Offcanvas

랜섬웨어 / 악성코드

IAB부터 서비스형 X까지··· ‘사이버 범죄 뒷골목’ 살펴보기

2022.03.16 Ax Sharma  |  CSO
오늘날 사이버 범죄자는 혼자 해킹에 나서기보다 랜섬웨어 갱단 등의 조직적이고 불법적인 비즈니스로 자리매김하고 있다. 점점 더 많은 랜섬웨어 그룹이 등장하고 있으며, 기존 그룹은 주요 기업을 해킹하면서 계속 성장하고 있다. 랜섬웨어 갱단, 강탈 그룹, 디도스 공격자의 성공률 증가는 결코 우연이 아니다. 그 이면에는 다양한 계층의 위협 행위자로 구성된 조직적인 구조가 있다. 이들은 최종 목표를 달성하고 각자의 몫을 받기 위해 협력한다. 
 
ⓒGetty Images

초기 액세스 브로커(Initial Access Broker; IAB)
IAB는 엔터프라이즈 액세스 권한을 구매자(다른 공격자)에게 판매하는 위협 행위자 계층이다. 데이터 유출 시장, 포럼, 폐쇄적인 메시징 앱 채널과 채팅 그룹 등에서 활동한다. 하지만 IAB는 데이터 유출, 암호화, 삭제 등의 후속적인 활동을 수행하진 않는다. 영업 비밀을 훔칠 것인지, 랜섬웨어를 배포할 것인지, 스파이웨어를 설치할 것인지, 데이터를 유출할 것인지 등 이 액세스 권한을 악용할 방식을 결정하는 건 구매자의 몫이다. 

클라우드용 암호 없는 인증 서비스 업체 클라우드 라디우스(Cloud RADIUS)의 수석 소프트웨어 엔지니어 벤 리차드슨은 “과거에 IAB는 주로 기업 데이터를 파괴하거나 IP 또는 재무 데이터를 훔치려는 범죄자에게 해당 기업의 액세스 권한을 판매했다”라며, “이때는 공격 횟수가 적었기 때문에 수요가 많지 않았다. 일반적으로 스파이 행위 및 절도를 위해 비즈니스 경쟁업체에서 고용하는 경우가 많았다”라고 설명했다.  

이어서 그는 랜섬웨어 시대가 기하급수적인 ‘IAB’ 수요 증가를 초래했다고 언급했다. IAB는 이제 랜섬웨어 갱단에 고용돼 갱단이 기밀 파일을 암호화하고 백업을 파괴할 수 있도록 타깃 회사를 해킹하고 있다.  

서비스형 X(X as a service)
현재, ‘서비스형 X(X-as-a-Service)’라는 용어는 비교적 새로운 비즈니스 모델을 구성하는 서비스형 랜섬웨어(RaaS) 또는 서비스형 악성코드(MaaS) 플랫폼으로 구체화되는 경우가 많다. 서비스형 소프트웨어(SaaS) 모델과 마찬가지로 RaaS는 공격을 하려는 고객(affiliates)에게 랜섬웨어 도구, 피싱 키트, IT 인프라를 유료로 제공하는 방법이다.

딥 인스팅트(Deep Instinct)의 글로벌 솔루션 아키텍트 로건 길버트는 “이 모델에서 공급자는 서비스 사용 방식에 책임을 지지 않기 때문에 법적으로 안전할 수 있다. 서비스 제공자이기 때문에 이러한 그룹은 고객의 공격 성공 여부와 관계없이 자신의 몫을 얻을 수 있다. 운영 가치를 실현하는 것은 고객에게 달려 있다”라고 말했다. 

