2021-01-20 09:40 (수)
“올해 랜섬웨어 피해 10억 달러…한국 카드 정보, 해커들 주요 타깃”
상태바
“올해 랜섬웨어 피해 10억 달러…한국 카드 정보, 해커들 주요 타깃”
  • 길민권 기자
  • 승인 2020.11.29 15:37
이 기사를 공유합니다

APT 그룹, 기반시설과 통신시설 집중 공격…DDoS 공격도 수행
유출 정보 판매 4배 증가…랜섬웨어 공격에도 활용
신용카드 정보 거래…2조원 이상 시장으로 성장…한국도 주요 타깃

글로벌 위협 사냥 및 정보 회사 Group-IB가 연례 하이테크 범죄 동향 2020/2021 보고서를 발표했다.

이 보고서에서 회사는 2019년 하반기부터 2020년 하반기 사이에 국제적으로 사이버 범죄 세계의 주요 변화를 조사하고 내년에 대한 예측을 제공했다. 보고서 주요 내용은 다음과 같다.

전세계 랜섬웨어 피해 급증…피해규모 10억 달러 이상

우선 랜섬웨어가 심각한 피해를 주고 있다는 내용이다. 랜섬웨어로 인해 전 세계적으로 10억 달러 이상의 피해가 발생했으며 2020년에는 랜섬웨어 공격이 전례없이 급증했다. 특히 민간 기업이나 정부 기관 모두 랜섬웨어에 대한 면역력이없는 것으로 조사됐다.

올해만해도 45 개국 이상에서 500건 이상의 랜섬웨어 공격으로 심각한 피해가 발생한 것으로 보고됐다. 공격자는 금전적 이익만을 추구하기 때문에 규모와 산업에 관계없이 모든 회사가 랜섬웨어 공격의 피해자가 될 수 있는 상황이다.

한편, 방어 기술 도구와 데이터 복원 기능이 없는 경우 랜섬웨어 공격으로 인해 제조 중단 상황이 발생할 뿐만 아니라 운영이 중단 될 수 있다.

Group-IB에 따르면, 랜섬웨어로 인한 총 재정적 피해는 10억 달러가 넘었지만 실제 피해는 훨씬 더 클 것으로 보고 있다. 피해 기업은 종종 사고에 대해 침묵하고 조용히 몸값을 지불하고 돈을 받은 공격자는 네트워크의 데이터를 공개하지 않기 때문이다.

미국에서 주요 랜섬웨어 공격이 이루어졌고 미국은 알려진 모든 사고의 약 60%를 차지하고 있다. 한국도 최근 이랜드그룹이 랜섬웨어 공격을 받아 공격자들이 400억 이상의 랜섬머니를 요구하는 사고가 발생한 바 있다.

미국 다음으로 유럽 국가(영국, 프랑스, 독일)가 그 뒤를 이어 전체 랜섬웨어 공격의 약 20 %를 차지하고 있다. 북미 및 남미 국가(미국 제외)는 10%이고 아시아 국가는 7 % 정도다.

가장 많이 공격받는 상위 5개 산업은 제조업(94건), 소매업(51건), 주정부 기관 (39건), 의료 (38건), 건설 (30건)이다.

또 Maze와 REvil 랜섬웨어 공격그룹이 전체 공격의 50% 정도를 차지하고 가장 많은 금액을 탈취한 것으로 알려져 있다. 이어 Ryuk, NetWalker 및 DoppelPaymer 등의 공격그룹이 2위 그룹을 형성하고 있다.

랜섬웨어 공격이 증가하는 이유는 많은 기업들이 여전히 널리 사용하는 기존 보안솔루션이 초기 단계에서 랜섬웨어 활동을 탐지하고 차단하지 못하는 경우가 대부분이기 때문이다.

기업 네트워크에 액세스하는 주요 방법으로는 원격 액세스 인터페이스(RDP, SSH, VPN), 맬웨어(다운로더) 및 새로운 유형의 봇넷(무차별 공격 봇넷)에 대한 무차별 대입 공격이 포함됐다.

