아카이브로 통합합니다. 수천 개 파일 접근, 비정상적인 아카이브 생성, 클라우드 저장소 서비스로의 예기치 않은 연결을 모니터링해야 합니다.  CISA의 랜섬웨어 가이드에 따르면, 공격자는 데이터 유출에 Rclone, Rsync, 웹 기반 파일 저장소, FTP/SFTP를 사용합니다.

공격자는 랜섬웨어 배포 전 보안 도구도 비활성화합니다. 보안 에이전트 변조, 볼륨 섀도 복사본 삭제, 백업 서비스 변경을 경고로 설정해야 합니다.

이러한 지표는 FBI 조사에서 문서화된 장기 공격 기간 동안 나타납니다. 공격자는 배포하는 갈취 캠페인 유형에 따라 이를 조합해 단계적으로 활용합니다.

사이버 갈취 유형

사이버 갈취 캠페인은 공격자가 사용하는 압박 전술 수에 따라 세 가지로 분류됩니다. 각 단계가 추가될수록 피해자가 백업 및 복구 능력이 있어도 지불 가능성이 높아집니다.

1. 단일 갈취는 랜섬웨어 암호화만을 이용합니다. 시스템을 암호화하고 복호화 키 제공을 조건으로 금전을 요구합니다. 오프라인 백업이 있으면 지불 없이 복구할 수 있습니다.
2. 이중 갈취는 암호화에 데이터 탈취를 추가합니다. 공격자는 시스템 암호화 전 민감 데이터를 유출하고, 지불을 거부하면 탈취 정보를 공개하겠다고 위협합니다. 백업 복구가 가능해도 데이터 노출로 인한 규제 처벌과 평판 손상이 발생합니다.
3. 삼중 갈취는 이중 갈취에 DDoS 공격과 공급망 압박을 추가합니다. 공격자는 협상 중 네트워크를 마비시키고, 고객, 파트너, 투자자에게 직접 연락해 압박을 강화합니다.

다층적 캠페인으로의 진화는 백업 복구가 암호화만을 이용한 공격을 무력화함을 공격자가 학습한 결과입니다. 공격 순서를 이해하면 이러한 캠페인을 차단할 수 있는 지점을 파악할 수 있습니다.

사이버 갈취의 작동 방식

사이버 갈취 공격은 초기 접근, 권한 상승, 횡적 이동, 데이터 유출, 암호화 배포의 다단계로 진행됩니다. CISA와 FBI 조사에 따르면, 위협 행위자는 암호화 전 며칠 또는 몇 주간 정찰을 수행하므로, 의심스러운 활동을 탐지할 기회가 여러 번 존재합니다.

• 취약점 악용을 통한 초기 접근: 공격자는 패치되지 않은 소프트웨어 취약점을 통해 진입합니다. CISA 권고 AA25-163A는 랜섬웨어 행위자가 패치되지 않은 SimpleHelp 원격 모니터링 및 관리 소프트웨어를 악용한 사례를 문서화합니다.  CISA의 Interlock 랜섬웨어 사이버 보안 권고에 따르면, 위협 행위자는 손상된 합법적 웹사이트에서 드라이브 바이 다운로드로 초기 접근을 얻었습니다.
• 자격 증명 접근 및 정찰: 공격자는 자격 증명 덤프 도구로 관리자 권한을 탈취합니다.  CISA 권고 AA23-278A에 따르면, 악성 행위자는 VPN 접근 및 백업 시스템 관리자 접근에 기본 자격 증명을 정기적으로 악용합니다. CISA의 Play 랜섬웨어 권고는 공격자가 암호화 배포 전 AdFind로 전체 도메인 구조를 매핑하는 것을 문서화합니다.
• 횡적 이동 및 데이터 유출: 공격자는 PsExec와 같은 도구로 서버 메시지 블록(SMB) 통신을 통해 횡적 이동합니다.  CISA의 StopRansomware 가이드는 대부분의 조직이 횡적 SMB 통신에 Kerberos 기반 IPsec을 요구하도록 Windows 시스템을 구성하지 않는다고 지적합니다. 위협 행위자는 랜섬웨어 배포 전 며칠 또는 몇 주간 민감 데이터를 유출합니다.
• 크로스 플랫폼 암호화: FBI는 Interlock 랜섬웨어가 Windows와 Linux 운영체제 모두에 암호화기를 배포한 것을 관찰했습니다. 암호화가 실행되면 생산 환경, 가상 인프라, 백업 시스템을 동시에 겨냥합니다.

