2. 랜섬웨어 유형(Ransomware Types)
2.2 이중협박(Double Extortion) 랜섬웨어 공격이란?
랜섬웨어 유형_이중협박(Double Extortion) 랜섬웨어란?
랜섬웨어 공격 유형은 다양한 타입의 패턴을 가지고 있습니다. 첫번째 암호화 랜섬웨어(Crypto Ransomwar), 두번째 이중 협박 랜섬웨어(Double Extortion), 세번째 잠금 랜섬웨어(Locker Ransomware), 네번째 파일 리스 랜섬웨어(Fileless Ransomware), 다섯번째 랜섬웨어 서비스(Ransomware as a Service, RaaS) 등의 공격 패턴이 있습니다. 앞으로 한 가지씩 랜섬웨어 공격 유형을 소개를 통해 학습해 가는 시간이 되면 좋겠습니다.
최근 랜섬웨어 공격은 전개 속도와 전파 방법, 그리고 공격 기법 면에서 급격하게 진화를 이루고 있습니다. 초기의 단순한 암호화 랜섬웨어(Crypto Ransomware) 공격에 머무르던 랜섬웨어는 이제 자동화된 프로세스와 다층적 전파 기법을 통해 단 몇 시간 만에 수많은 시스템을 감염하고, 그 공격의 피해 파급력은 심각해지고 있습니다. 이러한 공격 패턴의 변화의 핵심에는 네트워크 내 자동 확산기능과 취약점 스캐닝, 그리고 사용자 실수를 이용한 공격이 자리 잡고 있습니다.
예전에는 공격자가 직접 랜섬웨어 감염을 진행하는 경우가 많았으나, 현재는 취약한 시스템을 자동으로 검색하여 침입하는 알고리즘이 적용되어, 피해 감염 속도가 빨라졌습니다. 이로 인해 보안 담당자가 랜섬웨어를 초기 칩입 탐지하고 대응 예방할 수 있는 상황이 어려워지고 있습니다. 이로 인해 피해 확산을 막기 위한 사전 예방과 신속한 대응의 중요성이 강조되고 있는 상황입니다.
또한, 공격자들은 단일 공격 경로를 통해 랜섬웨어 감염하는 방식을 넘어, 여러 취약한 경로를 동시에 활용하는 멀티 공격을 구사하고 있습니다. 예들 들어, 피싱 이메일(Fishing Email), 악성 웹사이트(Malicious Website) , 원격 데스크톱 프로토콜(RDP) 취약점, 소셜 미디어(SNS)를 통한 링크 유인 등 다양한 경로를 복합적으로 활용함으로써, 한 경로에서의 대응 방어가 다른 경로를 통해 쉽게 우회 공격 될 수 있는 상황을 연출해 냅니다.
이러한 다중 멀티 랜섬웨어 공격은 예방을 위한 방어 측면에서 단일 제품솔루션이나 단편적인 보안 조치만으로는 이제 대응하기 어려워 전반적인 보안 체계의 재점토와 다각도의 대응 전략 수립이 필수적입니다.
2.2 이중협박(Double Extortion) 랜섬웨어 특징?
이중 협박(Double Extoriton) 랜섬웨어 공격 전략의 특징에 대해 알아보겠습니다. 전통적인 암호화 랜섬웨어는 파일을 암호화한 후, 복호화 키 제공의 대가로 금전을 요구하는 형태에 머물렀습니다. 그러나 이중 협박 전략은 공격자가 피해자의 데이터를 탈취하여 저장한 후, 금전 요구에 응하지 않을 경우 해당 데이터를 공개하겠다는 협박을 추가하는 방식입니다. 이러한 방식은 피해자가 단순히 파일 복구를 위해 몸값을 지불하는 것을 넘어, 기업의 민감 정보나 개인정보 유출 등 추가적인 피해를 우려하게 만들어, 더욱 강력한 심리적 압박으로 진행하도록 합니다. Maze, REvil, Egregor 등 최근 등장한 여러 랜섬웨어 그룹들이 이 전략을 채택하면서, 금전 요구뿐만 아니라 기업의 명예와 고객 신뢰도까지 위협하는 양상을 보이고 있습니다.