과거에는 사이버 범죄자가 숙련된 해커여야 했지만 서비스형 X 모델을 통해 이러한 진입장벽이 낮아졌다. 크리티컬스타트(CriticalStart)의 수석 사이버 위협 인텔리전스 애널리스트 데이비드 쿠더는 “초기에 사이버 범죄자는 일반적으로 스스로 공격 작전을 수행할 수 있는 숙련된 해커였다. 이는 자원 집약적이었으며, 많은 위험이 따랐다. 최근 몇 년 동안 사이버 범죄자들은 대규모 조직을 표적으로 삼아 막대한 이익을 챙기는 ‘맹수 사냥(big game hunting)’으로 전향했다. 이 전략이 인기를 끌기 시작하면서 더 많은 사이버 범죄자가 ‘서비스형 X’ 영역으로 이동하여 IAB, RaaS, MaaS 등을 활용하고 있다. 서비스형 X의 증가로 사이버 범죄자는 한 가지 분야에만 숙련돼 있더라도 다른 모든 그룹의 서비스를 사용할 수 있게 됐다”라고 전했다.

랜섬웨어 조력자(Ransomware affiliates)
랜섬웨어 조력자는 IAB에게 네트워크 액세스 권한을 구매하는 것부터 정찰에 도움이 되는 훔친 자격증명 및 데이터 덤프를 조달하는 것, 공격을 실행하는 것까지 랜섬웨어 그룹이 운영 작업을 수행하기 위해 고용하는 다재다능한 ‘계약자’라고 할 수 있다.

공격 및 갈취 성공 시, 랜섬웨어 조력자는 피해자가 지불한 몸값에서 수수료를 받는다. 공격 속도를 높이기 위해 조력자는 RaaS 플랫폼을 임대하여, ‘임대한 랜섬웨어’로 파일을 암호화하고 재량에 따라 기존의 도구, 서비스, 익스플로잇을 집중적으로 사용할 수 있다. “조력자는 스스로 개발 및 관리해야 하는 제품과 서비스에 저렴한 비용으로 접근할 수 있다. 또 돈만 내면 IAB 및 이미 해킹된 조직의 액세스 권한을 얻을 수 있다. 이는 조력자의 진입장벽을 크게 낮춘다. 조력자는 이제 조직을 갈취하는 운영 측면에만 집중할 수 있다”라고 길버트는 설명했다.

악성 소프트웨어 및 익스플로잇 개발자(Malware and exploit developers)
이 위협 활동자 계층은 개념 증명(PoC) 연습을 넘어서는 제로데이(Zero-day) 또는 알려진 취약성에 관한 익스플로잇을 개발한다. 12~30개의 익스플로잇이 패키징된 ‘깃페이스트-12(Gitpaste-12)’처럼 내부의 여러 취약점에 대한 익스플로잇을 패키징하는 악성 소프트웨어를 개발할 수도 있다.

많은 랜섬웨어 공격은 공격자가 인기 있는 액세스 기기, 애플리케이션, VPN 그리고 애플리케이션에 내장된 로그4j 등의 개별 소프트웨어 구성 요소를 타깃으로 코드를 배포하는 것에서 시작될 수 있다. 길버트에 따르면 초기에는 악성 소프트웨어와 익스플로잇 개발자가 스크립트쟁이(script kiddies)부터 정교한 해커까지 다양했지만, 위협 행위자 간의 협업이 점차 증가하면서 정교한 악성 소프트웨어 개발의 많은 부분이 소프트웨어 개발 라이프사이클과 문서화를 통해 개발팀 내에서 이뤄지고 있다.

랜섬웨어 그룹의 내부 활동이 조명받은 최근의 유출 사건에서도 이러한 양상을 확인할 수 있다. 지난해, 불만을 품은 한 갱단 조력자(Conti(Ryuk))가 랜섬웨어 그룹의 조력자에게 제공되는 것으로 알려진 침투 테스트 도구, 러시아어로 작성된 매뉴얼, 교육 자료, 문서 등 해당 그룹의 비공개 데이터를 유출했다. 이 밖에 바부크(Babuk) 랜섬웨어 관리자도 소속 그룹의 비주얼 스튜디오(Visual Studio) 프로젝트 파일 및 소스코드를 유출했는데, 여기에 조직과 관련하여 합법적인 소프트웨어 회사에서 따르는 구조가 적용돼 있었다.  

