사이버 강탈이란 무엇이며 어떻게 보호할 수 있습니까?
사이버 공간에서 벌어지는 갈취 행위와 이에 대한 효과적인 방어 전략을 자세히 살펴보겠습니다.
과거의 은행 강도 행위는 범죄자에게 상당한 신체적 위험을 초래했으며, 발각 시에는 엄중한 처벌을 피할 수 없었습니다.
하지만 오늘날, 랜섬웨어 공격은 범죄자에게 거의 위험 부담 없이 실행될 수 있는 범죄 행위로 자리 잡았습니다.
사이버 갈취는 전통적인 절도나 강도에 비해 위험도는 낮고 수익성은 높습니다. 법적 처벌 또한 상대적으로 약하기 때문에 사이버 범죄자들에게 매력적인 범죄 수단이 되었습니다.
추적하기 어려운 암호화폐를 사용하는 공격이 늘어나는 현실을 고려할 때, 우리는 사이버 공격에 대한 방어를 더욱 강화해야 합니다.
사이버 갈취란 무엇인가?
사이버 갈취는 막대한 금전적 이익을 취하기 위한 온라인 공격으로, 주로 DDoS 공격을 통해 서버를 마비시키거나 데이터를 암호화하여 접근을 차단하는 방식으로 이루어집니다.
사이버 갈취는 다음과 같은 다양한 형태로 나타날 수 있습니다.
데이터 인질
악의적인 사용자가 컴퓨터 네트워크 접근을 차단한 후, 접근 권한을 되찾기 위한 대가로 금전을 요구합니다. 이는 사용자가 악성 링크를 클릭하거나 악성 프로그램을 다운로드하여 파일이 암호화되고 시스템 접근이 차단되는 방식으로 발생합니다.
때로는 시스템에 침입하여 중요한 정보를 복사한 후, 금전을 요구하거나 공개하겠다고 협박하는 수법도 사용됩니다. 이러한 공격은 심리적인 압박을 통해 피해자가 공격을 받지 않았음에도 해킹을 당했다고 믿게 만드는 사회공학적 수법을 동반하기도 합니다.
디도스 공격
DDoS(분산 서비스 거부) 공격은 실제 사용자들의 접근을 차단하기 위해 위조된 요청으로 네트워크를 과부하시키는 공격입니다. 이는 감염된 서버 네트워크(봇넷)를 통해 수행되거나 멤캐싱과 같은 방법을 사용해 서버 속도를 저하시키거나 오류를 유발합니다. 특히 온라인 사업의 경우, 이러한 공격으로 막대한 손실이 발생할 수 있습니다.
시간당 몇 달러만으로도 DDoS 공격을 쉽게 실행할 수 있으며, 피해자에게는 수십만 달러의 손실을 입힐 수 있습니다. 즉각적인 손실뿐만 아니라, 시스템 다운으로 인해 고객이 경쟁사로 이탈하면서 장기적인 피해를 입을 수 있습니다.
주요 사이버 갈취 공격 사례
역사상 가장 큰 사이버 갈취 공격 몇 가지를 살펴보겠습니다.
#1. 워너크라이 (WannaCry)
2017년 5월 12일부터 시작된 워너크라이는 마이크로소프트 윈도우 운영체제 기반의 컴퓨터를 대상으로 한 전 세계적인 랜섬웨어 공격이었습니다. 그 실제 규모는 아직도 정확히 파악되지 않고 있습니다.
공격 첫날, 워너크라이는 150개국 이상에서 23만 대 이상의 컴퓨터를 감염시켰습니다. 이 공격은 전 세계의 대기업과 정부 기관에 광범위한 영향을 미쳤으며, 인간의 개입 없이 네트워크 내에서 복제, 설치, 실행 및 확산될 수 있었습니다.
워너크라이 공격자들은 윈도우의 취약점을 악용하기 위해 미국 NSA에서 개발한 이터널블루(EternalBlue) 익스플로잇 코드를 사용했습니다. 이 코드는 '섀도우 브로커스'라는 해커 그룹에 의해 도난 및 공개되었습니다.
마이크로소프트는 이 문제를 인지하고 패치를 발표했지만, 구형 시스템을 사용하는 대부분의 사용자들이 주요 공격 대상이 되었습니다.
