사이버 보안 서비스 전문 업체인 시큐어클로(SecureClaw)가 2023년의 사이버 위협을 분석하고 사이버 위협 대비 권고안(SecureClaw Cyber Threat Advisory)을 발표했다.

자동차, 제조, 소프트웨어 제공 업체, 클라우드 제공 업체, 에너지, 통신, 의료, 암호화폐, 정부, 병원, 제약, 게임, 운송, 항공우주와 서비스 제공 업체 등의 일부 도메인이 사이버 범죄에 노출됐다. 대부분의 사이버 위협은 데이터베이스 시스템, IT 인프라, 소프트웨어 시스템, 운영 기술(OT), 웹사이트, 서버, 컴퓨터 시스템, 이메일, 클라우드, API, 챗GPT, 모바일 앱을 표적으로 삼았다.

랜섬웨어, 악성코드, 피싱, DDoS, 무단 접근, 백도어, 무결성 해킹, 운영 기술(OT) 해킹, 자격 증명 도용, 스파이웨어, SQL 주입, 내부자 및 트로이목마 등 다양한 유형의 데이터 침해 방법을 통해 정교한 사이버 공격이 사용됐다.

이러한 사이버 공격의 목적은 평판 훼손, 비즈니스 활동 방해, 경쟁 업체 비즈니스 손상, 갈취(재정적 요구) 또는 데이터에 대한 불법∙무단 액세스로 요약될 수 있다. 또한 소수의 국가 국경에서 전쟁과 갈등이 일어나고 있어 국가가 후원하는 사이버 공격은 거의 없는 것으로 보인다.

이스라엘-하마스 전쟁은 소셜 미디어 남용과 기회주의적 핵티비즘에도 불구하고 국가가 후원하는 위협 행위자의 잠재적인 표적 공격을 통해 사이버 영역에 심각한 영향을 미쳤다. 언론 보도에 따르면, 이란은 2023년 4월 이스라엘의 수도 시스템에 침투하려고 시도해 주거용 물의 염소 수치를 높였다. 이러한 사이버 범죄는 인간 생명에 대한 심각한 위협이다. 미국 수자원 시스템에 대한 국가 지원 사이버 공격으로 인해 2023년 디지털 과제에 대한 연방정부의 관심을 촉발했다.

혁신적인 사이버 공격 기술

2023년 랜섬웨어 공격은 볼보자동차, 해양 기업 로열 더크즈웨거, 페라리, 히타치 에너지, 대만 PC 기업 MSI, 테슬라, 스즈키 오토바이 공장, 다국적 기술 업체 ABB, 일본 거대 제약 회사 에자이 그룹, 스페인 은행 글로벌카자, TSMC, 일본 시계 제조사 세이코, 존슨 컨트롤즈, MGM 카지노, 칠레 통신 대기업 GTD, 영국 도서관, 한국 대공포를 포함한 몇몇 대기업에 부정적인 영향을 미쳤다.

최근 몇 달 동안 플레이크립트(PlayCrypt, Play 랜섬웨어), 클롭 랜섬웨어, 바이스 소사이어티 랜섬웨어, 블랙 바스타 랜섬웨어, 록비트 랜섬웨어, 블랙캣/ALPHV 랜섬웨어, 스내치 랜섬웨어, 로르샤흐 랜섬웨어, 리시다 랜섬웨어 등 수백 개의 랜섬웨어 집단이 정교한 사이버 공격을 가했다.

랜섬웨어 조직은 사이버 범죄에 대한 고유한 패턴을 개발했다.

암호화 프로세스의 이름을 딴 플레이 랜섬웨어는 2022년 6월부터 인기 있는 표적이 됐다. 러시아 그룹 클롭은 손상된 정보를 공개하기 전에 수백만 달러를 요구했다. 러시아에 본사를 둔 바이스 소사이어티는 교육과 탈취를 목표로 암호화되기 전에 데이터를 훔친다.

2022년 4월부터 활동 중인 블랙 바스타는 제조, 건설, 부동산, 식음료, 화학, 보험, 의료, 광업, 금속 및 비즈니스 서비스를 대상으로 한다. 록비트 랜섬웨어는 파일을 암호화하고 기업과 조직에게 암호 해독 키에 대한 비용을 요구한다. ALPHV 및 노베루스로도 알려진 블랙캣은 서비스형 랜섬웨어(RaaS) 비즈니스 모델을 사용해 계열사에 랜섬웨어 페이로드 비용을 청구하고 이중 탈취를 통해 피해자의 개인정보에 접근한다.

