안랩이 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’에 텔레그램에 유통되는 민감정보 및 랜섬웨어에 특화된 모니터링 기능을 추가하며 위협정보를 고도화했다고 1일 밝혔다. 안랩은 최근 ‘안랩 TIP’에 △텔레그램 채널 내 민감정보 유출 내역 모니터링 위한 ‘스틸러 로그’ 메뉴 신설 및 기존 정보 강화 △랜섬웨어 동향 집중 모니터링 위한 ‘랜섬웨어 와치’ 메뉴 추가 △취약점 관련 정보 확대 등 기능을 추가하며 최근 공격자들이 자주 악용하고 있는 공격에 대한 위협정보를 한층 강화했다. 먼저 안랩은 ‘스틸러 로그(Stealer Logs)’ 메뉴를 신설했다. ‘Stealer Logs’는 인포스틸러 악성코드로 탈취한 정보를 유통하는 악성행위자들의 텔레그램 채널을 실시간으로 모니터링해 개인정보, 계정정보 등 민감정보 유출 내역을 수집해 제공하는 기능이다. 보안 담당자는 이 기능을 이용해 △인포스틸러로 탈취된 유출 PC의 이름∙위치∙IP∙운영체제를 비롯해 △정보가 유출된 날짜 및 최초 유포 날짜 △정보유출 악성코드(인포스틸러)로 탈취한 정보를 모아 생성된 파일 이름 등에 대한 상세정보를 확인할 수 있다. 또한 다크웹 및 딥웹에 노출된 계정 유출∙탈취 정보에 대한 검색 기능을 제공하던 ‘딥 & 다크웹(Deep & Dark Web)’ 메뉴에 별도 탭을 추가해 텔레그램으로 유통중인 계정 유출∙탈취 내역에 대한 검색 기능을 제공하는 업그레이드를 진행했다. 보안 관리자들은 조직과 연관된 민감 정보 유출 여부를 검색해 지속적으로 모니터링하고 즉각적으로 대응해 조직 보안수준을 강화할 수 있다. 안랩 TIP는 랜섬웨어 그룹의 동향에 대한 집중 모니터링을 제공하는 ‘랜섬웨어 워치(Ransomware Watch)’ 메뉴도 추가했다. 랜섬웨어 공격그룹들이 탈취한 데이터 정보를 게시하는 비공개 웹사이트인 ‘랜섬웨어 DLS(Dedicated Leak Site)’들을 안랩이 자체 모니터링해 수집한 랜섬웨어 피해 정보를 제공한다. 이와 함께 최근 가장 활발하게 활동하고 있는 랜섬웨어 그룹의 통계와 기본정보 및 공격 기법, 각 그룹간 협력 관계 등을 안랩 TIP가 제공하는 연관 보고서로 상세하게 확인할 수 있다. 또한 위협 공격 현황 통계 및 피해 현황도 확인이 가능하다.  이외에도 안랩 TIP는 취약점 공격 예방을 위한 ‘취약점 관련 정보’도 강화했다. 취약점 공격은 소프트웨어의 버그, 설계상 결함 등 취약점을 이용해 감염 시스템(PC등)에서 공격자가 의도한 동작을 수행하도록 하는 공격방식을 의미한다.  안랩 TIP는 기존에 제공하던 취약점 세부 정보, 보안권고문 및 취약점 분석 보고서 등 정보에 더해 최근 업그레이드로 소프트웨어 취약점과 연관된 다양한 파일의 해시 리스트를 제공한다. 보안 담당자는 이를 활용해 해당 취약점과 연관된 파일이 조직 내 시스템 내에 영향을 미칠 수 있는지 여부를 미리 확인하고 취약점을 악용한 공격에 선제적으로 대응할 수 있다. 