이번 주에도 랜섬웨어 공격에 대한 소식이 끊이지 않고 있습니다. 세계 최대의 육가공업체 JBS와 뉴욕 메트로폴리탄 교통국(New York Metropolitan Transit Authority) 및 매사추세츠 증기선 기관(Massachusetts Steamship Authority)이 공격을 받았습니다. 랜섬웨어 공격이 전혀 새로운 것은 아닙니다. 부도덕한 범죄자들은 지난 수년 동안 개인과 법인의 데이터를 잠그고 돈을 요구하고 있습니다. 하지만 최근에는 공격자가 점점 더 필수 공공 서비스를 공격함에 따라 공격 규모가 크게 증가하고 공격 대상이 다양해지고 있습니다.
필수 공공 서비스 – 손쉬운 랜섬웨어 공격 대상
2주 전 자신을 DarkSide라고 부르는 해커 범죄 집단이 Colonial Pipeline을 공격했습니다. 이 기업은 절반에 가까운 연료를 동부 연안 대부분 지역에 공급하고 있습니다. 파이프라인 폐쇄 소식이 전해지자 전국적으로 패닉 바잉이 발생하여 여러 주에서 상당한 휘발유 부족 현상에 시달렸습니다.
랜섬웨어가 에너지 공급업체를 공격한 것은 이번이 처음이 아닙니다. 2020년 2월 랜섬웨어가 천연 가스 공장을 공격하자 이틀 동안 가동이 중단되었습니다. CISA는 모든 운영 기술 소유자에게 조치를 취할 것을 권고했습니다. 이 공격은 스피어-피싱 이메일에서 시작되었지만 랜섬웨어 공격자는 자격 증명 도용, 무차별 대입 공격 및 데스크톱 공유 앱을 통한 설치 등 다른 벡터를 통해 점점 더 많은 대상을 감염시키고 있습니다.
학교 및 의료 기관과 함께 식품 및 에너지 공급업체와 같은 중요 인프라는 종종 범죄자의 손쉬운 공격 대상이 됩니다. 이러한 부문의 대부분 조직은 공적 자금을 지원받고 있으며 자원이 잘 확보된 민간 대기업의 예산과 전문 지식을 갖추지 못한 경우가 많습니다. 따라서 CISA가 ‘중요 인프라’로 지정한 16개 부문 중 정부 시설, 교육 및 의료 부문에서 랜섬웨어의 피해가 가장 빈번하게 발생하고 있습니다. 2018년부터 아틀란타, 그린빌, 볼티모어 및 리비에라 비치 시티 카운슬과 같은 도시, 병원 및 학교에서 랜섬웨어 공격이 빈번하게 발생하고 있다는 점이 관심을 받고 있습니다.
식품 및 농업 분야의 공격은 흔하지는 않지만 지난 12개월 동안 식품 회사를 대상으로 한 랜섬웨어 공격이 40건 이상 발생한 것으로 보도되었습니다. 안타깝게도 지난주 JBS 사례에서 볼 수 있듯이 주요 식품 유통 업체에 대한 랜섬웨어 공격은 조직 자체의 금전적 손실을 훨씬 뛰어넘는 결과를 초래할 수 있습니다.
랜섬웨어의 공격 대상이 되기 쉬운 식품 공급업체
JBS에 대한 공격은 미국뿐만 아니라 전 세계 국가의 식량 공급에 대한 대규모 공격입니다. JBS는 15개국에 공장 150개 이상과 직원 150,000명 이상을 거느리고 있는 세계 최대의 육류 공급업체입니다. JBS는 미국에서 두 번째로 큰 소고기, 돼지고기 및 닭고기 생산업체로, 미국 전국 소고기의 약 1/4과 돼지고기의 약 1/5을 가공하고 있습니다.
지난 월요일 성명에서 JBS는 “조직화된 사이버 보안 공격을 받아 북미와 오스트레일리아 IT 시스템을 지원하는 서버 일부가 영향을 받았다”라고 밝혔습니다. 한편 미국 농무부는 다른 주요 육가공업체에 연락하여 최대한 추가 생산하도록 독려했다고 밝혔습니다. 미국 농무부는 공급을 유지하고 잠재적인 가격 문제를 완화하는 것이 중요하다고 판단했습니다.
