크리덴셜 스터핑, 랜섬웨어 공격의 새로운 경로로 부상
한국인터넷진흥원(KISA)은 최근 랜섬웨어 공격의 주된 경로로 '크리덴셜 스터핑'을 지적하였다. 이는 사용자의 계정 정보가 여러 경로로 탈취된 후, 공격자가 이 정보를 사용해 내부 시스템에 무차별적으로 접근하는 방식이다. 서울 용산구에서 열린 '2024 하반기 침해사고 정보공유 세미나'에서 남우환 경찰청 국가수사본부 사이버테러수사대 수사관은 대부분의 랜섬웨어 사건이 이 과정을 통해 발생한다고 설명했다.
예로 제시된 2023년 블랙슈트 그룹의 공격은 러시아 기반의 콘티 및 로얄 랜섬웨어 그룹에서 파생된 것으로 추정된다. 이번 공격으로 피해를 본 기업으로는 미국의 자동차 소프트웨어 공급업체 CDK 글로벌, 일본 미디어 기업 카도카와, 그리고 미국의 소프트웨어 기업 코넥셔가 포함된다. 블랙슈트는 SSL VPN을 통해 내부망에 침투 후, 여러 정보들을 수집한다.
공격자는 AD 서버를 통해 직원 계정과 업무용 컴퓨터의 데이터를 빼내며, 동시에 단말 보호 플랫폼(EPP)과 백신 프로그램을 삭제해 탐지를 피한다. 이 과정에서 공격자는 사용자의 시스템에 대한 전반적인 권한을 탈취함으로써 공격을 더욱 심화시킨다.
전문가들은 랜섬웨어 공격을 예방하기 위해 크리덴셜 스터핑을 방지해야 한다고 강조하고 있다. 특히, 악성코드를 이메일 첨부파일에 심어 이를 열게 유도하는 피싱 공격이 일반화되고 있으므로, 사용자들은 주의가 필요하다. KISA는 비밀번호가 걸린 압축파일의 경우 백신 필터링을 회피하기 때문에 함부로 열지 말라는 경고를 발신하고 있다.
피해 최소화를 위해 전문가들은 빈번한 오프라인 데이터 백업을 권장하고 있다. 온라인 백업 시스템을 유지할 경우 랜섬웨어 공격에 노출될 위험이 있기 때문이며, 일상적인 보안 수칙 또한 언급되었다. 예를 들어, 관리자들은 각 사이트별로 다른 로그인 정보를 설정하고, 브라우저의 자동완성 기능을 비활성화하는 것을 권장하고 있다.
결국, 기업과 개인 사용자는 랜섬웨어 공격에 대한 경각심을 가지고, 사전 예방 조치를 철저히 해야 할 때이다.
│
이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임메이커.KR 게임 개발 뉴스 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임메이커.KR, 게임투비즈(GameToBiz), 게임S/W에이전시, 저널CTL코리아