사이버 공격은 컴퓨터 시스템 또는 네트워크에 무단으로 침입하려는 의도적이고 악의적인 행위로, 기존의 보안 취약점을 이용합니다. 이러한 공격의 목적은 중요 정보를 탈취하거나 정상적인 작동을 방해하는 데 있습니다.
최근 사이버 범죄자들 사이에서 랜섬웨어는 주요 사이버 공격 도구로 부상했습니다. 랜섬웨어는 주로 피싱 이메일, 드라이브 바이 다운로드, 불법 복제 소프트웨어, 원격 데스크톱 프로토콜 등을 통해 확산됩니다.
만약 컴퓨터가 랜섬웨어에 감염되면, 랜섬웨어는 컴퓨터 내의 중요한 파일들을 암호화합니다. 이후 해커는 암호화된 데이터의 복구를 조건으로 몸값을 요구합니다.
사이버 공격은 국가 안보를 위협하고 경제의 핵심 부문 운영을 마비시키며, 심각한 피해와 막대한 재정적 손실을 초래할 수 있습니다. 이는 워너크라이(WannaCry) 랜섬웨어 사이버 공격에서 분명히 드러났습니다.
2017년 5월 12일, 북한에서 시작된 것으로 추정되는 워너크라이 랜섬웨어는 전 세계적으로 확산되어 불과 이틀 만에 150여 개국의 20만 대 이상의 컴퓨터 시스템을 감염시켰습니다. 워너크라이는 윈도우 운영 체제를 사용하는 컴퓨터 시스템을 목표로 삼아, 운영 체제의 서버 메시지 블록 프로토콜 취약점을 악용했습니다.
이 공격으로 가장 큰 피해를 본 곳 중 하나는 영국 국민보건서비스(NHS)였습니다. 컴퓨터, 극장, 진단 장비, MRI 스캐너를 포함한 7만 대 이상의 장치가 감염되었습니다. 의료진은 환자를 돌보는 데 필요한 시스템이나 환자 기록에 접근할 수 없었습니다. 이 공격으로 NHS는 약 1억 달러에 달하는 손실을 입었습니다.
상황이 얼마나 심각해질 수 있는지를 보여주는 사례입니다. 하지만 상황은 더욱 악화될 수 있으며, 특히 블랙캣(BlackCat)과 같이 새롭고 위험한 랜섬웨어는 피해자들을 양산하고 있습니다.
블랙캣 랜섬웨어
ALPHV라고도 불리는 블랙캣 랜섬웨어는 시스템 감염 시 해당 시스템의 데이터를 유출하고 암호화하는 악성 소프트웨어입니다. 데이터 유출은 시스템에 저장된 데이터를 복사하여 전송하는 과정을 포함합니다. 블랙캣은 중요한 데이터를 유출하고 암호화한 후 암호화폐로 지불 가능한 몸값을 요구합니다. 블랙캣의 피해자는 데이터에 다시 접근하기 위해 요구된 몸값을 지불해야 합니다.
블랙캣은 일반적인 랜섬웨어와는 다릅니다. 일반적으로 C, C++, C#, Java 또는 Python으로 작성되는 다른 랜섬웨어와 달리, 블랙캣은 Rust로 작성된 최초의 성공적인 랜섬웨어였습니다. 또한 블랙캣은 공격으로 훔친 정보를 공개하는 전용 웹사이트를 운영하는 최초의 랜섬웨어 그룹이기도 합니다.
다른 랜섬웨어와 또 다른 중요한 차이점은 블랙캣이 RaaS(Ransomware as a Service) 모델로 작동한다는 것입니다. RaaS는 랜섬웨어 제작자가 다른 개인이나 그룹에게 랜섬웨어를 서비스 형태로 대여하거나 판매하는 사이버 범죄 사업 모델입니다.
이 모델에서 랜섬웨어 제작자는 다른 사용자가 랜섬웨어 공격을 배포하고 실행하는 데 필요한 모든 도구와 인프라를 제공하며, 그 대가로 랜섬웨어 지불금의 일부를 받습니다.
