이중 갈취 랜섬웨어란 무엇인가?

이중 갈취는 랜섬웨어 공격자가 데이터를 암호화할 뿐만 아니라 유출하겠다고 위협하는 전술입니다. 본 가이드는 이중 갈취의 작동 방식, 피해자에게 미치는 영향, 예방 전략을 살펴봅니다.

데이터 백업과 사고 대응 계획 수립의 중요성을 알아보세요. 이중 갈취를 이해하는 것은 조직이 민감한 정보를 보호하는 데 필수적입니다.

이중 갈취는 사이버 위협의 진화하는 정교함을 강조하며, 랜섬웨어에 대한 견고한 방어 체계와 경계 태세를 포함한 포괄적인 사이버 보안 접근법의 필요성을 부각시킵니다. margin: 0px; padding: 0px;">랜섬웨어에 대한 강력한 방어, 경계 태세를 유지하는 데이터 보호, 및 사고 대응 전략.

이중 갈취에 대한 간략한 개요

이중 갈취는 최근 몇 년간 랜섬웨어 공격의 양상을 재편한 정교한 사이버 위협 전술입니다. 이 악의적인 전략은 사이버 범죄자들이 피해자의 데이터를 암호화할 뿐만 아니라 암호화 전에 민감한 정보를 훔쳐 효과적으로 인질로 삼는 것을 포함합니다. 피해자가 데이터 복호화를 위한 몸값 지불을 거부할 경우, 공격자는 훔친 정보를 공개하거나 판매하겠다고 위협하여 공격의 위험성과 결과를 더욱 증폭시킵니다.

이중 갈취는 2019년경 Maze REvil 등이 등장하면서 주목받기 시작했습니다. 이 사이버 범죄 집단들은 자신들이 탈취한 데이터의 막대한 가치를 인식하고, 이 데이터를 공개하겠다는 위협 아래 일반적으로 암호화폐로 추가 몸값을 요구하기 시작했습니다. 이 혁신적인 접근 방식은 피해자들의 재정적 압박을 크게 증가시켰고, 그들이 갈취 요구에 응할 가능성을 높였습니다.

오늘날 이중 갈취 공격은 놀라울 정도로 만연해졌습니다. 사이버 범죄자들은 이를 이용해 중소기업부터 대기업, 심지어 정부 기관에 이르기까지 다양한 조직을 표적으로 삼습니다. 탈취된 데이터에는 종종 민감한 고객 정보, 독점적 지적 재산권, 기밀 내부 문서가 포함되어 있어 유출 시 잠재적 결과가 더욱 심각해집니다.

이중 갈취 공격을 방어하기 위해 조직은 강력한 위협 탐지 및 예방, 정기적인 데이터 백업, 직원 교육 피싱 시도 인식 교육, 그리고 명확히 정의된 사고 대응 계획(IRP)을 포함해야 합니다.

이중 갈취의 작동 방식 이해하기

이중 갈취는 데이터 도난과 기존의 랜섬웨어 전술을 결합한 복잡하고 교활한 사이버 공격 기법입니다. 기술적인 관점에서 볼 때, 이 과정은 여러 단계로 구성됩니다.

초기 접근 및 정찰

공격자는 피싱 이메일, 소프트웨어 취약점 악용 또는 인증 정보 도용과 같은 다양한 방법을 사용하여 피해자의 네트워크에 초기 접근을 시도합니다. 일단 내부로 침투하면 정찰을 수행하여 고가치 표적을 식별하고 민감한 데이터 저장소를 찾습니다.

데이터 유출 기법

공격자는 SQL 인젝션, 원격 파일 포함(RFI), 합법적 도구 악용 등 고급 기법을 활용해 피해자 네트워크에서 민감한 데이터를 유출합니다. 탐지를 회피하기 위해 데이터 압축, 암호화 또는 난독화 기술을 사용할 수 있습니다.

데이터 분류 및 추출

공격자는 자동화된 스크립트나 수동 프로세스를 통해 민감한 정보를 분류하고 추출합니다. 이 데이터에는 개인 식별 정보(PII), 재무 기록, 지적 재산권 또는 기밀 문서가 포함될 수 있습니다. 공격자는 가치 있는 데이터를 효율적으로 찾기 위해 데이터 파싱 및 인덱싱 기술을 사용할 수 있습니다.

데이터 스테이징 및 은닉

유출된 데이터는 탐지를 피하기 위해 네트워크의 숨겨진 영역이나 감시가 덜한 영역에 스테이징됩니다. 공격자는 암호화나 스테가노그래피를 사용하여 훔친 데이터의 존재를 숨기고 낮은 프로필을 유지할 수 있습니다.

