본문으로 바로가기
63135082 0592020093063135082 08 0802001 6.1.19-RELEASE 59 지디넷코리아 0 false true false false 1601439295000 1601512333000

코로나19 대유행 기간, 해커 랜섬웨어 공격 시간 단축

글자크기

MS, '시큐리티 인텔리전스' 보고서 발표...공급망 공격 증가세도 언급

(지디넷코리아=김윤희 기자)코로나19가 유행하는 동안 랜섬웨어 해커의 공격 시간이 단축됐다는 조사 결과가 나왔다. 일부 사례의 경우 데이터 복호화 비용을 받아내는 데까지 45분밖에 걸리지 않았다.

마이크로소프트(MS)는 이같은 결과를 담은 'MS 시큐리티 인텔리전스' 보고서를 내놨다.

보고서에 따르면 MS가 지난해 10월부터 올해 7월까지 회사가 수행한 사고대응 업무 중 랜섬웨어가 가장 빈번하게 접수된 사고였다.

MS는 올해 랜섬웨어 공격을 수행하는 해킹 그룹의 활동이 특히 활발했고, 특히 코로나19 대유행 기간 동안 공격 개시 시간을 단축했다고 언급했다.

그러면서 "공격자들은 코로나19 위기를 이용해 데이터 암호화 및 유출, 피해자와의 협상 등을 신속히 진행, 피해자 시스템에 머무르는 시간을 단축했다"며 "코로나19가 나타난 이후 피해자의 복호화 비용 지불 의사가 증가했을 것"이라고 설명했다.

지디넷코리아


해커들이 직접적인 공격 대상이 아닌, 공급망을 노려 공격하는 경우가 늘고 있다는 점도 최근 사이버위협 동향으로 언급했다. MS에 따르면 지난해 7월부터 올해 3월까지 이같은 현상이 나타났다.

공급망 중 한 곳을 해킹하고, 해킹한 공급망의 인프라를 활용해 여러 표적을 공격할 수 있다는 점 때문에 공급망 공격이 증가하고 있다는 설명이다.

공급망 공격에 대해 MS는 매니지드 서비스 제공자(MSP), IoT 기기, 오픈소스 소프트웨어 라이브브러리와 연결된 네트워크에서 사이버위협이 발생할 수 있다고 강조했다.

다만 아직까지 MS 탐지대응팀 업무 비중에서 공급망 공격 관련 내용이 차지하는 비중은 적다고 덧붙였다.

지디넷코리아

출처=픽사베이

<이미지를 클릭하시면 크게 보실 수 있습니다>



기업에 시도되는 이메일 피싱 공격의 경우 MS, UPS, 아마존, 애플, 줌을 사칭한 URL이 주로 발견됐다고 분석했다.

MS는 지난해 130억건 이상의 악성 또는 악성 의심 메일을 차단했고, 이 중 10억건은 피싱 공격을 위한 URL이 포함돼 있었다고 밝혔다.

특히 해커들이 IMAP, SMTP 등 이메일 프로토콜에 대해 패스워드 도용 또는 패스워드를 알아내기 위해 가능한 값들을 입력해보는 '브루트 포스' 공격을 선호했다고 지적했다. 이 프로토콜들이 2단계 인증을 지원하지 않기 때문에 보다 해킹이 용이하다는 이유에서다.

해커들이 공격을 위해 자체 서버를 사용하는 대신, 퍼블릭 클라우드 서비스를 악용하는 양상도 포착됐다고 언급했다. 또 수사망에서 벗어나기 위해 공격 도메인과 서버를 더 빠르게 바꾸고 있다고 첨언했다.

특정 국가 소속의 해킹 그룹 동향에 대해서는 이들이 지능형지속위협(APT) 공격 대상으로 비정부기구와 서비스 산업을 주로 노렸다고 밝혔다. 중요 인프라를 노린다고 알려져 있던 것에 비해 다른 양상을 보인 셈이다.

김윤희 기자(kyh@zdnet.co.kr)

<저작권자 ⓒ '대한민국 대표 산업 미디어' 지디넷코리아, 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.