DB 노리는 랜섬웨어 주의…SK쉴더스, 2023 KARA 랜섬웨어 동향 보고서 발간

SK쉴더스는 민간 랜섬웨어 대응 협의체 'KARA'(Korea Anti Ransomware Alliance)와 함께 랜섬웨어 동향 보고서를 발간했다고 19일 밝혔다. 지난해 9월 첫 발간된 이 보고서는 올해 분기마다 발표될 예정이다.

이번 보고서에서는 지난해 4분기 가장 기승을 부린 주요 랜섬웨어 그룹의 공격 전략을 글로벌 보안 위협 표준 프레임워크 '마이터 어택'(MITRE ATT&CK)에 맞춰 단계별 공격 기법을 분석하고 대응 방안을 담았다.

보고서에 따르면 RaaS(서비스형 랜섬웨어)는 금전적 수익을 극대화하기 위해 고도화된 전략과 탐지 회피 기법을 적용하며 공격 형태를 진화시키고 있다. 대표적인 RaaS인 '록빗(Lockbit)'은 지난 4분기에 161건이나 발견됐고, 주로 제조업·서비스업·IT 등을 노려 공격을 진행하고 있는 것으로 조사됐다.

데이터를 파괴하거나 DB(데이터베이스)서버를 집중적으로 노리는 랜섬웨어도 새롭게 등장했다. 데이터 파괴형 랜섬웨어인 '블랙캣(Black Cat)'은 1차적으로 데이터를 유출하고 이후 2차 공격으로 데이터를 파괴한 다음에 유출 데이터로 협박하는 고도의 전략을 선보이고 있다. 피해자는 데이터를 돌려받을 수 없을 뿐 아니라 공격자 다중 협박에 응할 수밖에 없는 구조가 돼 위험성이 크다.

한 번 공격을 받으면 큰 피해를 입을 수 있는 DB를 노린 랜섬웨어도 주의 대상이다. 기업 주요 시스템으로서 일반 웹서버나 PC 대상 공격보다 피해 규모가 훨씬 크다. 랜섬웨어 공격자들은 이런 점을 노려 외부에 노출된 취약한 DB서버를 공격하는 전략을 구사한다. 국내에서도 제약, 바이오 등 다양한 업종에서 피해 사례가 발생하고 있어 DB서버에 대한 적절한 보호 조치가 요구된다.

KARA는 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 사전에 탐지·차단해야 한다고 강조했다. 기업에서 데이터 백업 보안 점검과 랜섬웨어 위협 사전 진단, 랜섬웨어 모의 훈련 서비스 등을 통해 전반적인 랜섬웨어 대응 프로세스를 수립할 것을 제안했다. 또한 △보안관제 및 백업 솔루션 침입 탐지 서비스 도입 △EDR(엔드포인트 탐지·대응) 솔루션 구축 △네트워크 내 접근 최소화 △정기적인 보안 교육 및 대응 수준 평가 등 대책을 제시했다.

김병무 SK쉴더스 클라우드사업본부장은 "최근 랜섬웨어 공격이 정교화되고 표적화되면서 기업 본연의 비즈니스를 수행하는데 가장 큰 걸림돌이 되고 있다"며 "SK쉴더스는 국내에서 유일하게 랜섬웨어 사전탐지부터 사고대응 및 복구까지 원스톱 서비스가 가능해, KARA 회원사와 함께 기업의 통합 대응 시스템을 구축하는 데 최선을 다할 것"이라고 밝혔다.팽동현기자 dhp@dt.co.kr