안랩 제품서비스기획실 김창희 실장은 “’안랩 TIP’는 안랩이 제공하는 다양하고 전문적인 최신 위협 정보의 중심이 되는 ‘보안위협 콘텐츠 허브’”라며 “안랩은 고도화되는 보안위협에 고객사들이 효과적으로 선제 대응을 제공할 수 있도록 ‘안랩 TIP’의 위협 인텔리전스를 지속 강화해 나갈 것”이라고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 왕윤종 국가안보실 3차장은 국제 랜섬웨어 대응 회의(CRI)에 참석해 사이버공간 위협에 대한 국제사회 공조에 동참했다. 3일 대통령실에 따르면, 왕 차장은 지난달 30일부터 전날까지 CRI 참석차 미국 워싱턴DC를 방문했다. CRI는 랜섬웨어 위협 대응 국제 협의체로 미국이 주도해 현재 68개국이 참여하고 있다. 왕 차장을 비롯한 우리 대표단은 CRI 참여국들과 랜섬웨어 공동대응에 대해 논의했고, 이후 공동성명에도 참여했다. 미국 측에선 에이브릴 헤인즈 국가정보국장과 리처드 버마 국무부 행정담당 부장관 등 핵심인사들이 참여해 글로벌 랜섬웨어 위협에 대한 국제사회의 공동대응을 강조하면서 참여국들의 긴밀한 협력을 제안했다. 구체적으로 미 측 사이버위협정보통합센터(CTIIC)가 나서 상업·제조·IT·통신 분야 피해가 크고, 의료를 비롯한 필수 서비스가 영향을 받으면 치명적이라는 점을 부각했다. 왕 차장은 CRI와 별개로 미 측과 별도로 사이버안보 협력 강화 논의를 했다. 앤 뉴버거 국가안보부보좌관과 양자회의에서 인도태평양 지역 내 역량 강화와 IoT(사물인터넷) 장비 보안, 해양 사이버보안 등을 다뤘다. 특히 북한이 핵·미사일 고도화 자금을 마련키 위해 가상자산을 탈취하는 데 대한 대응 협력도 심화키로 했다. uknow@fnnews.com 김윤호 기자

[파이낸셜뉴스]   올 2·4분기 랜섬웨어 공격이 전분기 대비 18% 증가했다.  26일 SK쉴더스가 공개한 2024년 2·4분기 KARA 랜섬웨어 동향 보고서에 따르면, 2·4분기에는 총 1321건의 랜섬웨어 공격 피해가 발생했다. 이는 지난 1·4분기 1122건 대비 18% 늘어난 수치다.  국내에서는 10건으로 1·4분기 대비 10배 증가했으며, 이 중 50%가 제조업에서 발생했다. 제조업은 랜섬웨어 공격의 주요 타깃이 되는 산업군으로, 생산 시스템 중단 시 막대한 피해를 입기 때문에 이런 점을 공격자들이 악용해 몸값을 탈취하고 있는 것으로 분석됐다. 특히 제조업체 본사뿐 아니라 보안이 상대적으로 취약한 자회사나 중요정보는 동일하게 다루는 1차, 2차 협력업체를 통해 랜섬웨어를 배포하는 경우도 많아 위/수탁사에 대한 관리 중요성도 떠오르고 있다.  또한 2·4분기에 발생한 주요 공격 동향을 살펴보면 국제 공조를 통한 공격자 체포 및 인프라 무력화 작전 시도에도 불구하고 생성형 AI를 활용하거나 오래된 취약점을 악용하는 등 다양한 공격 전략을 선보이고 있는 것으로 나타났다. 해커들은 새로운 취약점을 찾는 수고를 덜기 위해 공격 방법이나 수단이 공개된 이미 알려진 오래된 취약점을 통한 공격을 선호하고 있는 것으로 조사됐다.  이번 보고서에서는 ‘RansomHub’ 랜섬웨어 그룹에 대해서도 상세히 다뤘다. 