기술
제품
자료
기업
한국어
기술
제품
블로그
자료
기업

“죄송합니다. 영업이 끝났습니다”: 랜섬웨어 공격이 대부분 근무 외 시간에 발생하는 이유

Max Heinemeyer, Director of Threat Hunting

Darktrace는 공휴일과 주말, 근무 외 시간에 주기적으로 사이버 공격이 늘어나는 것을 발견했습니다. 분명한 것은 그처럼 ‘한산한’ 시간대를 노린 공격이 조직의 표준 관행과 사람의 취약점을 손쉽게 공격할 수 있다는 사실입니다.

근무 인력이 적어 긴장감이 느슨해지고 직원들의 업무 태도가 해이해지거나 퇴근한 후에는 기업 내 공격 탐지 및 분류 속도가 느려집니다. 그러면 위협 행위자는 눈에 띄지 않고 내부에 침투할 수 있는 환경이 됩니다. 실시간 자율 시스템이 없는 상태에서 이처럼 예기치 않은 공격이 일어나면 대응 및 복구에 상당한 차질이 생깁니다.

랜섬웨어: 달갑지 않은 선물

근무 외 시간에 가장 흔히 탐지되는 위협 중 하나는 랜섬웨어입니다. 감염 사례의 76%는 암호화 프로세스가 근무 시간 후 또는 주말에 시작됩니다. Darktrace는 랜섬웨어 사고 알림을 받았는데, 대부분의 직원이 오프라인 상태였던 크리스마스에 고객 네트워크에서 이른 시간에 공격이 발생한 것이었습니다.

그림 1: 크리스마스 랜섬웨어 보안 침해 타임라인

암호화가 시작되기 일주일 전쯤 평범한 데스크톱에 최초 거점을 확보했습니다. 위협 행위자는 이 벡터를 이용해 내부로 이동하여 두 개의 도메인 컨트롤러, 즉 사용자를 확인하고 요청을 인증하는 데 사용되는 서버에 액세스할 수 있었습니다. 그런 후 두 서버는 랜섬웨어와 연관된 보기 드문 엔드포인트로 비정상적인 명령 및 제어(C2) 연결을 설정했습니다. 다음으로 위협은 자취를 감췄습니다. Darktrace는 모든 단계에서 이러한 활동을 알렸지만 보안 팀은 12월 내내 업무 부담이 상당했기 때문에 이처럼 매우 중대한 알림을 제대로 처리하지 못했습니다. Antigena Network 또는 Proactive Threat Notification(사전 예방적 위협 알림, PTN)이 없었기 때문에 위협은 계속되었습니다.

12월 24일 근무 시간 후 이러한 위협이 갑자기 다시 나타나더니 추가 권한을 활용해 다수의 내부 디바이스에 의심스러운 실행 파일을 작성했습니다. 사전 설정된 회사 데이터 세트가 유출되었고 랜섬웨어 페이로드가 동일한 클라우드 대상에서 다운로드되었습니다.

공휴일에 시작된 사이버 공격으로 인해 통신이 불안정해질 수 있다면, 누가 이를 해결해야 할까? 접속이 곤란한 상태인가? 근무 외 시간의 보안 침해에 대해 다양한 프로토콜이 존재하는가? 휴일 예기치 못한 상황에서 이러한 질문들에 답하기란 의외로 어려울 수 있습니다. 결국 그 답을 찾아낸다고 해도 이미 피해가 발생해 너무 늦은 경우가 많습니다.

일단 문제가 처리되더라도 평가에 대한 후속 대응 절차가 남아 있습니다. 보안 직원이 사고 경위와 공격의 파급 효과를 조사해야 하기 때문입니다. 내부 직원을 동원하기가 어려워 비싼 가격을 지불하고 외부 보안 서비스를 이용해야 하는 경우, 이러한 과정은 힘겨울 수 있으며 핵심 증거도 사라졌을 수 있습니다. 결국 회사는 나중에 이와 비슷한 공격에 또 당할 수 있습니다.

토요일 밤을 공포로 물들인 악성코드

공휴일에는 확실히 사람 취약점과 업무상 취약점이 생기게 됩니다. 그러나 이처럼 시스템 다운은 주말에만 발생하므로 그 기간을 통틀어봤자 일 년 중 얼마 되지 않아 무시되는 경우가 많습니다. Darktrace는 최근 몇 달간 주말 공격이 대폭 늘어난 것을 알게 되었습니다.