마커스 허친스(Marcus Hutchins)는 익스플로잇 코드에 언급된 도메인을 등록하여 우연히 멀웨어를 격리하는 데 성공했습니다. 이는 킬 스위치 역할을 했고, 워너크라이 공격을 중단시키는 데 결정적인 역할을 했습니다. 그러나 클라우드플레어에 대한 킬 스위치 처리, 허친스 자신에 대한 DDoS 공격 등 다양한 이야기가 얽혀 있습니다. 테크크런치 기사 참조.
전 세계적으로 발생한 손실은 약 40억 달러로 추정됩니다.
#2. CNA 파이낸셜
2021년 3월 21일, 시카고에 본사를 둔 CNA 파이낸셜은 직원, 계약직 직원 및 부양가족의 개인 정보가 해커에 의해 복사되었다는 사실을 인지했습니다. 이 사건은 2021년 3월 5일부터 해킹이 감지되지 않은 채 진행된 후, 2주 이상 지나서야 밝혀졌습니다.
이 공격은 데이터 유출과 CNA 시스템을 인질로 잡는 하이브리드 형태였습니다. 러시아 기반 해킹 그룹인 이블 콥(Evil Corp)은 악성 코드를 사용하여 CNA 서버를 암호화했습니다. 초기 몸값으로 6천만 달러가 요구되었지만 협상 끝에 해커들은 4천만 달러에 합의했습니다. 블룸버그 기사 참조.
#3. 콜로니얼 파이프라인
콜로니얼 파이프라인 해킹은 미국 최대 규모의 파이프라인 중 하나에서 연료 공급을 중단시키는 결과를 초래했습니다. 조사 결과, 이 공격은 다크웹에서 유출된 하나의 비밀번호를 통해 발생한 것으로 밝혀졌습니다.
그러나 악의적인 행위자가 유출된 비밀번호와 일치하는 정확한 사용자 이름을 어떻게 얻었는지는 아직 알려지지 않았습니다. 해커는 원격 근무자를 위한 가상 사설망(VPN)을 사용하여 콜로니얼 시스템에 접근했습니다. 다단계 인증이 없었기 때문에 사용자 이름과 암호만으로도 접근이 가능했습니다.
2021년 5월 7일, 한 직원이 암호화폐로 440만 달러를 요구하는 몸값 메모를 발견했습니다. 몇 시간 만에 경영진은 피해 상황을 파악하고 완화하기 위해 사이버 보안 회사와 협력하여 전체 파이프라인을 폐쇄했습니다. 또한 100GB에 달하는 데이터가 도난당했다는 사실을 확인했으며, 해커들은 몸값을 지불하지 않으면 데이터를 공개하겠다고 협박했습니다.
랜섬웨어는 콜로니얼 IT 시스템의 청구 및 회계 부분을 손상시켰습니다. 몸값은 공격 직후 동유럽 기반 해킹 그룹인 다크사이드(DarkSide)에게 지불되었습니다. 다크사이드는 파이프라인 운영 정상화에 일주일이나 걸리는 매우 느린 암호 해독 도구를 제공했습니다.
미국 법무부는 2021년 6월 7일, 원래 지불 금액에서 63.7비트코인을 회수했다고 발표했습니다. FBI가 해커 계좌와 관련된 개인 키를 확보하여 230만 달러를 되찾았지만, 이는 해당 기간 동안의 비트코인 가격 하락으로 인해 지불 금액보다 적은 액수였습니다.
#4. 딘 (Dyn)
딘(Dyn)은 인터넷에서 다양한 기능을 제공하는 기업으로, 특히 트위터, 넷플릭스, 아마존, 에어비앤비, 쿼라, CNN, 레딧, 슬랙, 스포티파이, 페이팔 등 유명 서비스들의 DNS 서비스 제공업체로 알려져 있습니다. 2016년 10월 21일, 대규모 DDoS 공격을 받았습니다.
공격자들은 미라이 봇넷을 사용하여 감염된 IoT 장치를 배포하고, 이 장치들이 잘못된 DNS 요청을 전송하도록 했습니다. 이로 인해 DNS 서버가 과부하되어 심각한 속도 저하가 발생했으며, 전 세계적으로 막대한 손실이 발생했습니다.
공격 규모가 워낙 컸기 때문에 웹사이트가 입은 정확한 피해액을 산정하기는 어렵지만, Dyn은 상당한 손실을 입은 것으로 추정됩니다.
공격 직후 약 14,500개의 도메인(약 8%)이 다른 DNS 공급업체로 전환했습니다.
유사한 공격이 계속 발생하고 있으며, 아마존 웹 서비스, 깃허브와 같은 회사들도 피해를 입었습니다. 이제는 사이버 갈취 공격을 피하고 강력한 방어 전략을 마련하는 것이 필수입니다.
