랜섬웨어 공격 확산, 크리덴셜 스터핑으로 기업 위협 증가
서울에 위치한 한 제조업체에서 시스템 관리자가 이메일 첨부 파일을 열어본 후 회사의 중요한 연구개발 데이터가 암호화되는 사건이 발생했다. 이 관리자는 내부망 접속에 사용하는 SSL VPN 계정을 본인의 구글 ID와 비밀번호로 설정해 둔 상태였다. 이후 바탕화면에 남은 'Readme' 파일에는 파일을 탈취하였으니 복호화를 원할 경우 연락하라는 내용이 적혀 있었다.
전문가들은 이러한 랜섬웨어 공격이 '크리덴셜 스터핑'에서 시작된다고 분석하고 있다. 크리덴셜 스터핑은 공격자가 사용자 계정 정보를 여러 경로로 획득한 후, 이를 이용하여 다양한 시스템에 무작위로 로그인 시도하여 권한을 빼앗는 방식이다. 19일 한국인터넷진흥원(KISA)에서 열린 '2024 하반기 침해사고 정보공유 세미나'에서는 이와 관련한 내용이 공유됐다.
경찰청 국가수사본부 사이버테러수사대 수사관인 남우한은 랜섬웨어 공격 대부분이 크리덴셜 스터핑을 통해 기업 내부 네트워크에 접속하는 방식으로 이루어진다고 설명했다. 공격자는 SSL VPN을 통해 침투한 뒤, 관련된 AD 서버를 이용하여 직원 계정, 업무 데이터, 보안 정책 등을 수집할 수 있다. 이 과정에서 단말 보호 플랫폼과 백신 프로그램을 삭제해 탐지를 피하는 경우도 많다고 말했다.
올해 4월에 알려진 '블랙슈트'는 주목받는 공격 집단으로, 러시아 기반의 콘티 및 로얄 랜섬웨어 조직과 관련이 있을 것으로 추정된다. 남 수사관은 최근 몇 개월간 블랙슈트의 공격으로 피해를 입은 기업 사례를 설명하며, 자동차 소프트웨어 회사와 미디어 기업이 포함됐다고 전했다.
전문가들은 크리덴셜 스터핑을 방지하기 위해 비밀번호 관리에 신경 써야 하며, 특히 악성코드가 이메일 첨부파일에 숨어 있는 경우 피싱 공격에 주의해야 한다고 강조하고 있다. 또한, 비밀번호가 설정된 압축파일은 바이러스 백신 프로그램으로도 탐지가 어려운 경우가 많으므로 조심해야 한다고 경고했다.
피해를 최소화하기 위한 방법으로 전문가들은 오프라인에서 데이터를 백업하는 것이 중요하다고 언급했다. 온라인으로 백업 시스템을 운영할 경우 랜섬웨어 공격에 노출될 수 있기 때문이다. 남 수사관은 사용자들이 각 사이트마다 서로 다른 로그인 정보를 설정하고, 브라우저의 자동완성 기능을 해제하여 잘못된 입력으로 인한 피해를 예방해야 한다고 덧붙였다.
│
이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임메이커.KR 게임 개발 뉴스 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임메이커.KR, 게임투비즈(GameToBiz), 게임S/W에이전시, 저널CTL코리아