이들은 초기 침투 시 발견된 지 오래된 취약점을 주로 사용해 공격을 수행하고, 비주류 언어인 ‘GO’ 언어를 사용해 랜섬웨어를 제작하는 것으로 알려졌다. 비주류 언어로 개발된 랜섬웨어는 분석 데이터가 부족해 보안 솔루션 탐지 확률이 낮고, 암호화가 빠르게 가능하다는 특징이 있다. 또한 공격자는 분석을 방해하고 보안 솔루션 탐지를 우회하기 위해 실행에 필요한 설정 값을 암호화 시켜 놓았다.  SK쉴더스는 이러한 랜섬웨어 공격에 대비하기 위해 모의해킹, 데이터 백업, 랜섬웨어 위협 진단 등 초기침투 경로를 차단하고 보안 체계를 점검하는 사전 예방 활동이 중요하다고 밝혔다.  김병무 SK쉴더스 정보보안사업부장(부사장)은 “제조업을 대상으로 한 랜섬웨어 공격이 끊이질 않고 발생하고 있는 만큼 적극적인 예방 조치와 공격 발생 시 신속하게 대응할 수 있는 보안 체계가 마련돼야 한다”며 “SK쉴더스는 제조업에 특화된 보안 관제, 컨설팅, 모의해킹 등 정보보안 영역의 전 서비스를 제공하고 있는 만큼 제조업에서의 랜섬웨어 피해가 발생하지 않도록 서비스를 고도화시켜 나갈 것”이라고 강조했다.  kjw@fnnews.com 강재웅 기자

[파이낸셜뉴스] 한국인터넷진흥원(KISA)은 과학기술정보통신부와 산업, 학계 등 이해관계자 간 랜섬웨어 공격 대응 협력 강화를 위한 '제3회 랜섬웨어 레질리언스 컨퍼런스'를 서울 용산구 전쟁기념과 피스앤파크 컨벤션에서 내달 10일 개최한다고 19일 밝혔다. 이번 컨퍼런스는 별도 비용 없이 누구나 참여 가능하며, 내달 3일까지 온라인으로 참여 등록 접수를 받는다. KISA는 랜섬웨어 대응 및 피해 복구 역량 강화를 위해 랜섬웨어 레질리언스 컨퍼런스를 2022년부터 매년 개최하고 있다. 올해는 '랜섬웨어 피해 복구를 위한 회복력 강화'를 주제로 행사를 개최한다. 컨퍼런스에선 현업에서 활동 중인 랜섬웨어 전문가들이 참여해 랜섬웨어 사고 최신 동향과 복구 대응 방안에 대한 정보를 제공한다. 세부 프로그램은 랜섬웨어 대응 동향을 시작으로, 침해사고 사례, 수사 대응, 복구 전략 등의 내용을 다룬다. 이상중 KISA 원장은 "전 세계적으로 랜섬웨어 위협이 진화하는 가운데, 이번 컨퍼런스가 랜섬웨어 공격에 대한 글로벌 공동 대응을 강화하고 피해 회복력을 확보하는 방안에 대해 논의하는 시간이 되길 기대한다"고 전했다. jhyuk@fnnews.com 김준혁 기자

[파이낸셜뉴스]   랜섬웨어 공격이 급증하고 있다. 랜섬웨어 공격 트렌드에 맞춘 보안 전략이 필요하다는 주장에 무게가 실린다.  19일 SK쉴더스가 발표한 2023년 4·4분기 KARA 랜섬웨어 동향 보고서에 따르면 이 기간 랜섬웨어 공격은 총 1266건이 발생했다. 이는 전년 동기 대비 65.4% 상승한 수치다. 4·4분기에는 핵티비즘을 내세운 다수의 랜섬웨어 그룹들의 공격이 활발하게 발생한 것으로 조사됐다. 핵티비즘이란 해커와 행동주의의 합성어로 정치적, 이념적 방향에 목적을 둔 해킹 활동을 일컫는다. 이스라엘- 하마스 전쟁 등의 영향으로 이스라엘 기업을 타깃으로 한 공격이 다수 진행됐다.  챗GPT를 활용한 랜섬웨어 공격도 발생해 눈길을 끌었다. 