이러한 이유로 블랙캣은 개인보다 몸값을 지불할 가능성이 높은 조직과 기업을 주로 표적으로 삼습니다. 또한 조직과 기업은 개인에 비해 더 큰 규모의 몸값을 지불하는 경향이 있습니다. 사이버 공격에서 인간의 지시와 결정을 내리는 행위자를 사이버 위협 행위자(CTA)라고 합니다.
블랙캣은 피해자에게 몸값을 지불하도록 강요하기 위해 ‘삼중 갈취 기법’을 사용합니다. 이 기법에는 피해자의 데이터를 복사 및 전송하고, 시스템 내의 데이터를 암호화하는 과정이 포함됩니다. 피해자는 암호화된 데이터에 접근하기 위해 몸값을 지불해야 하며, 그렇지 않으면 데이터가 공개되거나 시스템에 대한 서비스 거부(DoS) 공격이 시작됩니다.
마지막으로, 블랙캣은 데이터 유출의 영향을 받을 수 있는 대상자들에게 연락하여 데이터가 유출될 것이라는 사실을 알립니다. 이들은 주로 고객, 직원 및 기타 회사 관계자입니다. 이는 피해자 조직이 데이터 유출로 인한 평판 손실 및 법적 소송을 피하기 위해 몸값을 지불하도록 압력을 가하기 위한 것입니다.
블랙캣 랜섬웨어 작동 방식
미국 연방수사국(FBI)이 발표한 경고에 따르면, 블랙캣 랜섬웨어는 이전에 유출된 사용자 자격 증명을 사용하여 시스템에 접근합니다.
시스템에 성공적으로 침투한 후, 블랙캣은 획득한 접근 권한을 이용하여 활성 디렉토리에 저장된 사용자 및 관리자 계정을 손상시킵니다. 이렇게 함으로써 블랙캣은 악성 그룹 정책 개체(GPO)를 구성할 수 있으며, 이를 통해 윈도우 작업 스케줄러를 사용하여 랜섬웨어를 배포하여 시스템의 파일을 암호화할 수 있습니다.
블랙캣 공격 과정에서 PowerShell 스크립트는 코발트 스트라이크(Cobalt Strike)와 함께 사용되어 피해자 네트워크의 보안 기능을 무력화합니다. 그런 다음 블랙캣은 클라우드 공급자를 포함한 다양한 저장 위치에서 피해자의 데이터를 탈취합니다. 이러한 작업이 완료되면 공격을 주도하는 사이버 위협 행위자가 블랙캣 랜섬웨어를 배포하여 피해자 시스템의 데이터를 암호화합니다.
이후 피해자는 시스템이 공격을 받았으며 중요한 파일들이 암호화되었다는 내용을 담은 몸값 요구 메시지를 받습니다. 몸값 요구 메시지는 또한 몸값을 지불하는 방법에 대한 안내도 제공합니다.
블랙캣이 일반 랜섬웨어보다 더 위험한 이유는 무엇일까요?
블랙캣은 여러 가지 이유로 일반적인 랜섬웨어보다 훨씬 더 위험합니다.
Rust로 작성되었습니다.
Rust는 빠르고 안전하며 향상된 성능과 효율적인 메모리 관리를 제공하는 프로그래밍 언어입니다. Rust를 사용함으로써 블랙캣은 빠른 암호화를 통해 매우 복잡하고 효율적인 랜섬웨어가 될 수 있으며, 또한 리버스 엔지니어링을 어렵게 만듭니다. Rust는 크로스 플랫폼 언어이므로, 위협 행위자가 블랙캣을 윈도우와 리눅스 등 다양한 운영 체제에 맞게 쉽게 사용자 정의하여 잠재적인 피해자 범위를 넓힐 수 있습니다.
RaaS 비즈니스 모델을 사용합니다.
블랙캣은 랜섬웨어를 서비스 형태로 제공함으로써 랜섬웨어 생성 방법을 알지 못하는 많은 위협 행위자들도 정교한 랜섬웨어를 배포할 수 있게 만듭니다. 블랙캣은 취약한 시스템에 배포하기만 하면 되는 위협 행위자를 위해 모든 복잡한 작업을 수행합니다. 따라서 취약한 시스템을 공격하는 데 관심 있는 위협 행위자라면 누구나 쉽게 정교한 랜섬웨어 공격을 수행할 수 있습니다.
