Offcanvas

랜섬웨어 / 보안 / 분쟁|갈등

일문일답 | ‘콘티 그룹의 해킹 매뉴얼 분석해보니...’ 아카마이 딘 우아리 디렉터

2022.05.12 Brian Cheon  |  CIO KR
세계에서 가장 성공적인 랜섬웨어 갱단으로 알려진 존재가 콘티(Conti) 그룹이다. 1년에 약 2억 달러의 매출을 기록하는 범죄 단체로 알려져 있다. 최근 아카마이 연구진은 콘티 그룹에서 유출된 내부 문서를 검토 및 분석해 랜섬웨어 그룹이 사용하는 최신 도구와 기법에 대한 인사이트를 도출했다고 밝혔다. 아카마이의 APJ 보안 기술 및 전략 디렉터 딘 우아리와 일문일답을 진행했다.

Q. 콘티 그룹에 대한 설명을 간략하게 부탁한다. 콘티 그룹의 내부 문서 유출이 과거의 다른 그룹의 유출과 다른 점이 있다면 무엇인가?
콘티(Conti) 그룹은 고매출 기업들을 대상으로 하는 악명 높은 랜섬웨어 그룹으로, 2020년에 처음 세상에 알려졌다. 블록체인 분석업체인 체이널리시스(Chainalysis)의 보고서에 따르면 해당 랜섬웨어 그룹은 지난해 최소 1억 8,000만 달러(한화 약 2,278억)의 매출을 올린 것으로 추정된다. 2021년 전체 랜섬웨어 그룹의 매출 중 최대 액수다.

2022년 2월 27일, 트위터 핸들 @contileaks가 생성된 이후 콘티 그룹의 내부 문서 및 채팅 로그, 일부 내부 서버 및 소스 코드의 주소가 유출되기 시작했다. 이번 유출이 특히 흥미로운 이유는 유출된 정보의 양이 방대하다는 점이다. 특히 공격 그룹이 어떻게 대규모로 운영되고 있는지, 무엇을 사용하는지, 어떻게 사고하는지 등에 대한 정보가 노출되는 사례는 매우 드문데, 이번에 유출된 문서들을 통해 이를 알 수 있다는 것이 특이점이라고 할 수 있다.

아카마이는 콘티 그룹의 내부 문서 중 표적 선택, 해킹, 툴 사용에 대한 지침을 포함하는 문서를 분석하는데 집중했다. 아카마이는 이러한 TTP(Tactic·Technique·Procedure, 전술·기술·절차)와 방법론이 최신 랜섬웨어 그룹이 사용하는 도구와 기술을 이해하고 그에 따른 방어 체계를 강화하는 데 도움이 될 것이라고 생각했다. 또한, 세계에서 가장 신뢰받는 최대 규모의 엣지 플랫폼을 갖춘 한편 글로벌 대표 기업들과 수십억 명의 고객들을 보호하는 기업으로서, 아카마이는 전 세계 기업 보안팀과 그 인사이트를 공유하고자 한다.

Q. 아카마이가 이번 문서를 통해 새롭게 확인한 바가 있다면 무엇인가? 특히 주의를 기울여 살펴봐야 할 부분이 있는가?
콘티 그룹은 네트워크 침투 및 전파 목표를 달성하기 위해 다양한 툴을 사용하고 있는데, 대부분이 우리들에게 이미 친숙한 툴이다. 즉, 콘티 그룹의 공격 정책과 툴은 전혀 새로운 것이 아니다. 그러나 이러한 TTP가 새롭지 않다고 해서 사소하다고는 할 수 없다. 새로운 툴이 아님에도 불구하고 그들은 여전히 이를 활용한 공격에 성공하고 있기 때문이다. 

즉 콘티 그룹의 접근법은 “문제가 없다면 그냥 쓴다(If it ain’t broke, don’t fix it)”는 식이다. 이는 보안팀이 종전의 방어 방식을 보다 면밀하게 검토해야 한다는 주장을 뒷받침한다. 신문의 헤드라인을 장식하는 것은 제로 데이 공격일 수 있지만, 공격자들이 실제로 돈을 버는 것은 기본적인 공격들이기 때문이다.

이 문서와 분석 자료를 통해, 아카마이는 단순히 랜섬웨어의 암호화 과정보다는 랜섬웨어 공격을 전체적으로 살펴볼 필요가 있다는 것을 알게 됐다. 일반적으로 랜섬웨어에 대해 설명할 때는 실제 암호화 과정을 더 중요하게 다루지만, 사실은 암호화 시작 전에도 긴 프로세스가 존재한다. 즉, 가장 큰 문제는 데이터 암호화와 유출이 아닌 네트워크 침해, 측면 이동 및 전파, 탐지 회피 등에 있다.