중국 정부는 모 기업에 랜섬웨어 공격을 수행한 혐의로 4명을 체포했다고 밝혔다. 이들은 랜섬웨어 개발과 기능 개선, 공격 수행에 ChatGPT를 악용했다. 최근 랜섬웨어 공격자들이 WormGPT, FraudGPT 등 사이버공격을 수행하기 위해 생성형 인공지능(AI) 모델을 적극적으로 활용하고 있는 것으로 나타나고 있어 이에 대한 각별한 주의가 필요하다.  이처럼 최근 랜섬웨어 공격자들이 생성형 AI 모델 악용, 삼중협박 등 고도화된 전략을 사용하고 있어 이에 대한 철저한 대비가 요구되고 있다. SK쉴더스와 KARA에서는 랜섬웨어 그룹별 맞춤형 대응 방안과 전반적인 랜섬웨어 대응 프로세스를 점검해야 한다고 강조했다. 우선, 초기 침투 경로를 차단하기 위해서는 모의 훈련, 보안 정책 평가 등의 서비스를 도입해야 한다. 이후 공격 위협이 탐지되었을 때는 내부로 확산되지 않도록 위협 요소를 제거하고 공격을 차단할 수 있는 관제, MDR 서비스 등을 고려해볼 수 있다. 대응 및 복구 단계에서는 보안 백업을 통해 시스템을 정상화하고 원인 분석을 통해 재발 방지 대책을 수립하는 등의 조치가 필요하다.  김병무 SK쉴더스 정보보안사업부장은 “범죄에 특화된 생성형 AI를 활용한 랜섬웨어 공격이 본격화되고 있는 만큼 랜섬웨어 공격 대응 방안 점검과 기업의 정보보호 활동이 강화돼야 한다”며 “민간에서 유일하게 랜섬웨어 원스톱 서비스를 제공하고 있는 만큼 급변하는 랜섬웨어 공격 트렌드에 맞춘 보안 전략을 선보이겠다”고 강조했다.  kjw@fnnews.com 강재웅 기자

[파이낸셜뉴스]   신변종 랜섬웨어 공격이 증가세를 보이고 있다.  8일 국내 최대 사이버보안 서비스 기업 SK쉴더스가 2023년 3·4분기 KARA 랜섬웨어 동향 보고서에 따르면, 3·4분기 동안 랜섬웨어 공격은 총 1384건이 발생했다. 특히 9월에만 496건의 공격이 집중됐다.  이번 보고서에는 지난 3·4분기 가장 활발하게 활동한 랜섬웨어 공격 그룹의 동향과 공격 전략을 상세히 다뤘다. 이는 클롭(Clop), 락빗(LockBit) 등 유명 랜섬웨어 그룹의 대규모 공격뿐만 아니라, 신규 랜섬웨어 그룹의 등장으로 인한 것으로 파악됐다. 신규 랜섬웨어의 공격 비중은 전체 공격의 17.6%나 차지했다.  특히, 지난 9월에는 락빗이 국내 한 대기업의 데이터 800GB를 탈취하고 업무 관련 문서, 데이터베이스 관련 파일 등 데이터 100GB를 공개해 파장이 일었다. 이들은 기업을 대상으로 데이터 탈취뿐만 아니라 데이터 공개를 빌미로 금전을 요구하는 이중 협박 전략을 쓰고 있어 기업의 피해가 커지고 있다.  랜섬웨어 공격 시 초기 침투를 전문으로 하는 IAB와의 협업은 더욱 강화되고 있는 것으로 조사됐다. 대형 랜섬웨어 그룹들이 초기 침투 경로를 IAB에게 구매해 공격을 수행한 뒤 얻은 암호화폐 수익을 숨기는 ‘믹싱 서비스’를 이용하는 등 체계화된 공격 전략을 보이고 있기 때문이다. 이 밖에도, 초기 침투 방법으로 취약점을 악용한 전문적인 공격 방법과 비교적 공격이 쉬운 피싱, 스팸 메일, 사회공학기법을 이용한 상반된 전략이 모두 발견되고 있는 것으로 조사됐다.  