제휴사에 막대한 배당금을 제공합니다.
RaaS 모델을 사용하는 블랙캣은 랜섬웨어를 배포하는 위협 행위자에게 몸값의 일부를 지급하여 수익을 창출합니다. 다른 RaaS 제휴사들이 위협 행위자에게 몸값의 최대 30%를 제공하는 데 반해, 블랙캣은 위협 행위자가 몸값의 80~90%를 가져갈 수 있도록 합니다. 이는 블랙캣이 사이버 공격에 기꺼이 참여할 더 많은 제휴사를 확보할 수 있게 하여 공격자에게 더욱 매력적으로 작용합니다.
클리어 웹에 공개적인 정보 유출 사이트가 있습니다.
블랙캣은 다크웹에서 훔친 정보를 유출하는 다른 랜섬웨어와 달리, 클리어 웹에서 접근 가능한 웹사이트에 훔친 정보를 공개합니다. 훔친 데이터를 일반 웹에 공개함으로써 더 많은 사람들이 데이터에 접근할 수 있게 되어 사이버 공격의 영향이 커지고, 피해자가 몸값을 지불해야 한다는 압력이 증가합니다.
Rust 프로그래밍 언어는 블랙캣을 공격에 매우 효과적으로 만들었습니다. RaaS 모델을 사용하고 막대한 배당금을 제공함으로써 블랙캣은 공격에 이를 배포할 가능성이 높은 더 많은 위협 행위자에게 매력적으로 작용합니다.
블랙캣 랜섬웨어 감염 경로
블랙캣은 유출된 자격 증명을 사용하거나 Microsoft Exchange Server의 취약점을 악용하여 시스템에 처음 접근합니다. 악의적인 행위자는 시스템에 접근한 후, 시스템의 보안 방어를 무력화하고 피해자 네트워크에 대한 정보를 수집하며 권한을 높입니다.
그런 다음 블랙캣 랜섬웨어는 네트워크 내에서 확산되어 최대한 많은 시스템에 접근합니다. 이는 몸값을 요구하는 데 유용합니다. 더 많은 시스템이 공격을 받을수록 피해자가 몸값을 지불할 가능성이 높아집니다.
이후 악의적인 행위자는 강탈에 사용할 시스템 데이터를 유출합니다. 중요 데이터가 유출되면 블랙캣 페이로드가 실행될 준비가 완료됩니다.
악의적인 행위자는 Rust를 사용하여 블랙캣을 실행합니다. 블랙캣은 먼저 백업, 바이러스 백신 프로그램, 윈도우 인터넷 서비스 및 가상 머신과 같은 서비스를 중단합니다. 이 작업이 완료되면 블랙캣은 시스템의 파일을 암호화하고 시스템의 배경 이미지를 랜섬 노트로 대체합니다.
블랙캣 랜섬웨어로부터 보호하기
블랙캣은 이전에 목격된 다른 랜섬웨어보다 더 위험한 것으로 밝혀졌지만, 조직은 다양한 방법으로 랜섬웨어로부터 스스로를 보호할 수 있습니다.
중요 데이터 암호화
블랙캣의 갈취 전략 중 하나는 피해자의 데이터를 유출하겠다고 위협하는 것입니다. 중요한 데이터를 암호화함으로써 조직은 데이터에 추가적인 보호 계층을 추가하여 블랙캣 위협 행위자가 사용하는 갈취 기술을 약화시킬 수 있습니다. 데이터가 유출되더라도 사람이 읽을 수 있는 형태가 아닙니다.
시스템을 정기적으로 업데이트
마이크로소프트가 실시한 연구에 따르면 블랙캣이 조직의 시스템에 접근하기 위해 패치되지 않은 Exchange 서버를 악용하는 사례가 있습니다. 소프트웨어 회사는 시스템에서 발견되었을 수 있는 보안 취약점과 문제를 해결하기 위해 정기적으로 소프트웨어 업데이트를 출시합니다. 보안을 위해 소프트웨어 패치가 제공되는 즉시 설치해야 합니다.