[그림 1] 랜섬웨어 킬체인

Q. 새롭게 발견 및 확인한 내용이 유의미한 이유는 무엇인가?
콘티 그룹 문서를 통해 우리는 초기 단계의 감염 예방뿐 아니라 측면 이동도 차단해야 한다는 점을 확인할 수 있다. 또한, 랜섬웨어 공격 그룹이 기본에 충실하는 만큼, 보안팀도 기본에 충실해야 한다. 무엇보다 아카마이는 그들의 공격면이 네트워크 침투부터 실제 암호화를 진행하기까지 상당히 다각적이라는 점을 발견했다. 따라서 방어 역시 다층적으로 이루어져야 한다.

우선 웹 애플리케이션 방화벽이 잘 설정되어 있으면 네트워크에서 초기 입지를 확보하려는 대부분의 공격자를 차단할 수 있다. 하지만 레거시 방화벽이나 경계 전용 방어만으로는 랜섬웨어가 네트워크 전체에 확산되어 중요한 애플리케이션과 인프라가 락다운(Lockdown)되는 상황을 막을 수 없다. 참고로 아카마이의 App & API Protector는 다양한 네트워크와 애플리케이션 레이어 위협으로부터 애플리케이션과 API를 간편하게 보호하도록 설계된 클라우드 기반 WAAP 솔루션으로서 봇 가시성과 방어 기능을 모두 제공한다.

Q. 새로운 동향이 기업 및 기업의 보안 관계자에게 시사하는 바는 무엇인가?
최근 점점 더 많은 직원들이 모바일 환경을 사용하거나, 비즈니스 경계 외부에서 여러 디바이스를 사용해 비즈니스 애플리케이션에 접속하고 있다. 이러한 상황에서 초기 감염을 예방하기 위해서는 접속 제어 및 제로 트러스트 등의 솔루션으로 네트워크에 접속하는 사용자를 제어해야 한다. 

가령 아카마이의 엔터프라이즈 애플리케이션 액세스(Enterprise Application Access, EAA) 솔루션을 활용하면 급작스러운 워크플로우 변화에 적응할 수 있다. EAA는 단일 포털을 통해 단 몇 분 만에 새로운 애플리케이션과 사용자를 설정하고 원격 접속을 확장할 수 있다. 아카마이의 멀티팩터 인증(Multi-Factor Authentication, MFA) 솔루션은 직원 계정 탈취를 예방하고 데이터 유출을 방지하며 강력한 보안을 제공한다.

이와 더불어 가디코어의 마이크로세그멘테이션은 기업을 개별 소프트웨어 및 워크로드 수준까지 별개의 보안 세그먼트로 논리적으로 나누고 각각에 대해 잘 정의된 보안 제어를 제공해 맬웨어의 측면 이동을 억제할 수 있다. 선체에 균열이 발생할 경우 함 내의 방수 차단벽이 인접 객실의 침수를 방지하는 것과 마찬가지로, 가디코어의 마이크로세그멘테이션은 멀웨어 공격으로 인한 ‘영향력 반경’을 억제해 측면 확산을 크게 제한한다. 또한, 측면 이동과 기타 의심스러운 행동에 대한 알림을 통해 맬웨어를 조기에 탐지하고 즉각적으로 대응할 수 있다. 

"모든 기업이 대비해야 한다"
딘 우아리 디렉터에 따르면, 랜섬웨어는 한때 위협 행위자들이 암호화를 통해 파일과 데이터에 대한 엑세스를 제한하기 위해 사용된, 단순히 성가신 악성 프로그램이었다. 그러나 이제는 엄청난 규모의 공격 방식으로 진화했다. 2021년 랜섬웨어 공격은 11초에 한번 발생한 것으로 추정되는 한편, 대기업, 국가, 글로벌 인프라 및 의료 기관에 침투하여 조직을 무력화시킬 만큼 정교해졌다는 설명이다.

그는 오늘날, 업종과 규모에 상관없이 모든 기업들이 위험에 처해 있다고 진단했다.  오래된 기술, 경계와 엔드포인트에만 초점을 맞추는 ‘적당히 충분한(good enough)’ 방어 전략, 교육과 보안 수칙의 부재, ‘만능(silver bullet)’ 해결책의 부재 등 여러 요인으로 인해서다.

딘 우아리 디렉터는 "공격으로부터 즉시 안전하게 보호할 수 있는 솔루션은 없다. 그러나 보안팀은 수비수로서 공격자의 관점을 이해하고 이러한 문서의 분석을 통해 희망을 찾을 수 있다. 앞으로도 아카마이는 최신 위협들을 지속적으로 조사하고 알리는데 앞장설 것"이라고 말했다. 

20년 동안 데브섹옵스(DevSecOps), 클라우드 및 사이버 보안 이니셔티브와 혁신의 아키텍처 및 개발을 선도하면서 다양한 엔지니어링 및 아키텍처 리더 자리를 역임한 딘 우아리 디렉터는, 시스코 시스템즈(Cisco Systems)의 발명가 특허를 보유하고 있다. 도합 650kg의 열렬한 역도인이기도 하다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.