이러한 다단계 공격 특성은 방어 기회를 제공하지만, 이를 활용하려면 초기 단계에서 공격자 행위를 탐지할 수 있는 보안 플랫폼이 필요합니다.

사이버 갈취 시도 탐지 방법

사이버 갈취 캠페인을 탐지하려면 여러 공격 단계에서 공격자 행위를 모니터링해야 합니다. 악성코드 실행만 경고하는 포인트 솔루션은 암호화 이전 수주간의 활동을 놓칩니다.

정찰 활동

보안 플랫폼은 Active Directory 쿼리 활동과 해당 쿼리를 생성하는 프로세스를 연관 분석해야 합니다. 다음을 주시하십시오:

• AdFind 또는 유사 도구가 관리 기능을 수행하지 않는 워크스테이션에서 도메인 컨트롤러를 쿼리
• 권한 계정, 그룹 멤버십, 신뢰 관계 열거
• 내부 시스템에서 포트 스캔 또는 네트워크 매핑
• 백업 인프라 및 저장소 시스템에 대한 쿼리

횡적 이동 지표

기준선에서 벗어난 인증 패턴을 추적하십시오:

• 서비스 계정이 이전에 접근하지 않은 시스템 접근
• 관리 도구(PsExec, WMI, PowerShell 원격)가 비표준 디렉터리에서 실행
• 비정상 소스 시스템에서 원격 데스크톱 연결
• 패스 더 해시 또는 패스 더 티켓 인증 이상

데이터 준비 및 유출

보안 도구를 데이터 집계 행위에 대해 경고하도록 구성하십시오:

• 짧은 시간 내 여러 디렉터리에서 수백 개 파일 접근
• 임시 폴더 또는 비표준 위치에서 아카이브(ZIP, RAR, 7z) 생성
• 서버에서 클라우드 저장소(Mega, Dropbox, Google Drive)로의 아웃바운드 연결
• 비근무 시간대 또는 익숙하지 않은 외부 IP로의 대량 데이터 전송

• 일반적으로 사용하지 않는 시스템에서 Rclone, Rsync, FTP/SFTP 활동

방어 회피 시도

보안 도구 변조 시 즉시 경고하십시오:

• 엔드포인트 보호 에이전트 중지 또는 제거
• 볼륨 섀도 복사본 삭제(vssadmin delete shadows)
• 백업 서비스 변경 또는 예약 작업 변경
• Windows Defender 예외가 프로그램적으로 추가됨

행위 기반 분석이 중요한 이유는 공격자가 맞춤형 악성코드 대신 합법적 도구를 사용하기 때문입니다. 개별 지표를 통합 타임라인으로 연관 분석하는 보안 플랫폼은 단절된 이벤트가 아닌 전체 공격 경로를 보여줍니다.

갈취 시도를 조기에 탐지하면 공격 체인의 각 단계에 대응할 수 있는 시간을 확보할 수 있습니다.

사이버 갈취 예방 방법

예방 전략은 사이버 갈취 공격 체인의 각 단계를 차단하는 데 초점을 맞춰야 합니다. 초기 접근부터 암호화까지 공격자 진행을 방해하는 구체적 통제에 집중하십시오.

초기 접근 차단

• 치명적 취약점 공개 후 48시간 이내 인터넷 노출 시스템 패치(특히 VPN, 방화벽, 원격 접근 도구, 이메일 게이트웨이)
• 필요하지 않은 시스템에서 원격 접근 프로토콜(RDP, SSH) 비활성화
• 서버에 애플리케이션 허용 목록 적용하여 무단 실행 방지
• 위험한 첨부파일 제거 및 URL 검사 기능이 포함된 이메일 필터링 도입

자격 증명 취약점 제거

 CISA 권고 AA23-278A에 따르면, 기본 자격 증명은 가장 많이 악용되는 오구성 중 하나입니다.