또한, 랜섬웨어 공격자들은 인공지능(AI)와 머신러닝(ML) 기술을 점차 활용하여, 표적 탐지 및 공격 경로 최적화에 노력을 하고 있습니다. 쳇GPT 등 AI 기반 도구를 통해 공격할 대상의 네트워크 구조, 사용자 행동 패턴, 시스템 취약점을 신속하게 분석한 후, 맞춤형 공격 전략을 계획함으로써 랜섬웨어 예방 방어 체계를 효과적으로 우회할 수 있도록 만든 것입니다. 이와 함께 클라우드 환경과 IoT 기기 등 새로운 기술 영역으로 확대해서 랜섬웨어 침입도 증가하고 있으나, 기존의 전통적인 레거시 시그니처(Signature) 기반의 보안 솔루션만으로는 대응이 어려운 위협이 계속 발생하고 있습니다.
결국, 최신 랜섬웨어의 진화는 공격 속도의 가속화, 다중 경로를 통한 전파, 그리고 단순 암호화 공격을 넘어선 이중 협박 전략의 도입으로 요약할 수 있습니다. 이러한 변화는 조직과 개인 모두에게 사전 예방, 실시간 모니터링, 신속한 대응 체계 구축, 정기적인 백업 및 보안 패치 등의 기본적 보안 수칙 준수와 더불어, 최신 사이버 위협 동향을 반영한 보안 전략의 재정비가 시급함을 보여줍니다. 더 나아가 국가와 국제 사회 차원의 협력 강화 및 정보 공유 체계를 통해 이러한 고도화된 사이버 공격에 효과적으로 대응해야 할 필요성이 대두되고 있습니다.
Q. 이중협박 (Double Extortion) 랜섬웨어 공격 피해사례?
1.
Maze 랜섬웨어는 2019년 초 등장한 이중협박 랜섬웨어 그룹으로, 최초로 데이터 탈취와 공개 협박 기법으로 전 세계 기업을 대상으로 공격이 진행된 사례입니다. Maze 랜섬웨어는 암호화뿐만 아니라, 탈취한 데이터를 온라인에 유출할 가능성을 내포한 협박 메시지를 전달하여, 피해 기업의 명예 실추와 고객 신뢰도에 심각한 위협을 준 이중협박 랜섬웨어 입니다.
Maze의 공격 기법은 주로 원격 데스크톱 프로토콜(RDP) 취약점과 피싱 이메일을 통한 것으로 알려져 있습니다. 해커는 취약한 네트워크에 원격으로 접근하여 시스템 내부로 진입한 후, 내부 네트워크를 자동으로 스캔하여 추가 취약점을 탐색합니다. 이 과정에서 자동화된 스크립트와 취약점 스캐닝 도구를 활용해 다수의 시스템에 빠르게 침투하는 특징을 보입니다. Maze의 공격 피해는 암호화 과정과 동시에 내부의 민감 데이터를 대량으로 탈취합니다. 탈취된 데이터는 해커의 원격 서버에 저장하며, 이를 기반으로 기업과 기관 피해자에게 복호화 키 제공과 함께, 탈취된 데이터의 공개를 방지하기 위한 금전적 대가를 요구하는 이중협박 방식으로 공격을 전개해 나가는 기법입니다. 이 과정에서 암호화 알고리즘은 고도로 자동화되어 단 몇 시간 만에 광범위한 파일 암호화를 완료하며, 피해 기업은 단순히 데이터 복구 뿐 아니라, 내부 정보 유출에 따른 평판 손실과 법적 책임 등 다방면의 리스크에 직면하게 된 랜섬웨어 입니다.
Maze Ransomware (메이즈 랜섬웨어) 공격, 암호화 및 데이터 탈취 협박 프로세스
2.
REvil 또는 Sodinokibi로 알려진 랜섬웨어는 전 세계적으로 가장 악명 높은 랜섬웨어 그룹 중 하나로, 데이터 탈취 및 이중협박 방식을 체계적으로 도입한 공격 사례입니다. 특히, 2020년 말과 2021년 초에 대형 공급망과 다수의 중견 기업을 대상으로 한 공격으로 가장 큰 치명적인 피해를 일으킨 랜섬웨어 입니다.