안전한 위치에 데이터 백업
조직은 데이터를 정기적으로 백업하고 별도의 안전한 오프라인 위치에 데이터를 저장하는 것을 우선시해야 합니다. 이는 중요한 데이터가 암호화된 경우에도 기존 백업에서 데이터를 복원할 수 있도록 하기 위한 것입니다.
다단계 인증 구현
시스템에서 강력한 비밀번호를 사용하는 것 외에도, 시스템에 접근하기 전에 여러 자격 증명을 요구하는 다단계 인증을 구현해야 합니다. 이는 시스템에 접근하기 위해 연결된 전화번호나 이메일로 전송되는 일회용 비밀번호를 생성하도록 시스템을 설정하여 수행할 수 있습니다.
네트워크 활동 및 시스템 파일 모니터링
조직은 네트워크에서 의심스러운 활동을 가능한 한 빨리 감지하고 대응하기 위해 네트워크 활동을 지속적으로 모니터링해야 합니다. 보안 전문가가 네트워크 활동을 기록하고 검토하여 잠재적인 위협을 식별해야 합니다. 마지막으로, 시스템의 파일이 접근되는 방식, 파일에 접근하는 사람, 파일이 사용되는 방식을 추적할 수 있는 시스템을 마련해야 합니다.
중요 데이터를 암호화하고 시스템을 최신 상태로 유지하며, 데이터를 정기적으로 백업하고, 다단계 인증을 구현하며, 시스템 활동을 모니터링함으로써 조직은 블랙캣 공격을 예방할 수 있습니다.
학습 자료: 랜섬웨어
사이버 공격에 대해 더 자세히 알아보고 블랙캣과 같은 랜섬웨어 공격으로부터 스스로를 보호하는 방법을 배우려면 다음 과정 중 하나를 수강하거나 아래에 제시된 도서를 읽어보는 것이 좋습니다.
#1. 보안 인식 교육
안전한 인터넷 사용에 관심 있는 모든 사람을 위한 유익한 과정입니다. 이 과정은 CISSP(Certified Information Systems Security Professional)인 마이클 비오치 박사(Dr. Michael Biocchi)가 제공합니다.
이 과정에서는 피싱, 사회공학, 데이터 유출, 비밀번호, 안전한 브라우징, 개인 기기 관리 및 온라인에서 안전하게 지내는 방법에 대한 일반적인 팁을 제공합니다. 코스는 정기적으로 업데이트되며 인터넷을 사용하는 모든 사람에게 도움이 됩니다.
#2. 보안 인식 교육, 직원을 위한 인터넷 보안
이 과정은 일반 인터넷 사용자를 대상으로 하며, 사람들이 종종 인지하지 못하는 보안 위협과 이러한 위협으로부터 스스로를 보호하는 방법에 대해 교육하는 것을 목표로 합니다.
CISSP 인증 정보 보안 전문가인 로이 데이비스(Roy Davis)가 제공하는 이 과정에서는 사용자 및 장치 책임, 피싱 및 기타 악성 이메일, 사회공학, 데이터 처리, 비밀번호 및 보안 질문, 안전한 브라우징, 모바일 기기 및 랜섬웨어에 대해 다룹니다. 과정을 이수하면 대부분의 직장에서 데이터 규정 정책을 준수하는 데 충분한 수료증을 받게 됩니다.
#3. 사이버 보안: 완전 초보자를 위한 인식 교육
교육 및 인증 스타트업인 Logix Academy의 우스만 아쉬라프(Usman Ashraf)가 제공하는 Udemy 강좌입니다. 우스만은 CISSP 인증을 받았으며 컴퓨터 네트워크 분야 박사 학위와 다양한 산업 및 교육 경험을 보유하고 있습니다.
이 과정에서는 사회 공학, 비밀번호, 보안 데이터 폐기, VPN(가상 사설망), 멀웨어, 랜섬웨어 및 안전한 브라우징 팁에 대한 자세한 내용을 제공하며, 쿠키를 사용하여 사람들을 추적하는 방법에 대해 설명합니다. 이 과정은 비기술적인 내용을 다룹니다.