2019년 말 랜섬웨어 운영자는 새로운 기술을 채택했다. 그들은 피해 조직에서 모든 정보를 다운로드하기 시작했고 몸값이 지불 될 가능성을 높이기 위해 협박하기 시작했다.

메이즈 랜섬웨어 공격그룹(얼마 전 은퇴)은 돈을 갈취하기 위한 수단으로 민감한 데이터를 게시하는 전술을 개척했다. 피해자가 몸값 지불을 거부하면 모든 데이터가 손실 될 뿐만 아니라 유출 될 수 있다고 협박하는 것이다. 한편 2020년 6월, REvil은 훔친 데이터를 경매를 통해 판매하기 시작했다.

APT 그룹, 기반시설과 통신시설 집중 공격…DDoS 공격도 수행

Group-IB는 7개의 새로운 APT 그룹이 공격 대열에 합류했다고 밝혔다. 특히 원자력 산업은 국가가 후원하는 공격그룹의 표적 1위가 되고 있다. 특히 이란과 인도 원자력 시설에 대한 공격에 집중되고 있다.

이스라엘에도 공격이 시도되었다. 특히 수자원 시스템에 접근해 물의 염소 수치를 변경하려는 시도도 있었다. 공격이 성공했다면 물 부족이나 심각한 민간인 사상자가 발생했을 것이다.

국가가 후원하는 APT 그룹은 통신 분야도 공격 타깃으로 정하고 있다. 지난 하반기부터 올해 하반기 동안 정보 서비스와 관련된 최소 11개 기업에 공격이 이루어진 것으로 조사됐다.

한편 공격그룹들은 DDoS 공격력에서 초당 2.3Tb, 초당 8억 8천만 패킷이라는 새로운 기록을 세웠다. 지난 1년 동안 9건의 중요한 공격사례가 발생했다.

국가가 후원하는 공격그룹은 중국(23개 그룹), 이란(8개 그룹), 북한과 러시아(각 4개 그룹), 인도(3개 그룹), 파키스탄과 가자(각 2개 그룹) 등이 있다. 한국, 터키, 베트남은 각각 APT 그룹이 하나만 있는 것으로 보고되었다.

특히 Group-IB는 아태지역 국가가 후원하는 위협 행위자들이 가장 적극적으로 공격하고 있다고 밝혔다. 이 지역에서 총 34개의 캠페인이 진행되었으며 중국, 북한, 이란, 파키스탄 APT 그룹이 가장 활발하게 활동하고 있다.

중국, 파키스탄, 러시아 및 이란의 APT 그룹이 공격을 수행 한 유럽 대륙에서 최소 22개의 캠페인이 기록된 것으로 조사됐다. 중동과 아프리카는 이란, 파키스탄, 터키, 중국, 가자 지구의 APT 공격그룹이 공격을 감행했다.

한편 사이버 보안 연구원들은 이전에 알려지지 않은 7개의 APT그룹, 즉 Tortoiseshell(이란), Poison Carp(중국), Higaisa(한국), AVIVORE(중국), Nuo Chong Lions(사우디 아라비아), Chimera 및 WildPressure 등을 발견했다고 밝혔다. 또한 최근 몇 년 동안 눈에 띄지 않았던 6개의 알려진 그룹이 운영을 재개했다.

유출 정보 판매 4배 증가…랜섬웨어 공격에도 활용

이어 Group-IB는 침해 된 기업 네트워크에 대한 액세스 판매가 4배 증가했다고 밝혔다. 침해 된 기업 네트워크에 대한 액세스 정보 판매가 해마다 증가하고 있으며 2020년에 정점에 도달했다. 주로 다크웹에서 거래가 이루어지고 있다.

Group-IB의 지하시장 모니터링 결과, 2019년 하반기부터 2020년 상반기까지 판매 된 액세스에 대한 총 시장 규모는 620만 달러(약 70억원)로 조사됐다. 이는 총 160만 달러였던 이전 검토 기간(2018년 2월~2019년 1월)에 비해 4 배 증가한 수치다. 한편 특정 국가 지원 공격자들이 추가 수익을 위해 사이버 범죄 시장에 합류하고 있다는 점이다.

