섀도우 팬데믹: 랜섬웨어가 기업에 미치는 현재와 미래의 위험

COVID-19와의 지속적인 싸움 속에서 전 세계 정부와 기업은 누구도 면역이 없는 또 다른 바이러스 위협에 직면해 있습니다. 랜섬웨어 공격은 지난 2년 동안 인터폴이 이를 세계적 대유행으로 간주할 정도로 증가했습니다. 2021년 중반에 발표된 긴급 행동 촉구에서 글로벌 보안 조직의 사무총장인 Jurgen Stock은 랜섬웨어 퇴치가 어떤 조직이나 산업도 혼자서 하기에는 너무 큰 작업이 되었다고 말했습니다. 그는 전 세계적인 대응 없이는 랜섬웨어 범죄의 기하급수적인 증가를 억제할 수 없다고 말했습니다.

지난 10월 백악관 국가안보회의(NSC)는 글로벌 가상 사이버보안 정상회의를 소집했고, 30개 참가국은 사이버 방어에 중점을 둔 NATO와 같은 연합체를 구성하기로 약속했다. 그러나 Toptal이 컨설팅한 전문가들은 기업 리더들도 랜섬웨어와의 전쟁에 참여해야 한다고 말합니다.

사이버 보안 연구 및 대테러 분야의 세계적인 리더이자 노스웨스턴 대학교 로베르타 버핏 글로벌 문제 연구소(Roberta Buffett Institute for Global Affairs) 교수이자 교수 펠로우인 VS Subrahmanian은 "이것은 인터폴과 같은 정부와 국제 조직 그 이상이어야 합니다. , Toptal Insights에 알려줍니다. 랜섬웨어 예방은 “대기업을 포함해야 하고, 독립 연구자나 학계 연구자 등 이런 것들을 아주 깊이 생각하는 사람들을 포함해야 한다.”

랜섬웨어 공격은 인터폴이 이제 이를 세계적인 유행병으로 간주할 정도로 확대되었습니다.

랜섬웨어 생태계의 성장을 늦추고 세계 경제를 방어하는 것은 현재와 미래의 기업을 보호할 것입니다. 표준 사이버 보안 체크리스트를 갖춘 회사라도 오늘날의 랜섬웨어 위협에서 자유롭지 못합니다. 그리고 공격에서 벗어날 수 있다고 믿는 기업 리더는 해커에게 돈을 지불한 사람 중 8%만이 모든 데이터를 되찾는다는 사실을 알고 당황할 수 있습니다.

미국 정부 기관, Fortune 500대 기업과 파트너 관계를 맺고 있는 데이터 과학 및 소셜 분석 회사인 SentiMetrix를 공동 설립한 Subrahmanian은 "현재 공격자는 방어를 회피하거나 극복하기 위해 전략을 지속적으로 발전시키고 있습니다. 따라서 이것은 끊임없는 전투입니다."라고 말했습니다. 및 주요 대학. "공격 횟수가 증가하고 모든 기업이 위협을 받고 있습니다."

현재 플레이 상황

2020년 COVID-19 셧다운 동안 원격 작업으로의 갑작스러운 전환과 클라우드 컴퓨팅에 대한 의존도 증가는 많은 회사 네트워크의 약점을 노출시켰고 해커가 조직의 데이터를 잠그고 제거할 수 있도록 하는 악성 소프트웨어 프로그램인 맬웨어에 대한 더 많은 진입 지점을 생성했습니다. 회사의 컴퓨터를 외부 서버에 인질로 잡고 있습니다.

미국 재무부의 금융범죄단속네트워크(FinCen)의 추정에 따르면 미국 조직이 랜섬웨어 공격자에게 지불한 총액은 2019년에서 2021년 6월 사이에 두 배 이상 증가했습니다. 사이버 보안 회사 Palo Alto Networks가 소유한 글로벌 위협 연구 및 멀웨어 분석 그룹인 Unit 42에 따르면 각 피해자에게 요구되는 평균 몸값도 2019년 100만 달러에서 2020년 500만 달러 이상으로 폭발했습니다.

최근 역사상 가장 심각한 공격 중 하나에서 해커들은 2021년 5일 동안 미국 동부 해안 대부분에 대한 휘발유 공급을 강제 종료했습니다. 같은 시기에 시카고에 본사를 둔 거대 보험사인 CNA는 랜섬웨어 공격자들에게 4천만 달러를 지불하여 개별 공격에 대한 새로운 최고 기록을 세웠습니다.

2021년 말, 글로벌 HR 소프트웨어 솔루션 리더인 Ultimate Kronos Group은 공격을 받아 주요 고용주가 직원들에게 급료를 지급할 대체 방법을 찾기 위해 분주하게 움직였습니다. 크리스마스 휴가 2주 전입니다. 요구되는 몸값의 액수는 공개되지 않았지만 UKG가 2021년에 33억 달러의 수입을 보고했다는 점을 고려할 때 막대한 금액일 가능성이 있습니다.