강력한 알고리즘을 통한 데이터 암호화

유출 후 공격자는 랜섬웨어 구성 요소를 실행합니다. AES-256과 같은 강력한 암호화 알고리즘을 사용하여 피해자 네트워크 내 중요 파일과 시스템을 암호화합니다. 이 암호화는 일반적으로 비대칭 방식으로, 암호화에는 공개 키를 사용하고 복호화에는 공격자가 보유한 개인 키를 사용합니다.

몸값 요구서 및 암호화폐 요구

공격자는 피해자 시스템에 텍스트 파일이나 이미지 형태로 몸값 요구서를 전달합니다. 이 요구서에는 몸값 요구 사항, 결제 방법, 마감 기한 등이 명시됩니다. 공격자는 익명성을 유지하기 위해 비트코인이나 모네로 같은 암호화폐로 지불을 요구하는 경우가 많습니다.

이중 갈취 통지

이중 갈취 공격에서는 기존의 몸값 요구 메모와 함께, 공격자가 피해자에게 민감한 데이터를 유출했다고 알립니다. 이 통지는 요구를 따르지 않을 경우의 결과를 강조합니다. 공격자는 파일 목록이나 일부 내용 등 데이터 유출 증거를 제시하여 주장을 입증할 수 있습니다.

데이터 공개 위협

공격자는 지정된 시간 내에 몸값이 지불되지 않으면 도난당한 데이터를 인터넷이나 지하 포럼에 공개하겠다고 위협합니다. 이러한 위협은 데이터 유출이 법적 결과, 규제 벌금 및 평판 손상으로 이어질 수 있기 때문에 피해자가 몸값 요구를 충족하도록 상당한 압박을 가합니다.

지불 확인 및 커뮤니케이션

지불 추적 및 복호화를 용이하게 하기 위해 공격자는 피해자가 몸값을 송금할 수 있는 고유한 비트코인 지갑 주소를 제공합니다. 지불을 수령한 후, 그들은 블록체인에서 이를 확인하고 암호화된 채널을 통해 피해자와 소통합니다.

복호화 키 전달

지불 확인이 성공적으로 완료되면 공격자는 피해자에게 복호화 키를 전달합니다. 이 키는 랜섬웨어 단계에서 암호화된 파일과 시스템을 복호화하는 데 필요합니다. 공격자는 복호화 도구나 키 사용 방법을 안내할 수 있습니다.

공격 후 정리

몸값을 수령한 후 공격자는 피해자의 네트워크에서 자신의 흔적을 제거할 수 있습니다. 공격 도구나 백도어, 공격의 흔적을 삭제하는 것이죠. 그러나 추가 갈취나 공격을 위해 돌아오지 않을 것이라는 보장은 없습니다.

대응 및 완화 조치

이중 갈취 공격에 직면한 조직은 몸값을 지불할지 아니면 대안을 모색할지에 관한 중대한 결정을 내려야 합니다. 또한 해당 사건을 법 집행 기관에 신고하고, 시스템 복구 및 향후 공격 방지를 위한 보안 조치 강화 등 사고 대응 절차를 시작해야 합니다.

이중 갈취 공격은 사이버 보안 환경에서 위협적인 존재로 부상하며, 기업들은 이 교활한 전술과 관련된 위험을 완화하기 위해 방어 체계를 강화하고 있습니다. 다음은 이중 갈취의 실제 사례, 그 중요성, 그리고 기업들이 이러한 위험으로부터 보호하기 위해 취하고 있는 조치들입니다:

메이즈 랜섬웨어 공격

메이즈 랜섬웨어 운영자들은 이중 갈취 기법의 선구자였습니다. 그들은 기업을 표적으로 삼아 데이터를 암호화한 후, 몸값을 지불하지 않으면 민감한 정보를 온라인에 공개하겠다고 위협했습니다.

• 의미&– 이 공격은 상당한 주목을 받으며 이중 갈취를 세상에 알렸고, 요구를 따르지 않을 경우 발생할 수 있는 결과를 부각시켰습니다.
• 보안 대책 – 이후 기업들은 사이버 보안에 대한 관심을 높여 포괄적인 백업 전략을 채택하고, 데이터 유출을 모니터링하며, Maze와 유사한 위협에 대응하기 위해 사고 대응 능력을 강화했습니다.

REvil 랜섬웨어 그룹

REvil는 공격적인 이중 갈취 전술로 유명합니다. 한 사례에서는 유명 로펌을 공격하여 민감한 고객 데이터를 훔치고 이를 공개하겠다고 위협했습니다.

• 의미 – 이 공격은 법률 서비스처럼 일반적으로 높은 사이버 보안 위험과 연관되지 않는 분야조차도 이중 갈취에 취약하다는 점을 보여주었습니다. 이는 모든 산업에 걸쳐 포괄적인 사이버 보안 조치의 필요성을 강조했습니다.
• 보안 조치 – 로펌 및 유사 기업들은 REvil 스타일 공격으로부터 보호하기 위해 직원 대상 사이버 보안 인식 교육에 투자하고, 다중 인증(MFA)을 도입하며, 엔드포인트 보안을 강화하고 있습니다.&

라그나로크 랜섬웨어 캠페인

Ragnar Locker는 특히 의료 부문의 대규모 조직을 표적으로 삼았습니다. 이들은 파일을 암호화하고 환자 데이터를 훔친 후 막대한 몸값을 요구했습니다.