2020년 여름, 다크웹에서 판매자는 미국 정부 부서, 국방 계약 업체, IT 거물 및 미디어 회사에 속한 일부 네트워크를 포함해 여러 네트워크에 대한 액세스를 판매한 바 있다. 판매금액만 약 5백만 달러에 달한다.

2020년 상반기에는 277개의 기업 네트워크 액세스 정보가 다크웹에서 판매됐다. 판매자 수도 증가하고 있다. 조사 기간 동안 63명의 판매자가 활동 중이었고 그중 52명이 2020년에 액세스 정보를 판매하기 시작했다. 2018년에는 37명의 액세스 판매자만 활동했으며 2019년에는 130개의 기업 네트워크 액세스 정보를 제공 한 판매자가 50명에 달했다.

전체적으로 기업 네트워크 액세스 매출은 전년 대비 162% 증가했다.

공격자들은 미국 기업에 대한 액세스 정보 가장 많이 판매했고(27%) 특히 제조업은 2019년에 가장 자주 공격을 받은 산업(10.5 %)이었다. 2020년에는 주정부 기관 네트워크(10.5%), 교육 기관(10.5%) 및 IT 회사(9%)에 대한 액세스 수요가 높았다.

한편 회사 네트워크에 대한 액세스를 판매하는 것은 공격의 한 단계 일뿐이다. 획득 한 권한은 나중에 다크웹에서 판매하거나 스파이 활동으로 사용하고 또 랜섬웨어 공격에도 사용한다.

다크웹, 신용카드 정보 거래…2조원 이상 시장으로 성장…한국도 주요 타깃

또한 Group-IB는 신용 카드 데이터 도난 시장이 거의 20억 달러(2조2천억원 이상)에 도달했다고 밝혔다. 조사 기간 동안 카드 시장은 8억 8천만 달러에서 19억 달러로 116% 성장했다.

빠른 성장은 텍스트 데이터(은행 카드 번호, 만료일, 소유자 이름, 주소, CVV)와 덤프(자기 스트라이프 데이터) 모두에 적용된다.

판매용으로 제공되는 텍스트 데이터의 양은 12만5천장에서 2천830만장으로 133% 증가한 반면, 덤프는 41에서 6천370만장으로 55% 증가했다. 카드 텍스트 데이터의 최고 가격은 덤프 당 150 달러에서 500달러 수준이다.

덤프는 주로 특수 트로이 목마로 연결된 POS 터미널이 있는 컴퓨터를 감염시켜 랜덤 액세스 메모리에서 데이터를 수집하고 있다. 조사 기간 동안 덤프 수집에 사용 된 14개 트로이목마가 활성화 된 것으로 확인되었다.

사이버 범죄자들은 미국 은행에서 발행 한 신용카드 및 직불카드와 관련된 데이터를 탈취하려고 노력중이다. 이 데이터는 손상된 은행 카드의 92% 이상을 차지한다.

또 인도와 한국의 은행 카드 데이터는 사이버 범죄자들에게 미국 다음으로 타깃이 되고 있다. 조사 기간 동안 판매를 위해 제공된 모든 은행 카드 덤프의 총 가격은 15억 달러에 달했으며 텍스트 데이터는 3억 6170만 달러에 달했다.

텍스트 데이터는 피싱 웹 사이트 및 PC와 안드로이드 뱅킹 트로이 목마를 통해 전자 상거래 웹 사이트를 손상시키고 JS 스니퍼를 사용해 수집되고 있다. JS 스니퍼는 지난 1년간 많은 양의 결제 데이터를 훔치는 주요 수단 중 하나였다.

Group-IB는 현재 96개의 JS 스니퍼 제품군의 활동을 모니터링하고 있다. Group-IB의 조사 결과에 따르면, 지난 1년 동안 거의 46만 개 은행 카드가 JS 스니퍼를 통해 유출됐다.

은행 카드 데이터 유출 위협은 온라인 판매 채널을 보유한 소매 업체, 온라인으로 상품과 서비스를 제공하는 전자 상거래 회사 등에 치명적 위협을 가할 수 있어 심각하다. 미국, 인도, 한국은 그 위협에 최대로 노출돼 있는 상황이다.

★정보보안 대표 미디어 데일리시큐!★