사이버 갈취 예방 방법
이러한 인터넷 공격으로부터 자신을 보호하기 위한 몇 가지 기본적인 예방 조치를 소개합니다.
#1. 악성 링크 클릭 금지
공격자들은 종종 인간의 호기심이라는 유치한 심리를 악용합니다.
피싱 이메일은 랜섬웨어 공격의 약 54%를 초래하는 주요 통로입니다. 따라서, 스팸 이메일에 대한 경각심을 상기시키는 것과 함께 직원들을 대상으로 정기적인 교육을 실시해야 합니다.
실시간 교육을 위한 주간 캠페인을 포함하여 가짜 피싱 이메일을 보내는 훈련을 실시할 수 있습니다. 이는 실제 위협으로부터 보호하는 백신과 유사하게 작용합니다.
또한 직원들에게 샌드박스와 유사한 기술을 교육하여 의심스러운 링크나 애플리케이션을 안전하게 열어볼 수 있도록 해야 합니다.
#2. 소프트웨어 업데이트 및 보안 솔루션
운영체제와 관계없이 오래된 소프트웨어는 사이버 갈취 공격에 취약합니다. 윈도우 PC를 제때 업데이트했더라면 워너크라이 공격을 쉽게 피할 수 있었습니다.
또 다른 흔한 오해는 맥(Mac) 사용자는 안전하다는 생각입니다. 이는 전혀 사실이 아닙니다. Malwarebytes의 맬웨어 보고서는 맥 사용자들 사이의 잘못된 보안 의식을 지적합니다.
윈도우 운영체제는 과거 맥 사용자가 많지 않았기 때문에 주요 공격 대상이었습니다. 마이크로소프트의 운영체제는 여전히 시장 점유율 74%에 육박하기 때문에 맥 사용자를 공격하는 것은 효율성이 떨어집니다.
그러나 상황이 점차 바뀌고 있으며, Malwarebytes는 2018년부터 2019년까지 맥 운영체제를 대상으로 한 위협이 400% 증가하는 것을 목격했습니다. 또한 윈도우 기기에 비해 맥 기기당 위협이 2배 더 많다고 보고했습니다 (윈도우 기기당 5.8개 위협 vs 맥 기기당 11개 위협).
결론적으로, Avast One과 같은 포괄적인 인터넷 보안 솔루션에 투자하는 것은 확실한 가치를 제공할 수 있습니다.
또한, 스노트(Snort)나 수리카타(Suricata)와 같은 침입 탐지 시스템을 구축하여 보안망을 강화할 수 있습니다.
#3. 강력한 암호 사용
콜로니얼 파이프라인 공격은 직원이 취약한 비밀번호를 반복적으로 사용하여 발생했습니다.
Avast 설문조사에 따르면 미국인의 약 83%가 취약한 비밀번호를 사용하고 있으며, 53%는 여러 계정에서 동일한 비밀번호를 사용하고 있다고 합니다.
물론 사용자에게 강력한 암호를 강요하는 것은 어려운 일이며, 직장에서 이를 요구하는 것은 거의 불가능에 가깝게 보입니다.
그렇다면 해결책은 무엇일까요? 바로 사용자 인증 플랫폼입니다.
이러한 플랫폼을 사용하면 조직 내에서 강력한 암호 정책을 시행할 수 있습니다. 이러한 서비스는 회사 규모에 따라 유연한 계획을 제공하는 외부 전문가에게 아웃소싱할 수 있습니다. Ory, Supabase, Frontegg 등과 같은 서비스를 무료로 시작해 볼 수도 있습니다.
개인적으로는 암호 관리자를 사용하는 것이 좋습니다.
또한, 비밀번호를 주기적으로 업데이트하는 불편함을 감수해야 합니다. 이렇게 하면 자격 증명이 도난당하더라도 안전을 확보할 수 있습니다. 원클릭으로 비밀번호를 자동 업데이트할 수 있는 Lastpass와 같은 유료 암호 관리자를 사용하면 훨씬 쉽게 관리할 수 있습니다.
단순히 복잡한 암호를 사용하는 데 그치지 말고, 사용자 이름도 창의적으로 설정해야 합니다.
#4. 오프라인 백업
이러한 공격은 매우 정교하여 소규모 사업자뿐만 아니라 유명 사이버 보안 전문가조차 속일 수 있습니다.