JBS는 목요일에 발표한 성명에서 공격으로 인해 발생한 식량 손실을 하루 생산량 미만으로 제한할 수 있었으며 전 세계 사업 부문에서 발생한 생산 손실은 “다음 주 말까지 완전히 회복될 것”이라고 주장했습니다.
JBS 공격자로 REvil(Sodinokibi) 지목
한편 FBI는 목요일자 트윗에서 이번 공격을 주도한 공격자로 REvil 범죄 조직을 지목했습니다.
REvil 랜섬웨어 그룹은 최소한 2019년 중반부터 활동을 시작했습니다. 이들은 올해 초 3월에 기술업체 Acer와 4월에 Apple 공급업체 Quanta를 대상으로 두 차례 주요 공격을 진행했으며 몸값으로 5,000만 달러를 요구하여 헤드라인을 장식한 바 있습니다(금전 지불 여부는 알려지지 않음).
운영자들은 또한 취약한 보안 통제를 방지하기 위해 기존의 RaaS(RaaS(Ransomware-as-a-Service)제품을 미세 조정하고 있습니다. 최신 버전에서는 -smode 인수를 사용하여 감염된 컴퓨터를 Windows 안전 모드(네트워킹 사용)로 재부팅을 시도합니다. 랜섬웨어는 사용자 암호를 하드 코딩된 값으로 바꾼 후 새 자격 증명으로 자동 로그인합니다. SentinelOne 플랫폼은 이 버전과 다른 모든 버전의 REvil 랜섬웨어로부터 보호합니다 (Livehack Video).
아직 이번 공격의 여파가 아직 가라앉지 않았으며 JBS가 몸값을 지불했는지 여부를 포함해 많은 사실이 알려지지 않고 있습니다. JBS는 생산이 중단된 곳에서 생산이 빠르게 회복될 것이라고 낙관하지만, 잠시 동안만이라도 미국 전체 소고기 생산량의 1/5이 중단되면 시장이 큰 타격을 받을 수 있으며 잠재적으로 단기 공급 부족과 소고기 및 기타 단백질의 가격이 상승할 수 있습니다. 더 오래 중단된다면 전체 식품 공급망이 막대한 영향을 받을 수 있습니다.
해커 범죄자들은 새로운 취약점을 능숙하게 조사하고 있으며 이전에는 특히 사이버에 의존한다고 여겨지지 않았던 곳에서 새로운 기회를 발견하고 있습니다. 적어도 표면상으로는 소고기 생산보다 해킹에 덜 취약해 보이는 것은 거의 없습니다. 하지만 모든 사람과 모든 것이 잠재적으로 점점 더 취약해지고 있습니다.
랜섬웨어와 중요 인프라에 다가올 다음 단계는?
이번 공격은 앞으로 더욱 파괴적인 사건이 발생할 수 있음을 암시해줍니다. 해커 범죄자들이 전력망에 큰 타격을 입히거나 대규모 에너지 공급업체나 대도시 기간 시설을 지속적으로 공격한다면 어떻게 될까요? 민간 핵심 인프라에 대한 이러한 유형의 주요 공격은 이전에는 국가 활동 세력들의 영역이었으며 적어도 미국에서는 일상에서 마주치는 현실보다 더 존재감 있는 위협이었습니다.
이것은 서로 연결된 세상에서 나타나는 현실입니다. 사이버 위협은 사회 전반에 대한 위협입니다. 파급 효과가 큰 공격은 더 이상 단순히 지정학적 문제가 아닙니다. 이러한 공격은 국가 활동 세력과 비 국가 활동 세력 모두로부터 상존하는 위협입니다. 두 세력 모두 취약점과 문제점을 끊임없이 찾고 있으며 이에 올바르게 대처하려면 위협의 규모와 즉각성을 파악해야 합니다. 식량 공급, 전력망, 병원 시스템 및 중요 인프라의 기타 여러 요소를 보호하려면 모든 공공 기관과 민간 단체가 이러한 위협에 대처하고 대응해야 합니다.
SentinelOne Singularity Platform 이 귀사의 조직과 비즈니스를 어떻게 보호할 수 있는지에 대해 알고 싶으시다면, 우리에게 언제든 연락해주십시오, 무료 데모 신청도 가능합니다