• 모든 시스템을 점검하여 기본 비밀번호가 변경되었는지 확인(특히 백업 시스템, VPN 게이트웨이, 관리자 포털)
• VPN, 관리자 포털, 클라우드 서비스, 이메일에 MFA 필수 적용. Change Healthcare 침해는 MFA 없는 단일 계정이 악용되어  약 1억 9천만 명에게 영향을 미쳤습니다.
• 관리자 계정에 특권 접근 관리(PAM) 적용
• 서비스 계정에 15자 이상 비밀번호 강제

횡적 이동 제한

• 기능 및 데이터 민감도에 따라 네트워크 분할
• CISA StopRansomware 가이드는 횡적 SMB 통신에 Kerberos 기반 IPsec 요구를 권장
• LLMNR, NetBIOS, WPAD 비활성화로 자격 증명 가로채기 방지
• 워크스테이션 간 로컬 관리자 계정 사용 제한

백업 인프라 보호

• 네트워크와 격리된 오프라인 암호화 백업 유지
• 백업 자격 증명을 운영 Active Directory와 분리 저장
• 분기별로  랜섬웨어 복구 절차 테스트로 복구 가능성 검증
• 삭제 또는 변경이 불가능한 불변 백업 저장소 구현

강력한 예방 조치에도 사고는 발생할 수 있습니다. 명확한 대응 계획이 공격을 신속히 차단할지, 장기 운영 중단으로 이어질지 결정합니다.

사이버 갈취 사고 대응 단계

사이버 갈취 공격을 발견했을 때, 초기 몇 시간 내 대응이 공격자 목표 달성 여부를 좌우합니다.  CISA의 랜섬웨어 체크리스트를 기반으로 다음 단계를 따르십시오:

1. 감염 시스템 즉시 격리. 감염 시스템을 네트워크에서 분리하되 전원은 유지하십시오. 네트워크 격리는 횡적 이동 및 추가 암호화를 방지합니다. 전원 유지는 포렌식 아티팩트가 남은 휘발성 메모리를 보존합니다.
2. 대응팀 가동. IT 부서, 관리형 보안 서비스 제공업체, 사이버 보험사, 부서 책임자에게 동시에 연락하십시오. 조사 완료를 기다리지 말고 즉시 리소스를 투입하십시오.
3. 침해 범위 파악. 암호화된 시스템, 침해된 계정, 데이터 유출 여부를 식별하십시오. 클라우드 저장소로의 대량 아웃바운드 트래픽을 평가하십시오.
4. 포렌식 증거 보존. 복구 전 감염 시스템 이미징으로 법 집행 조사 및 보험 청구를 지원하십시오. 공격 타임라인, 몸값 요구, 공격자와의 모든 소통을 문서화하십시오.
5. 연방 자원 활용.  CISA StopRansomware 가이드에 따르면, 연방 자산 대응에는 기술 지원, 위험 기관 식별, 복구 리소스 안내가 포함됩니다. FBI IC3 및 CISA에 사고를 신고하십시오.
6. 복구 절차 실행. 백업 무결성 확인 후 신뢰할 수 있는 백업에서 시스템을 복원하십시오. 단순히 악성코드를 제거하지 말고 감염 시스템을 재구축하십시오. 노출 가능성이 있는 모든 자격 증명을 변경하십시오.

효과적인 사고 대응에도 불구하고, 조직은 사이버 갈취 캠페인 방어에 지속적인 어려움을 겪고 있습니다.

사이버 갈취 방어의 과제와 한계

전통적 보안 아키텍처는 사이버 갈취가 제기하는 구조적 문제를 해결하는 데 한계가 있습니다. 조직은 핵심 인프라, 특히 백업 및 복구 시스템에 보안 패치를 반복적으로 적용하지 못합니다. 공격자는 백업 시스템을 우선적으로 노려 생산 데이터 암호화 전 복구 옵션을 제거합니다.

CISA의 Play 랜섬웨어 권고는 Active Directory 오구성의 체계적 악용을 문서화합니다. 공격자는 정찰에 AdFind, 횡적 이동에 PsExec, 지속적 명령 및 제어 통신에 Cobalt Strike를 사용합니다. 또한 Play 랜섬웨어 운영자는 공격마다 악성코드를 재컴파일하여 장기 공격 시퀀스에서 위협 탐지를 어렵게 만듭니다.

이러한 과제를 해결하려면, 성공적인 갈취 캠페인을 가능하게 하는 일반적인 실수를 피해야 합니다.