한편 암호화폐의 사용 증가로 인해 익스플로잇 개발자의 ‘틈새’ 계층이 생겨났다. 블록체인 프로토콜과 암호화폐에 능통한 개발자는 (이러한 암호화폐 플랫폼에 패치가 적용되기 전에) 제로데이 및 패치되지 않은 취약점을 악용하고 있다. 이는 주요 암호화폐 해킹 사건에서 명백하게 나타나고 있다.

지난 2월 웜홀(Wormhole)의 미화 3억 2,600만 달러 암호화폐 강탈 사건은 누구나 볼 수 있는 해당 프로젝트의 깃허브 커밋에서 제공된 패치되지 않은 취약점에 의해 발생했다. 작년에 폴리 네트워크(Poly Network)는 ‘사상 최대의 디파이(DeFi) 해킹’을 당했다. 해당 플랫폼에 숨어 있는 보안 취약점을 밝히고자 했던 화이트 해커에게 6억 1,100만 달러의 암호화폐를 도난당한 것이다. 올해 크립토닷컴(Crypto.com)에서 발생한 3,400만 달러 규모의 해킹 사건도 갈수록 더 많은 틈새 익스플로잇 개발자가 등장하고 있음을 보여주는 또 다른 예다.

지능형 지속 위협(APT) 그룹
‘APT’라는 용어는 전통적으로 단순한 금전적 이익이 아니라 장기간에 걸친 방해 공작이나 정치적 스파이 행위 등 특정 목표를 가진 국가 위협 행위자 또는 국가의 지원을 받는 사이버 범죄 그룹을 지칭했다. 오늘날에는 APT가 사용하는 전술을 이와는 무관한 위협 행위자도 채택하고 있다. APT는 광범위한 감시 및 은폐 기능을 갖춘 맞춤형 악성 소프트웨어를 사용하는 경우가 많다. 역사상 가장 유명한 APT 공격은 여러 윈도우 제로데이 취약점을 악용하여 컴퓨터를 감염시키고 확산시켜 원자력 발전소의 원심분리기에 피해를 입힌 스턱스넷(Stuxnet) 사건이다. 이 ‘극도로 정교한 컴퓨터 웜’은 미국과 이스라엘 정보기관이 협력해 개발한 것으로 추정된다.

산업 제어 시스템을 표적으로 삼는 APT의 최근 사례는 트라이튼(TRITON) 악성 소프트웨어다. 지난 2017년 트라이튼은 폭발을 일으킬 목적으로 사우디아라비아의 석유화학 공장을 공격한 후 발견됐다. 다행히 악성 소프트웨어 코드 버그로 인해 주요 시스템이 긴급 종료됐고, 공격은 저지됐다. 하지만 APT는 물리적인 기기를 악용하는 데만 국한되지 않으며, 대부분의 APT 캠페인은 스피어 피싱 공격을 사용하여 네트워크에 침투하고, 페이로드를 조용히 전파하며, 데이터를 유출한다. 또한 백도어를 심고, 피해자를 비밀리에 감시한다.

모건프랭클린 컨설팅(MorganFranklin Consulting)의 사이버 보안 운영 부문 이사 존 펑은 “APT 그룹의 목표가 근시안적이었던 것에서 은밀하고 전략적으로 바뀌었다. 솔라윈즈(SolarWinds) 공급망 공격에서 알 수 있듯이 APT가 업스트림 소프트웨어와 소스코드를 해킹하는 방향으로 바뀌고 있다”라고 지적했다. 이어서 “서드파티 벤더를 통해 추가적으로 업스트림을 해킹한 후 자체적인 페이로드로 ‘정상적인’ 소프트웨어를 손상시키는 것이 특히 문제다. 영향이 크고 빈도가 낮은 이벤트에 대해 조직들은 위험 프로필과 허용 범위에 따라 다양한 방식으로 방어해야 한다”라고 그는 덧붙였다. 