김병무 SK쉴더스 인포섹의 클라우드보안사업본부장은 “특색 있는 신규 랜섬웨어들이 계속 발견되고 매분기 공격 건수가 늘어나는 만큼 공격자의 관점에서 전략과 기법을 사전에 파악해 선제적이고 능동적인 조치가 필요한 시점”이라며 “이번 복호화 도구 무료 제공을 계기로 랜섬웨어 예방에서부터 사후 조치까지 기업 환경에 맞는 맞춤형 대응 방안을 지속적으로 제시할 것”이라고 말했다. kjw@fnnews.com 강재웅 기자

한화큐셀 중국법인이 최근 랜섬웨어 공격을 받은 것으로 확인됐다. 랜섬웨어 공격은 개인용 컴퓨터(PC)에 있는 데이터를 인질로 몸값을 요구하는 사이버 보안 공격이다. 12일 관련 업계에 따르면 한화큐셀 중국법인은 지난 2일 랜섬웨어 공격을 받아 현재 피해 규모 등을 조사 중이다. 한화큐셀 관계자는 "중국 법인에서 일어난 일이 맞다"며 "아직 국내 법인 피해는 확인 안됐으며 현재 내부적으로 조사하고 있다"고 말했다. 그러면서 "중국 법인 일부 정보는 빠져나갔으나 정확히 어떤 정보인지는 파악 중"이라며 "생산라인이 멈춘 것은 아니다"고 덧붙였다. 권준호 기자

[파이낸셜뉴스] 기아 미국 조지아공장 협력사와 한화솔루션 큐셀부문 중국법인이 잇따라 랜섬웨어 공격을 받았다.  12일 업계에 따르면 미국 내 기아의 현지 협력업체가 랜섬웨어 공격을 당해 부품공급에 차질을 겪으면서 조지아주 웨스트포인트에 있는 기아 조지아 공장이 지난 6일(현지시간) 생산을 일시 중단했다. 부품사에 랜섬웨어 피해가 발생한 시기는 정확히 확인되지 않았다. 조지아 공장 조업은 7일 오전 재개됐다고 기아 측은 전했다. 랜섬웨어 공격은 사용자 PC에 있는 데이터를 인질로 삼아 몸값을 요구하는 사이버 보안 공격이다. 최근 수년간 글로벌 주요 기업의 공급망을 타깃으로 한 랜섬웨어 공격이 잇따라 보고되고 있다. 지난해 초엔 도요타 1차 협력업체가 랜섬웨어 해킹을 당하면서, 도요타 생산라인 전체가 하루 동안 가동 중지된 바 있다. 대기업에 비해 계열사나 납품업체들이 상대적으로 보안이 취약하다는 점을 악용, 사이버 공격을 가하고 있다는 분석이 나온다. 기아와 현대자동차 북미법인은 지난 2021년에도 사이버 공격을 당했었다. 태양광 셀 모듈을 생산하는 한화큐셀 중국법인도 지난 2일 랜섬웨어 공격을 받은 것으로 확인돼 피해 규모 등을 조사 중이다. 다만 공장 가동에는 문제가 없는 것으로 알려졌다.  ehcho@fnnews.com 조은효 권준호 기자

[파이낸셜뉴스] 올해 들어 랜섬웨어를 활용한 가상자산 범죄가 늘어나고 있다. 랜섬웨어를 비롯한 스캠, 해킹 등 여러 가상자산 범죄 유형에 대응하기 위해 국가 간 공조를 위한 표준화 된 협업 방식이 필요하다는 제언이다.  가상자산 분석업체 체이널리시스의 알렉 지브릭 아태지역 수사 총괄 매니저는 12일 바이낸스 주최로 서울 중구에서 열린 ‘건전한 가상자산 산업의 미래 컴플라이언스와 민관 협력’ 포럼에서 "지난해와 비교해 올해 가상자산 관련 스캠(온라인 사기)이나 해킹 범죄 규모는 각각 45.2%, 23.5% 줄어들었지만, 랜섬웨어 범죄 규모는 10.3% 증가했다"고 밝혔다.  