따라서, 최신 백업을 반드시 유지해야 합니다. 이는 위기 상황에서 시스템을 정상화하는 데 도움이 될 것입니다.
오프라인 백업은 사이버 갈취자가 접근할 수 없는 안전한 콜드 스토리지라는 추가적인 이점을 제공합니다.
또한, 시스템 다운 시간이 길어질수록 해커가 요구하는 몸값이 더 커 보일 수 있으므로 가능한 복원 옵션을 항상 염두에 두어야 합니다. 이러한 이유로 일부 기업 소유주들은 막대한 금액을 지불하고 협상하게 되는 것입니다.
Acronis와 같은 제3의 백업 및 데이터 복구 솔루션은 랜섬웨어로부터 보호하고 데이터 복구 메커니즘을 편리하게 제공하는 데 도움이 될 수 있습니다.
#5. 콘텐츠 전송 네트워크 (CDN)
많은 기업들이 강력한 콘텐츠 전송 네트워크(CDN) 덕분에 대규모 DDoS 공격을 감지하고 방지할 수 있었습니다.
앞서 언급했듯이, 워너크라이 킬 스위치를 2년 동안 쉬지 않고 온라인으로 유지한 것은 Cloudflare라는 우수한 CDN이었습니다. 또한 그 시간 동안 수많은 DDoS 공격을 견딜 수 있었습니다.
CDN은 전 세계 여러 서버에서 웹사이트의 캐시된 복사본을 유지합니다. 이를 통해 트래픽이 분산되어 서버 과부하 및 다운타임을 방지할 수 있습니다.
이러한 전략은 DDoS 위협으로부터 보호할 뿐만 아니라 전 세계 고객에게 더욱 빠른 웹사이트를 제공할 수 있는 이점도 있습니다.
결론적으로, 사이버 갈취로부터 자신을 보호하기 위한 완벽한 목록은 존재하지 않습니다. 상황은 계속 변화하고 있으며, 항상 사이버 보안 전문가의 도움을 받는 것이 가장 좋습니다.
하지만, 만약 공격이 발생한다면 어떻게 해야 할까요? 온라인 갈취 시도를 당했을 경우 어떤 조치를 취해야 할까요?
사이버 갈취 대응 방법
랜섬웨어 공격 후 가장 먼저 떠오르는 생각은 비용을 지불하고 문제를 해결하는 것입니다.
하지만, 이것이 항상 효과적인 해결책이 되는 것은 아닙니다.
영국 IT 보안 회사인 SOPHOS가 실시한 설문조사에 따르면, 몸값을 지불하는 것은 최선의 방법이 아닙니다. 공격 조사 보고서에 따르면, 몸값을 지불한 기업 중 단 8%만이 전체 데이터를 되찾았다고 답했으며, 29%는 도난/암호화된 데이터의 50% 이하만 복원할 수 있었습니다.
따라서, 몸값 요구에 따르는 것은 역효과를 초래할 수 있습니다. 이는 다른 복구 노력을 방해하고, 데이터 해독을 위해 악의적인 행위자와 그 도구에 의존하게 만듭니다.
또한, 해커가 제공한 도구가 제대로 작동한다는 보장도 없습니다. 이는 오히려 시스템을 추가적으로 감염시키거나 실패할 수도 있습니다. 또한 범죄자에게 돈을 지불하면 해당 조직이 지불 고객으로 분류되어, 향후 유사한 공격을 받을 가능성이 더 높아집니다.
결론적으로, 지불은 최후의 수단이 되어야 합니다. 백업 복원과 같은 다른 방법을 사용하는 것이 익명의 암호화폐를 통해 범죄자에게 돈을 지불하는 것보다 더 안전합니다.
일부 기업들은 주요 사이버 보안 전문가에게 연락하거나 법 집행 기관에 신고하여 도움을 받았습니다. FBI가 콜로니얼 파이프라인 갈취 사건을 해결한 것이 그 예입니다.
사이버 갈취: 결론
사이버 갈취는 생각보다 흔한 일이며, 가장 좋은 방법은 방어력을 강화하고 백업을 유지하는 것입니다.
만약 공격을 당하더라도 침착하게 대처하고, 로컬 복구 작업을 시작하고, 전문가의 도움을 구하십시오.
몸값 요구에 굴복하지 마십시오. 돈을 지불하더라도 문제가 해결되지 않을 수 있습니다.
추신: 사업에 대한 사이버 보안 체크리스트를 검토하는 것이 도움이 될 수 있습니다.