데이터 또는 정보 브로커(Data or information brokers)
‘데이터 브로커’ 또는 ‘정보 브로커(IB)’라는 용어는 합법적인 서비스 제공자 계층과 불법 행위자 모두를 의미한다. 예를 들면 합법적인 IB 및 데이터 통합 서비스는 법원 기록, 토지 등기 및 부동산 판매 기록, 소셜 미디어 프로필, 전화번호부, 법인 등기, 혼인 기록 등의 공공 출처에서 데이터를 조달하여 사람과 기업에 관한 정보를 수집할 수 있다. 이 정보는 마케터, 연구진, 기업과 합법적으로 공유될 수 있다(유료). 반면에 악의적인 데이터 브로커는 해킹된 자료와 기밀 데이터 덤프를 다크 웹 및 데이터 유출 시장에서 판매하는 등의 불법 행위를 벌인다. 쿠더는 데이터 브로커 활동이 IAB 체인까지 연결된다고 언급했다. 

IAB 전문화는 최근 RaaS 모델의 급속한 성장에 기이한다. 이러한 RaaS 오퍼링은 위자드 스파이더(RYUK RaaS), 골드 사우스필드(REvil RaaS), FIN7(DarkSide RaaS) 등의 APT 그룹이 개발했다. 쿠더는 “이 오퍼링의 일부로 [이러한 APT/RaaS 그룹은] 고객에게 지원, 포털 액세스, 월간 구독을 제공하고 협력한다. 이런 협력 계약에서 RaaS 그룹은 조력자가 표적에게 받는 대가의 일부를 수익으로 가져간다. 민감한 데이터를 볼모로 잡는 것 외에 이런 그룹은 표적으로 삼은 조직의 직원/고객 정보를 해킹한다. 민감한 정보가 유출돼 다크 웹의 여러 사이트에 게시된다. 이를 데이터 중개라 부른다. 이 데이터에는 SSN, 신용카드 정보, 구매 내역, 계좌 정보 등이 포함될 수 있고, 다른 오피링과 함께 판매될 수 있다”라고 설명했다.

‘자연스러운 경쟁 비즈니스 환경’을 구축한 지하 경제
가이드포인트 시큐리티(GuidePoint Security)의 수석 위협 인텔리전스 애널리스트 드류 슈미트에 따르면 불과 몇 년 전만 해도 사이버 범죄 환경을 파악하기가 훨씬 단순했지만 이제는 ‘공격망의 특정 단계에서 수익을 창출할 수 있는 기회’를 통해 IAB부터 익스플로잇 개발자, ‘서비스형’ 제공자까지 다양한 공격 행위자 역할이 생겨났다. 아울러 공격 행위자는 모든 측면에 능통할 필요도 없게 됐다. 

이전에는 공격 행위자가 전체 공격을 독립적으로 수행해야 했다. 이 작업은 시간이 많이 소요되고, 성공적인 결과를 보장하진 않았다. 슈미트는 “개인과 그룹은 시간이 지남에 따라 틈새 시장을 발견했고, 공격망의 일부를 판매하거나 (구성이 다른) 동일한 멀웨어를 판매하여 수익을 기하급수적으로 늘릴 수 있다는 사실을 깨달았다. 이 모델을 통해 훨씬 적게 일하면서 더 많은 돈을 벌 수 있었다”라고 말했다. 

그는 지하 경제에서 다양한 그룹이 주류 역할을 하게 되면서 자연스러운 경쟁 비즈니스 환경이 형성됐다고 밝혔다. “이러한 시장이 탄탄해지면서 사이버 범죄 활동의 진입장벽이 낮아졌고, 그 결과 기술에 능통하지 않은 행위자도 범죄 활동을 벌일 수 있게 됐다”라고 슈미트는 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.