사이버 갈취의 일반적 실수

• 격리 조치 지연: 의심스러운 활동을 발견했으나, 조사 중 격리 조치를 미루어 랜섬웨어가 횡적으로 확산됩니다.  CISA의 랜섬웨어 체크리스트는 포렌식 보존을 위해 전원을 유지한 채 즉시 감염 시스템을 격리해야 함을 강조합니다.
• 데이터 유출 모니터링 실패: 보안 도구가 악성코드 실행만 경고하고, 수주간의 데이터 유출을 놓칩니다.  CISA의 랜섬웨어 대응 가이드에 따르면, Rclone, Rsync, 웹 기반 파일 저장소, FTP/SFTP를 모니터링해야 합니다. 고급 보안 플랫폼은 수천 개 파일 접근, 데이터 압축, 클라우드 저장소로의 아웃바운드 연결 등 행위로 유출 도구를 탐지합니다.
• 중요 시스템에 기본 자격 증명 사용:  CISA 권고 AA23-278A에 따르면, 기본 자격 증명은 특히 백업 시스템, VPN 게이트웨이, 관리자 포털에서 가장 많이 악용되는 오구성입니다.

이러한 실수는 예방할 수 있습니다. 정부 기관은 공격자가 악용하는 각 취약점을 직접적으로 해결하는 구체적 지침을 제공합니다.

사이버 갈취 모범 사례

정부 기관은 사이버 갈취 예방 및 대응을 위한 구체적 지침을 제공합니다:

• 범용 다중 인증(MFA) 구현. 공동  CISA/FBI/NSA StopRansomware 가이드는 모든 서비스, 특히 웹메일, VPN, 중요 시스템 접근에 MFA를 의무화합니다.
• SMB 통신에 Kerberos-IPsec 구성. CISA의 StopRansomware 가이드는 횡적 SMB 통신에 Kerberos 기반 IPsec 요구를 권장하여 공격자가 Active Directory 도메인 외부 시스템에 접근하지 못하도록 합니다.
• 오프라인 암호화 백업 유지. 공동  CISA/FBI/NSA 지침은 백업이 네트워크와 격리되고 암호화되어야 함을 명시합니다.
• 데이터 유출 도구 모니터링.  CISA의 랜섬웨어 가이드에 따르면, Rclone, Rsync, 웹 기반 파일 저장소, FTP/SFTP를 모니터링해야 합니다.
• 비관리 디바이스 탐지. 지속적 자산 탐지로 기본 자격 증명이 남아 있을 수 있는 비관리 디바이스 및 섀도 IT를 식별하십시오.
• 연방 자원 선제적 활용. 연방 자산 대응에는 기술 지원, 위험 기관 식별, 복구 리소스 안내가 포함됩니다.

이러한 모범 사례를 따르면 기본 방어력을 강화할 수 있습니다. 최근 사고는 이를 이행하지 않을 경우 발생하는 결과를 보여줍니다.

사이버 갈취 실제 사례

최근 사이버 갈취 캠페인은 공격자가 여러 전술을 결합해 피해자에 대한 압박을 극대화하는 방식을 보여줍니다.