랜섬웨어는 데이터 복구를 조건으로 거액을 요구하는 유형이다. 올 들어 지난 6월까지 랜섬웨어 공격을 통한 가상자산 탈취 금액은 4억달러(5300억원)에 달한다. 이는 역대 2번째로 큰 규모다.  랜섬웨어 범죄가 늘어나는 이유로는 공격 대상이 개인에서 기관으로 넓어지고 있는 점이 꼽힌다. 지브릭 매니저는 "랜섬웨어 공격 대상이 대규모 자금력을 갖춘 기관을 주로 노리는 것으로 바뀌었다"며 "기업 등 자금이 충분한 단체를 노려 거액을 뜯어내는 경우와 소액을 노린 랜섬웨어 공격이 동시에 증가하는 추세"라고 설명했다. 그는 "랜섬웨어 공격이 이제는 가상자산 탈취 뿐 만 아니라 스파이 첩보 등을 목적으로도 같이 활용되고 있다"고 부연했다.  이같은 가상자산 범죄에 효과적으로 대응하기 위해서는 공조를 위한 표준화 된 협업 방식이 도입돼야 한다는 진단이다. 블록체인에 국경이 없는 만큼 다자 간 글로벌 협업 프레임을 구축할 필요가 있다는 뜻이다.  이수평 경찰청 국가수사본부 사이버수사연구분석계 수사관은 "현재 표준화 된 협업 체계가 없다”며 “글로벌 거래소와 여러 국가 사법기관이 체계를 맞춘다면 국내 거래소에도 통일된 체계를 도입하고 수사에 도움이 될 것 같다"고 전했다.  지브릭 매니저는 "가상자산 범죄엔 국경이 따로 없다"며 "수많은 나라 중 내부 통제가 취약한 국가와 기업이 범죄 대상이 되기 때문에 국가 간 협업에서 표준화 된 국제 공조가 마련돼야 한다"고 강조했다.  가상자산 거래소의 공조 역할도 중요하다는 의견이 나왔다. 대표적으로 세계 최대 가상자산 거래소인 바이낸스는 체이널리시스와 협력해 스캠·랜섬웨어 등 범죄에 관련돼 있을 가능성이 큰 거래 내역을 파악하고, 해당 계좌를 정지하는 등 각국 수사기관, 사법기관에 적극적으로 협조하고 있다.  야렉 야쿠벡 바이낸스 법집행기관 트레이닝 책임은 "바이낸스는 미국 연방수사국(FBI) 등 수사기관의 협조 요청이 들어오면 적극적으로 정보를 제공하고 있다"며 "단순히 정보 제공에 머무는 것이 아니라, 실제 범죄에 연루된 것으로 의심되는 계좌에 대해 동결 조치를 취하기도 한다"고 설명했다.  그는 "바이낸스는 한국의 수사당국과도 긴밀하게 협조하고 있다"며 "각국 수사 당국과의 효율적인 협력을 위해, 관련 수사관들에게 70종 이상의 연수(트레이닝) 프로그램을 제공하고 있다"고 강조했다.  zoom@fnnews.com 이주미 기자

[파이낸셜뉴스] 한화큐셀 중국법인이 최근 랜섬웨어 공격을 받은 것으로 확인됐다. 랜섬웨어 공격은 개인용 컴퓨터(PC)에 있는 데이터를 인질로 몸값을 요구하는 사이버 보안 공격이다. 12일 관련 업계에 따르면 한화큐셀 중국법인은 지난 2일 랜섬웨어 공격을 받아 현재 피해 규모 등을 조사 중이다. 한화큐셀 관계자는 "중국 법인에서 일어난 일이 맞다"며 "아직 국내 법인 피해는 확인 안됐으며 현재 내부적으로 조사하고 있다"고 말했다. 그러면서 "중국 법인 일부 정보는 빠져나갔으나 정확히 어떤 정보인지는 파악 중"이라며 "생산라인이 멈춘 것은 아니다"고 덧붙였다. kjh0109@fnnews.com 권준호 기자