이전에 팀 트루니거로 알려졌던 스내치는 랜섬웨어 페이로드에 대해 다른 위협 행위자에게 비용을 청구하고 비용을 지불하지 않으면 공개 노출될 것이라고 위협한다. 로르샤흐라고도 알려진 밥록은 확장자를 부착하는 특이한 방법을 사용해 단일 실행으로 여러 확장 버전이 발생할 수 있다. 리시다는 윈도 시스템을 표적으로 삼았으며 2023년 5월에 악명 높은 바이스 소사이어티 랜섬웨어 그룹과 연결돼 악명을 얻었다.

이 기간 동안 프레브니스 맬웨어, 스위프트슬라이어 위젯, 이모텟, 인빅타 맬웨어, 플루호스 맬웨어, 렛츠콜 맬웽어, 빅 헤드, PDF 관련 맬웨어, 백도어 관련 맬웨어, 스트라입트플라이, 시스조커 맬웨어, KV-봇넷과 같이 매우 활동적인 악성 코드는 거의 없었다.

연구원들은 ‘Backdoor.Frebniis’ 또는 간단히 ‘프레브니스’라고 불리는 새롭고 교활한 악성코드를 발견했다. 이는 IIS 취약점을 악용해 윈도 웹 서버에 백도어를 만든다. 익명의 사이버 범죄자들은 대만의 표적을 목표로 삼았다.

해커가 시스템을 감염시키려면 먼저 IIS(인터넷 정보 서비스) 서버에 액세스해야 한다. 그러나 악성코드의 내부 메커니즘은 서로 다르다. FREB(실패한 요청 이벤트 버퍼링)는 원래 IP 주소와 포트, 쿠키가 포함된 HTTP 헤더 등과 같은 요청에 대한 정보를 수집하기 위해 IIS가 사용하는 기능이다. 프레브니스는 이 기능을 악용한다. 마찬가지로, 식별된 각 악성코드에는 실제 사이버 범죄가 발생할 때까지 악의적인 활동을 수행하는 고유한 기술이 있다.

더 안전하고 우수한 사이버 복원력을 확보하는 방법

시큐어클로는 기업들이 집중해야 할 몇 가지 중요한 권고 사항을 공개했다.

우선 사이버 보안 표준 도입해야 한다. 학교, 대학, 제조, 해양, 화학, 제약, 정보 기술(IT), 전자상거래, 심지어 정부 기관까지 모든 조직들은 사이버 보안 모범 사례를 구축해야 한다. 사이버 공격 표면을 줄이려면 비용 효율적이고 쉬우며 비즈니스 도메인에 맞춤화된 BDSLCCI(비즈니스 도메인 특정 최소 사이버 보안 제어 구현) 프레임워크를 도입해야 한다.

직원들의 사이버 보안 인식 교육이 필요하다. 사이버 공격은 직원들의 사이버 보안 인식이 부족해 발생하는 경우가 많다. 직원의 효율성 테스트와 함께 피싱 예방 조치, 정책, 내부자 위협을 포함하는 것이 효과적이다.

중요한 파일은 안전하고 암호화된 백업을 유지하고 필요에 따라 복원될 수 있도록 한다.

 제3자 사용자, 공급 업체 및 외부 응용 프로그램에 대한 액세스를 모니터링해야 한다.

네트워크 로그와 비즈니스 거래 알림을 정기적으로 모니터링하는 것은 악의적인 활동을 탐지하고 이를 방지하기 위해 필요하다.

취약성 평가 및 침투 테스트(VAPT)를 포함한 정기적인 보안 감사는 거버넌스 프로세스에 포함시켜야 하며, 필요에 따라 프로세스를 강화하고 규정 준수를 개선해야 한다.

영구 폐쇄될 때까지 사건을 보고서로 추적하며, 자연재해, 사이버 범죄 등 보이지 않는 상황에 대비한 비즈니스 연속성 계획(BCP)을 준비한다.