1. Change Healthcare(2024년 2월): BlackCat(ALPHV) 그룹은 MFA가 적용되지 않은 단일 계정을 악용해 Change Healthcare에 침투했습니다. 공격자는 민감 데이터를 유출하고, 전국적으로 전자 결제 및 의료 청구 처리를 중단시키는 랜섬웨어를 배포했습니다.  HHS Office for Civil Rights 침해 포털에 따르면, 약 1억 9천만 명이 영향을 받아 미국 의료 데이터 유출 사상 최대 규모가 되었습니다. 이 사고는 단일 자격 증명 취약점이 전국적 운영 중단으로 이어질 수 있음을 보여줍니다.
2. Synnovis-NHS(2024년 6월): Qilin 랜섬웨어 조직이 NHS 병리 서비스 제공업체 Synnovis를 공격해 런던 병원에서 1,000건 이상의 선택 수술과 수천 건의 외래 진료가 연기되었습니다. 혈액 수혈, 검사 결과, 암 치료가 지연되었습니다. 공격자는 민감 데이터를 탈취하고 지불을 요구했으며, 협상 실패 시 탈취 기록을 공개했습니다. 이 공격은 서드파티 침해가 핵심 의료 서비스에 직접 영향을 미칠 수 있음을 보여줍니다.
3. Snowflake 고객 침해(2024년 5월): 해커는 손상된 자격 증명을 이용해 Snowflake 클라우드 데이터 플랫폼에 접근, 주요 기업을 포함한 100개 이상의 고객에 영향을 미쳤습니다. 공격자는 대량의 고객 데이터를 유출하고, 데이터 공개 방지를 조건으로 몸값을 요구하는 갈취 전술을 사용했습니다. 이 사고는 공격자가 공유 인프라 제공업체를 표적으로 삼을 때 공급망 위험이 커짐을 강조합니다.
4. Blue Yonder(2024년 11월): Termite 랜섬웨어 그룹은 주요 공급망 소프트웨어 제공업체 Blue Yonder를 공격해 수천 개 기업 고객의 서비스가 중단되었습니다. Termite는 이중 갈취 전술로 시스템을 암호화하고, 탈취 데이터 공개를 위협했습니다. 이 공격은 공급망 침해가 여러 조직에 동시다발적으로 영향을 미칠 수 있음을 보여줍니다.

이들 사고는 공통적으로 암호화 전 장기 공격자 상주, 자격 증명 취약점 또는 미패치 취약점 악용, 다층 압박 전술을 보입니다. 정찰 탐지 및 공격 지표 연관 분석이 가능한 보안 플랫폼을 갖춘 조직은 암호화 단계 이전에 이러한 캠페인을 차단할 수 있습니다.

SentinelOne으로 사이버 갈취 방어

갈취 신고 134% 급증은 위협 행위자가 다단계 캠페인으로 전환했음을 보여줍니다. 확장된 공격 체인은 몸값 요구 전 공격을 차단할 수 있는 여러 기회를 제공합니다. SentinelOne의 Singularity Platform은 암호화 시작 전 갈취 체인을 차단하도록 각 공격 단계를 대응합니다.

Singularity XDR은 AdFind 쿼리와 도메인 컨트롤러, 열거 도구를 실행한 상위 프로세스, 결과를 수신하는 외부 IP를 연관 분석해 정찰 패턴을 탐지합니다. Purple AI는 "지난 72시간 동안 이 손상된 계정이 접근한 모든 시스템 보여줘"와 같은 자연어 쿼리를 받아 조사를 가속화합니다.  Purple AI는 조사 시간을 최대 80% 단축하여 암호화 배포 전 데이터 유출을 차단할 수 있습니다.

Storyline은 프로세스 실행, 파일 변경, 네트워크 연결을 통합 타임라인으로 연관 분석해 전체 공격 체인을 재구성합니다. MITRE ATT&CK 평가에서 Singularity Platform은  경쟁사 대비 88% 적은 경고를 생성했습니다(12건 vs 178,000건).

Ranger는 비관리 디바이스 및 기본 자격 증명이 남아 있을 수 있는 섀도 IT를 지속적으로 탐지합니다. CISA 권고 AA23-278A에 따르면, 악성 행위자는 VPN 게이트웨이 및 관리자 포털의 기본 자격 증명을 정기적으로 악용합니다.

SentinelOne 데모를 예약하여 이러한 기능을 직접 경험해 보십시오.

핵심 요약

사이버 갈취는 단순 랜섬웨어에서 데이터 탈취, DDoS 공격, 공급망 표적화가 결합된 다단계 캠페인으로 진화했습니다. FBI는 2024년 갈취 신고가 134% 급증했으며, 공격자는 암호화 배포 전 며칠 또는 몇 주간 네트워크에 상주한다고 문서화했습니다. 이 확장된 기간은 정찰, 자격 증명 탈취, 데이터 유출 단계에서 공격을 차단할 수 있는 여러 방어 기회를 제공합니다.

이러한 캠페인 방어를 위해서는 암호화 시점의 악성코드 탐지에서, 며칠 전 공격자 행위 탐지로 전환해야 합니다. Singularity XDR은 정찰 패턴을 연관 분석하고, Purple AI는 자연어 쿼리로 조사를 가속화하며, Storyline은 전체 공격 체인을 재구성하고, Ranger는 공격자 악용 전 비관리 자산을 탐지합니다.