실시간
뉴스

보안

누가누가 더 잘 숨나…기업 네트워크에 최장 44일 머문 해커들

디지털데일리 발행일 2025-02-02 10:52:53
김보민 기자

[ⓒ픽사베이]
[ⓒ픽사베이]

[디지털데일리 김보민기자] 최근 사이버 공격자들이 기업 네트워크에 장기간 탐지되지 않은 상태로 머물렀다는 조사 결과가 나왔다. 공격자들은 랜섬웨어를 실행하기 전 네트워크를 손상시켜, 데이터 탈취 등을 위한 밑 작업을 수행한 것으로 분석됐다.

시스코 인텔리전스 전문조직 탈로스(Talos)가 지난달 공개한 2024년 4분기 트렌드 보고서에 따르면, 랜섬웨어 및 데이터 탈취 위협은 전체 공격에서 30%를 차지했다. 지난해 3분기 기준 집계 규모가 40%였다는 점을 고려했을 때 비중이 소폭 줄어들었다.

다만 공격 난도는 높아진 것으로 나타났다. 탈로스는 이번 분석에서 랜섬웨어 변종으로 꼽히는 블랙바스타(Blackbasta), 랜섬허브(RasomHub), 인터록(InterLock) 등을 살펴본 결과 공격자들이 기업 네트워크에 체류한 기간을 식별할 수 있었다고 설명했다. 체류 기간은 최소 17일에서 최장 44일로 집계됐다.

인터록 랜섬웨어의 경우, 공격자는 초기 침해 단계에서 랜섬웨어 암호화 바이너리를 배포하기까지 17일을 소요했다.

탈로스는 "(긴 체류 기간은) 공격자가 접근(액세스)을 확장하고, 방어를 회피하고, 관심 있는 데이터를 식별해 유출하려 한다는 점을 보여준다"고 말했다. 이어 "랜섬허브 사건만 봐도, 랜섬웨어를 실행하기 이전에 한 달 이상 손상된 네트워크에 접근해 내부 네트워크 스캐닝과 자격증명 수집 등 작업이 수행됐다"고 부연했다.

탈로스는 기업 네트워크에 숨은 공격자들이 유효 계정을 악용해 랜섬웨어를 실행하고, 신원 기반 위협을 가하는 데 초점을 두고 있다고 진단했다. 네트워크 접근에 필요한 인증 수단을 강화할 필요가 있다는 취지다.

탈로스는 "블랙바스타 사건의 경우 정보기술(IT) 부서로 위장해 직원 계정에 접근하는 움직임이 포착됐고, 랜섬허브 공격에서는 관리자 계정을 손상시켜 랜섬웨어를 실행했다는 점이 발견됐다"며 "랜섬웨어 사고 영향을 받은 모든 조직은 다중요소인증(MFA)을 구현하지 않거나, 이를 우회할 취약점이 있었다"고 분석했다.

특히 랜섬웨어 공격자들이 원격 액세스 도구를 적극 활용하고 있다고 밝혔다. 그러면서 "지난 4분기 기준 100% 수준으로 비중이 올랐는데, 이는 전분기 13% 수준 대비 급증한 규모"라고 설명했다. 이번 분석에 따르면 상업용 원격 데스크톱 소프트웨어(SW) 스프래시톱(Splashtop) 활용이 75%로 가장 많았고 이어 아테라(Atera), 네톱(Netop), 애니데스크(AnyDesk) 등이 뒤를 이었다.

탈로스는 새해에도 블랙바스타를 비롯한 랜섬웨어 위협 사례를 예의주시해야 한다고 전망했다. 이어 "아직까지도 보안 체계를 잘못 구성했거나 약한 MFA 환경 속에 침해가 이어지고 있다"며 "소셜 엔지니어링을 통해 방어를 우회하는 경우도 다수인만큼, 정기적인 사이버 보안 업데이터와 교육이 필요한 때"라고 강조했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x