#4. 랜섬웨어 공개
독립 정보 보안 컨설턴트이자 사이버 보안 및 디지털 포렌식 전문가인 니하드 A. 하산(Nihad A. Hassan)의 저서입니다. 이 책은 랜섬웨어 공격을 완화하고 처리하는 방법을 가르치며, 독자들에게 다양한 유형의 랜섬웨어, 배포 전략 및 복구 방법에 대한 심층적인 정보를 제공합니다.
이 책에서는 랜섬웨어 감염 시 따라야 할 단계도 설명합니다. 여기에는 몸값을 지불하는 방법, 백업을 수행하고 영향을 받은 파일을 복원하는 방법, 감염된 파일의 암호를 해독하기 위한 암호 해독 도구를 온라인에서 찾는 방법이 포함됩니다. 또한 조직이 랜섬웨어 손상을 최소화하고 정상적인 운영을 신속하게 복구하기 위해 랜섬웨어 사고 대응 계획을 개발하는 방법에 대해서도 다룹니다.
#5. 랜섬웨어: 이해하기. 예방하기. 복구하기
이 책에서 Recorded Future의 수석 보안 설계자이자 랜섬웨어 전문가인 앨런 리스카(Allan Liska)는 랜섬웨어와 관련된 모든 어려운 질문에 답합니다.
이 책은 최근 몇 년 동안 랜섬웨어가 만연하게 된 이유, 랜섬웨어 공격을 막는 방법, 악의적인 행위자가 랜섬웨어를 사용하여 노리는 취약점, 최소한의 피해로 랜섬웨어 공격에서 살아남는 방법에 대한 역사적 맥락을 제공합니다. 또한 이 책은 몸값을 지불해야 하는지에 대한 가장 중요한 질문에 답을 제공합니다. 이 책은 랜섬웨어에 대한 흥미로운 탐구를 제공합니다.
#6. 랜섬웨어 보호 플레이북
랜섬웨어에 대비하려는 개인이나 조직에게 이 책은 반드시 읽어야 할 책입니다. 이 책에서 컴퓨터 보안 및 침투 전문가인 로저 A. 그라임스(Roger A. Grimes)는 사람과 조직이 랜섬웨어로부터 스스로를 보호할 수 있도록 돕기 위해 현장에서 얻은 폭넓은 경험과 지식을 제공합니다.
이 책은 랜섬웨어에 대한 강력한 방어 체계를 구축하려는 조직을 위한 실질적인 청사진을 제공합니다. 또한 공격을 감지하고 피해를 신속하게 제한하며 몸값을 지불할지 여부를 결정하는 방법을 알려줍니다. 또한 조직이 심각한 보안 침해로 인한 평판 및 재정적 손실을 제한하는 데 도움이 되는 계획을 제공합니다.
마지막으로, 사이버 보안 보험 및 법적 보호를 위한 안전한 기반을 마련하여 비즈니스 및 일상생활에 미치는 중단을 최소화하는 방법을 가르칩니다.
저자의 말
블랙캣은 사이버 보안 분야에서 기존 질서를 바꿀 수 있는 혁신적인 랜섬웨어입니다. 2022년 3월 현재 블랙캣은 60개 이상의 조직을 성공적으로 공격했으며 FBI의 주목을 받고 있습니다. 블랙캣은 심각한 위협이며 어떤 조직도 이를 간과해서는 안 됩니다.
블랙캣은 최신 프로그래밍 언어, 비전통적인 공격 방법, 암호화 및 몸값 갈취 전략을 사용하여 보안 전문가들이 따라잡기 어렵게 만들었습니다. 하지만 이러한 랜섬웨어와의 전쟁에서 패배한 것은 아닙니다.
이 기사에서 강조한 전략을 구현하고, 사람의 실수로 인해 컴퓨터 시스템이 노출될 가능성을 최소화함으로써 조직은 한 발 앞서 나아가 블랙캣 랜섬웨어의 치명적인 공격을 방지할 수 있습니다.