그림 2: 지난 6개월간 근무 외 시간 모델의 보안 침해에서 Darktrace가 관찰한 핵심 용어를 나타낸 다이어그램

그중에는 영국의 한 서비스 업체를 공격한 랜섬웨어 사고도 있었습니다. 한 사용자가 무심코 유해한 이메일에 액세스했다가 회사 디바이스의 보안이 침해된 것이었습니다. 감염된 디바이스는 일반 텍스트로 된 비밀번호 파일의 취약점을 공격해, 내부로 이동하여 핵심 서버를 비롯한 네 개 디바이스를 찾아낸 다음 이들 서버를 통해 아웃바운드 스팸을 호스팅하고 확산을 가속화했습니다. 이후 몇 주 간 주말마다 보안이 침해된 디바이스는 XINOF 랜섬웨어와 관련된 엔드포인트로 대규모의 개방형 또는 Tor 호스팅 C2 연결을 설정했습니다.

이러한 예를 통해 근무 시간 외 감염은 어떤 벡터에서든 일어날 수 있으며, 사람으로 인한 규정 준수 오류가 악용되면 악성코드가 빠르게 확산했다가 월요일에 보안 팀이 돌아오기 전에 숨어버릴 수 있다는 것을 알 수 있습니다. 데이터 보안 침해를 발견하는 데 몇 달씩 걸리는 경우가 많아지자, 위협 행위자들은 모니터링이 줄어들 때를 노려 침입한 후 잠복 기간을 확대하려 합니다.

이처럼 최초 침입 탐지를 개선하고 근무 외 시간의 보안을 강화하면 장기간 공휴일에도 더 신속히 대응하고 조정할 수 있습니다. 그러나 영구적인 해결을 위해서는 사전 예방적 접근법이 필요합니다.

24시간 대응 솔루션

위의 사례 연구에서 활성 모드가 작동 중이었다면 모든 공격 단계마다 자율 대응(Autonomous Response)이 가능했을 것입니다. Antigena Email이 비정상적인 첨부파일을 식별하고 감염을 격리하여 네트워크에 침투하기도 전에 최초 침입을 차단했을 것입니다. 공격자가 내부에 침투했더라도 익스플로잇 공격을 받은 중요 서버들의 보안 침해가 일어나지는 않았을 것입니다. 수집한 비밀번호를 사용한 악성 로그인 활동이 검증이 끝날 때까지 중지됐을 것이기 때문입니다. 결국 XINOF 페이로드가 포함된 악성 사이트로의 연결이 차단되면서 추가 피해 발생을 방지할 수 있었을 것입니다.

사람과 달리 AI는 잠들지 않으며 휴일도 없습니다. AI는 24시간 내내 활동하면서 공격 초기 단계에 모든 유형의 위협을 억제합니다. 이는 악성 활동이 확산되지 않도록 차단하기 때문에 보안 팀 직원들은 귀중한 대응 시간을 확보해 모든 사고의 근본 원인을 해결할 수 있습니다.

보안 팀에 조사 확대를 위한 추가 인력이 필요한 경우, Proactive Threat Notification(사전 예방적 위협 알림, PTN)을 통해 사고를 완화할 수도 있습니다. 이러한 서비스는 심각도가 높은 탐지 항목을 Darktrace의 고객 전용 SOC로 곧장 이동시켜 전문 사이버 분석가가 이를 조사하도록 합니다. Darktrace PTN SOC는 FTS(follow-the-sun) 접근 방식, 즉 24시간 상시 가동을 통해 고객 환경을 모니터링하므로 공격으로부터 조직을 연중무휴 보호합니다.

타이밍이 가장 중요

이 블로그의 사례 연구를 통해 연중무휴 24시간 모니터링의 필요성을 재확인해보는 것이 좋습니다. 보안 전문가들이 위협에 맞서 싸우면서 자신의 역량과 창의성을 끌어내는 동안 악의적인 행위자들은 지속적으로 변화에 적응하면서 공격 타이밍을 자신에게 유리하도록 활용합니다. 이제 그 어느 때보다도 자율적인 AI 기반 탐지야말로 타이밍을 노리는 위협 행위자의 우위를 무력화할 수 있는 수단이 되었습니다. 휴무일이거나 노트북이 꺼져 있는 경우에도 보안은 항상 유지됩니다.

기고해주신 Gabriel Few-Wiegratz, Darktrace 분석가에게 감사드립니다.

Cyber AI가 공격 위치나 시간에 상관없이 랜섬웨어 공격을 차단하는 방법에 대해 자세히 알아보세요.

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.