REvil의 공격 기법은 주로 제로데이 취약점과 원격 접근 도구 (RAT)를 통한 것으로 해커 공격자는 취약한 시스템에 침입한 후, 내부 네트워크로 확산되는 다단계 공격 기법으로 시작됩니다. 초기 침입 단계에서는 피싱 이메일과 악성 코드가 포함된 첨부파일을 이용하여 사용자의 유도 클릭을 통해, 실행됨으로 인해서 내부 데이터를 신속하게 암호화하고 동시에 중요 파일 문서 및 기밀 정보를 탈취됩니다. 특히 REvil 랜섬웨어는 탈취된 데이터을 온라인에 유출 협박을 통해, 피해자에게 금전 요구를 강요하고 이에 응하지 않을 경우 탈취된 민간한 정보를 온라인에 공개 하겠다는 데이터 인질협박 메시지를 전달하는 방식입니다. 단순한 파일 암호화 랜섬웨어 공격과 달리, 피해자의 평판과 고객 신뢰도에 미치는 영향이 매우 크며, 실제로 일부 기업은 대규모 금전 요구와 함께 심각한 평판 훼손 문제를 겪게 되었습니다.
REvil의 공격 피해는 고도로 자동화된 스크립트와 다중 전파 기법을 사용하여, 단 몇 시간 내에 광범위한 시스템에 침입하는 특징을 보였습니다. 공격자는 짧은 시간내에 수십, 수백 대의 컴퓨터를 감염시키며, 피해 규모를 급격하게 확대시켰습니다. REvil 랜섬웨어 공격사례는 특히 글로벌 공급망을 대상으로 한 공격으로 그 피해 파급력이 두드러졌으며, 다수의 산업 분야에서 경제적 손실과 함께 국제적으로 함께 공격대상을 찾아야하는 공조 필요성 결과를 낳기도 했습니다.3.
Egregor 랜섬웨어는 2020년 말 등장한 랜섬웨어 그룹으로, 기존 암호화 방식에 데이터 탈취와 공개 협박을 결합한 이중협박을 체계화한 공격사례 입니다. 이 사례는 다양한 산업 분야의 기업을 대상으로 진행되었으며, 공격자들이 네트워크 침입 및 자동 확산 기술을 어떻게 활용하는지를 보여주는 대표적인 사례입니다.
Egregor 공격 기법은 초기 단계는 주로 원격 데스크톱 프로토콜(RDP) 취약점과 비인가 접근을 통해 시작됩니다. 공격자는 취약한 원격 접속 포인트를 공략하여 시스템 내부로 진입한 후, 내부 네트워크 내에서 자동화된 스크립트를 이용하여 추가 취약점을 탐색하고 감염 범위를 확대하였습니다. 이후, 시스템 내 중요한 데이터들을 신속하게 암호화하는 동시에, 민감 정보를 대량 탈취하는 단계가 진행 되었습니다.특히 Egregor는 탈취 데이터를 기반으로 데이터 유출 협박을 병행함으로써 피해자에게 단순 금전 요구 이상의 심리적 압박을 가했습니다. 탈취된 정보는 공격자가 보유한 서버에 저장되며, 피해자가 요구를 수용하지 않을 경우 이 정보가 온라인 커뮤니티나 다크웹에 공개될 것이라는 협박 메시지가 전달되었습니다. 이로 인해 피해 기업은 단순히 파일 복구 비용뿐 아니라, 내부 정보 유출에 법적 및 평판적 손실의 위험에도 직면하게 되었습니다. Egregor 랜섬웨어 공격은 다층 보안 체계의 부재를 이용한 전파 속도가 특징입니다.
Egregor 공격 피해는 공격자는 자동화된 취약점 스캐닝과 네트워크 내 확산 기능을 결합하여, 단 몇 시간 내에 광범위한 시스템 감염을 이끌어냈습니다. 이 과정에서 기존의 서명 기반 보안 솔루션과 백신 프로그램이 효과적으로 대응하지 못하는 사례가 다수 보고 되었으며, 이에 따라 행위 기반 탐지 및 실시간 모니터링 시스템의 필요성이 대두되었습니다. Egregor 랜섬웨어로 공격으로 인해 암호화와 데이터 탈취, 그리고 공개 협박을 결합한 복합적 공격 기법의 대표적 예로, 보안 체계 재정비와 함꼐 다층 방어 체계의 필요성을 강조하는 중요한 사례입니다. 이 사례를 통해 기업은 보안 취약점 점검, 정기적 패치 적용, 그리고 내부 침입 탐지 시스템의 강화를 통해 유사 공격에 대비해야 한다는 교훈을 얻을 수 있습니다.
