올 상반기 랜섬웨어 감염뿐 아니라 내부 정보도 유출하는 등 타깃형 랜섬웨어 공격이 다수 발견된 것으로 나타났다.
16일 안랩(대표 강석균)은 이같은 내용이 포함된 '2021년 상반기 주요 보안위협 트렌드 톱 5'를 발표했다.
사이버 공격자들은 기업·기관에 침입해 정보 유출과 랜섬웨어 감염을 동시에 진행하고, 이후 피해 조직이 금전을 지불하지 않으면 유출한 정보를 공개하겠다며 이중 협박을 가했다. 해당 사례 중에는 랜섬웨어 제작에서 유포까지 도와주는 서비스형 랜섬웨어(RaaS) 방식으로 유포된 경우도 다수 확인됐다.
조직 인프라 솔루션을 악용한 공격도 지속됐다. 특정 침투 테스트 도구의 해킹 버전을 이용한 액티브 디렉토리(AD) 서버 탈취 시도와 최근 IT 보안관리 솔루션 '카세야 VSA' 취약점을 악용한 랜섬웨어 유포까지 조직의 인프라 솔루션이나 공급망을 악용하는 공격이 이어졌다. 이외에도 원격·재택근무 환경에 자주 활용되는 가상사설망(VPN) 솔루션의 취약점을 악용한 공격도 다수 탐지됐다.
또 올 상반기 업무 메일로 위장한 폼북, 에이전트테슬라 등의 정보유출형 악성코드도 유포됐다. 안랩 시큐리티대응센터(ASEC)에 따르면, 해당 악성코드 대다수가 송장, 발주서, 주문서 등을 사칭한 메일의 첨부파일 혹은 메일 본문의 악성URL 실행을 유도하는 식으로 유포됐다. 신뢰도가 높은 실존 기업을 사칭하거나 어색한 표현 없이 자연스러운 한글을 구사하는 사례도 있었다는 설명이다.
사회적 관심이 높은 이슈를 악용한 공격도 주요 이슈로 꼽혔다. 실제로 '신종 코로나바이러스 감염증(코로나19) 확진자 동선', '재난 지원금', '소상공인 지원 종합안내' 등 코로나19와 관련된 키워드를 포함한 공격이 다수 발견됐다. '한미 정상회담' 등 특정 그룹에서 관심을 가질만한 사회적 이슈를 악용한 공격이 발견되기도 했다.
아울러 상반기에는 특정 국가의 지원을 받는 것으로 추정되는 해킹그룹 활동에 대한 보고서가 국내외에서 다수 발표됐다. 보고서에 따르면 이들의 해킹 활동은 특정 분야에 국한되지 않고 정치·사회·경제·문화·방산·의료·암호화폐 등 각종 분야에서 발생했다. 국내외 제약 회사를 대상으로 사이버 공격 시도가 발생하기도 했다.
안랩 측은 "인터넷 익스플로러(IE), 크롬 등 웹 브라우저 취약점뿐 아니라 국내 웹 브라우저와 연동돼 실행되는 프로그램 취약점을 악용하거나 국내 유명 포털을 사칭한 피싱 사이트를 제작하는 등 공격 방식이 점차 고도화되고 있다"고 강조했다.
한창규 안랩 시큐리티대응센터(ASEC) 센터장은 "공격자는 사이버 공격의 전 과정에서 시스템 취약점부터 사용자까지 가장 '약한 고리'를 노리고 있다"며 "점차 정교해지는 보안 위협으로 인한 피해를 최소화 하기 위해서는 기관·기업, 사용자 등 모든 주체의 대응 방안 준비와 보안수칙 준수가 필수"라고 말했다.