• 중요성 – 의료 산업은 이미 코로나19 팬데믹으로 인해 압박을 받고 있었는데, 이러한 공격은 자원을 더욱 고갈시켜 환자 개인정보 보호와 핵심 의료 인프라 보안에 대한 우려를 증폭시켰습니다.
• 보안 대책 — 의료 기관들은 네트워크 분할을 개선하고, 강력한 접근 통제를 구현하며, 이중 갈취 시도를 저지하기 위한 정기적인 사이버 보안 평가를 실시함으로써 사이버 보안 태세를 강화했습니다.

DarkTequila 공격

DarkTequila는 랜섬웨어 및 데이터 절도 기능을 포함하도록 진화한 뱅킹 트로이 목마였습니다. 공격자들은 금융 기관과 기업 네트워크를 표적으로 삼아 파일을 암호화하고 민감한 데이터를 유출했습니다.

• 의미 – 이 공격은 시간이 지남에 따라 전술을 진화시키는 사이버 범죄자들의 적응력을 보여주었습니다. 특히 금융 기관들은 이중 갈취라는 증가하는 위협에 대처해야 했습니다.
• 보안 대책 – 금융 기관들은 위협 인텔리전스 공유 플랫폼을 도입하고, 직원 교육 프로그램을 강화하며, 잠재적인 이중 갈취 공격에 대비하기 위한 테이블탑 훈련을 실시하고 있습니다.

Cl0p 랜섬웨어 그룹

Cl0p 그룹은 대학을 포함한 다양한 기관을 표적으로 삼았습니다. 이들은 파일을 암호화하고 민감한 학술 연구 데이터를 온라인에 유출하겠다고 위협했습니다.

• 의미 — 교육 기관에 대한 공격은 이중 갈취 공격 대상의 광범위한 범위를 보여줍니다. 이 사건에서는 귀중한 연구 데이터의 잠재적 손실이 주요 우려 사항이었습니다.
• 보안 대책 — 대학 및 연구 기관들은 Cl0p와 유사한 공격으로부터 지적 재산을 보호하기 위해 강화된 이메일 필터링, 데이터 암호화, 사고 대응 계획 수립 등 사이버 보안 방어 체계를 강화하고 있습니다.

이중 갈취 위험에 대비하기 위해 기업들은 다음과 같은 선제적 조치를 취하고 있습니다:

• 종합 백업 전략 – 네트워크와 분리된 정기적인 데이터 백업이 필수적입니다. 이는 조직이 몸값을 지불하지 않고도 데이터를 복구할 수 있도록 보장합니다.
• 직원 교육 – 사이버 보안 인식 교육은 직원들이 이중 갈취 공격에 사용되는 피싱 시도 및 기타 사회공학적 기법을 인식하는 데 도움이 됩니다.
• 엔드포인트 보안 – 강력한 엔드포인트 보안 솔루션은 악성코드 감염을 탐지하고 방지하는 데 필수적입니다.
• 접근 제어 – 최소 권한 원칙(PoLP)을 구현하면 (PoLP) 구현은 사용자가 자신의 역할에 필요한 최소한의 접근 권한만을 보유하도록 보장합니다.
• 사고 대응 계획 – 명확하게 정의된 사고 대응 계획을 수립하면 기업이 이중 갈취 공격에 효과적으로 대응하여 그 영향을 최소화할 수 있습니다.
• 위협 정보 공유 – 업계 동료들과 협력하고 위협 정보를 공유하면 기업이 새롭게 등장하는 위협과 공격 기법에 대한 최신 정보를 파악하는 데 도움이 될 수 있습니다.

결론

사이버 범죄자들이 데이터를 암호화할 뿐만 아니라 몸값을 지불하지 않으면 민감한 정보를 유출하겠다고 위협하는 이중 갈취 공격은 현재 위협 환경에서 위험성을 더욱 높였습니다. 이러한 공격은 조직의 데이터 유출과 평판 훼손에 대한 두려움을 악용하여, 백업이 마련되어 있음에도 많은 조직이 몸값을 지불하도록 강요합니다.

이중 갈취의 실제 사례들은 산업 전반에 걸쳐 기업들에게 사이버 보안이 얼마나 중요한지 강조합니다. 공격자들이 지속적으로 전술을 개선함에 따라, 조직들은 경계를 늦추지 않고 보안 조치를 조정하며 데이터, 평판, 그리고 수익을 보호하기 위해 선제적인 태도를 취해야 합니다.