Egregor Ransomware 공격, 암호화 및 데이터 탈취 협박 프로세스
Q. 이중협박 (Double Extortion) 랜섬웨어 예방 및 대응 전략 방안?
이중협박(Doubel Extortion) Maze, REvil, Egregor 등의 랜섬웨어는 공격 기술이 진화되고 있습니다. 데이터 암호화 및 데이터 탈취를 결합한 이중협박은 기업 기관의 재무적인 손실은 물론 평판 및 고객 신뢰도에 치명적인 영향을 미치게 됩니다. 이중협박 랜섬웨어 예방을 위한 대응전략을 구축해 가는 일은 어려운일 것입니다. 그래도 앞으로 위협이 될 랜섬웨어 범죄에서 안전한 보안상태를 유지하기 위해서 예방 대응 전략을 세워야 합니다. 다양한 대응 전략 중에 다섯가지 방안을 간략하게 정리한 내용을 참고하시길 바랍니다.
▷ 기존의 레거시 시그니처, 서명(Signature)기반 방식의 바이러스 백신 등은 알려지지 않은 이중협박 랜섬웨어 공격을 탐지하는데 한계가 있습니다. 행위 기반의 탐지 기술 알고리즘 안티랜섬웨어 제품의 도입이 필수적으로 보입니다. 네트워크 이상 트래픽, 비정상 시스템 호출, 메모리 내 비정상적 등을 행위 기반으로 실시간 분석해서 정확하게 이상 징후를 차단할 수 있어야 합니다. 정상적인 데이터와 비교해서 비정상적인 데이터 행위가 발생될 경우 자동으로 탐지, 차단을 통해 이중협박 랜섬웨어를 대응해야 합니다.
▷ 엔드포인트 탐지 및 대응 솔루션 및 침입탐지 시스템(IDS), 클라우드 기반 위협 인테리전스 등을 연계한 다층 보안 체계를 구축하는 것이 앞으로 중요해 보입니다. 이러한 다층 방법 체계는 위협적인 랜섬웨어 공격을 차단하는데 도움을 줄 수 있습니다.
▷ 소프트웨어 운영체제의 최신 보안 업데이트를 통해 최신 상태로 유지하는 것이 중요합니다. 그리고 정기적인 백업 및 취약점 관리를 철저하게 진행해야 합니다. 또한, 중요한 데이터는 정기적으로 백업해 두어 랜섬웨어 감염 시 신속하게 복구할 수 있도록 해야 합니다. 정기적인 데이터 백업을 통해 안전하게 데이터를 보관 및 유지할 수 있습니다.
▷ 기업 기관에서 직원에 대한 정기적인 보안 교육이 필수적입니다. 의심스러운 이메일이나 링크를 절대 클릭하지 않고, 신뢰할 수 없는 첨부 파일은 열지 않도록 주의해야 합니다. 피싱 공격 이메일에 의해 악성 코드가 침입할 수 있으으로, 이메일 발신자와 내용의 신뢰성을 꼼꼼히 확인하는 습관이 필요합니다. 그래서 최신 공격에 대한 이해도를 높이고, 보안 정책 준수 문화를 정착시킴으로 내부에서 발생할 수 있는 취약한 부분을 최소화 될 수 있습니다.
▷ 디지털전환(DX)로 글로벌 사이버 랜섬웨어 공격은 심각해 지고 있는 것이 현실입니다. 국가 및 산업간의 정보 공유 및 정부와 민간 협력 강화가 필수적입니다. 최신 랜섬웨어 위협 정보를 실시간 공유하고, 대응 체계를 구축하여 공격에 대한 전반적으로 예방을 높일 수 있습니다.
이중협박 랜섬웨어 예장 및 대응 전략
이중협박(Double Extortion) 랜섬웨어 공격을 효과적으로 대응하고 위해서는 기업, 기관의 전반적인 보안 수준을 향상 시킬 수 있는 기회로 만들어 가야 합니다. 그래서 앞으론 행위기반 탐지 제품솔루션, 다층 보안 체계 정착, 정기적인 소프트웨어 최신업데이트 및 백업 그리고 취약점 관리 철저, 사용자 교육을 통한 보안 의식 제고 필요성, 국제. 국내 정보 공유 협력 강화 등을 통합해서 다양한 보안 전략을 수립해 나가야 할 것입니다.