범죄자의 이익이 기하급수적으로 증가함에 따라 전 세계에서 더 많은 기회주의자들이 몰려들고 있습니다. 중국은 사이버 범죄 핫스팟으로 알려져 있습니다. 해커가 활동하는 다른 국가로는 브라질, 폴란드, 이란, 인도, 미국, 러시아 및 우크라이나가 있습니다.

오늘날의 랜섬웨어 공격은 점점 더 무자비해집니다.

랜섬웨어 공격은 매우 간단한 절차를 따르곤 했습니다. “당신은 공격을 받을 것입니다. 일부 파일은 암호화됩니다. 해당 파일을 다시 받으려면 비트코인으로 몸값을 지불해야 합니다.”라고 Subrahmanian은 말합니다. 이러한 유형의 공격은 1980년대 후반에 컴퓨터 바이러스가 플로피 디스크에 배포되어 컴퓨터 잠금을 해제하기 위해 익명의 사서함으로 현금을 보내야 하는 순진한 피해자에게 배포되기 시작했습니다. 글로벌 비즈니스가 온라인으로 이동하면서 계획도 온라인으로 이동했습니다.

수년에 걸쳐 조직은 파일을 외부 하드 드라이브 또는 클라우드 서버에 자주 백업하면 데이터 잠금의 위협을 무력화할 수 있다는 사실을 깨달았습니다. Subrahmanian은 "그래서 랜섬웨어 위협 행위자들은 작전 방식을 변경한 것"이라고 말했습니다. “그들은 공격을 수행할 때 데이터를 암호화하지 않습니다. 그들도 일부를 훔칩니다.”

해커는 도난당한 데이터를 활용하여 공격 중에 최대 4가지 유형의 갈취를 정기적으로 사용합니다. 첫 번째는 피해자의 데이터를 암호화하여 사이버 범죄자가 제어하는 ​​서버로 유출(제거)하는 것입니다. 두 번째는 회사의 평판을 훼손할 수 있는 조직의 독점 비밀 또는 정보를 공개적으로 공개하겠다고 위협하는 것입니다. 세 번째 유형의 갈취에는 조직의 공개 웹사이트를 차단하는 서비스 거부(DOS) 공격 위협이 포함됩니다.

이것은 정말 공격적인 사이버 공격이며 이를 수행하는 사람들은 국민 국가보다 더 많은 힘을 가지고 있습니다. —Austin Dimmer, DevSecOps 전문가

2020년 핀란드에서 25개 정신 건강 클리닉을 운영하는 민간 기업에 대한 최초의 공격으로 새로운 네 번째 유형의 랜섬웨어 갈취(소위 "외부 갈취")가 나타났습니다. 공격자들은 회사가 시스템에 다시 액세스하고 내부 데이터가 공개되는 것을 피하기 위해 돈을 요구했을 뿐만 아니라 범죄자들은 ​​수만 명의 개별 환자를 갈취하여 치료 기록과 치료 기록을 공개적으로 공개하겠다고 위협했습니다. 평균 200유로를 지불합니다.

Austin Dimmer는 Toptal Insights와의 인터뷰에서 "이것은 정말 공격적인 사이버 공격이며 이러한 공격을 수행한 사람들은 현재 국가보다 더 많은 힘을 가지고 있습니다. 유럽 ​​위원회(European Commission), 레고(Lego), 퍼블리시스 월드와이드(Publicis Worldwide)를 위한 보안 네트워크를 구축 및 관리한 DevSecOps(개발, 보안, 운영) 전문가인 Dimmer는 사이버 범죄자들의 작업에서 자신의 몫을 보았습니다. "그들은 단지 무자비하고 자비를 베풀지 않습니다."

복잡한 네트워크는 공격자를 잡기 어렵게 만듭니다.

랜섬웨어 시장의 분산되고 복잡한 특성으로 인해 공격자를 체포하기가 매우 어렵습니다. 단일 공격을 수행하는 사람들의 웹은 멀웨어를 만드는 한 명의 악성 소프트웨어 개발자를 훨씬 뛰어넘습니다. 개발자가 직접 공격을 수행하는 경우는 거의 없습니다. 오히려 그들은 구매 또는 임대를 위해 상품을 다크 웹에 버립니다. 이 시점에서 배포자는 소프트웨어를 배포하고 공격을 수행할 수 있는 권한을 개발자와 계약합니다.

그런 다음 몸값이 지불되면 암호 화폐 자금 세탁 네트워크가 나서 자금을 정리하고 수익을 개발자, 배포자 및 기타 행위자에게 다시 분배합니다.

랜섬웨어 공격자가 발견되어 체포되더라도 피해자에 대한 금전적 배상은 일반적으로 미미합니다. 예를 들어 Colonial Pipeline의 경우 FBI는 암호화폐 거래를 추적하여 지불한 몸값 440만 달러의 절반 정도만 회수할 수 있었습니다.

향후 공격 예측 및 예방

랜섬웨어 공격이 완료된 후 범죄자와 랜섬 자금을 추적할 가망이 거의 없는 Subrahmanian은 예측과 예방에 주력하고 있습니다. 노스웨스턴의 그와 그의 팀은 현재 데이터가 손상되기 전에 미래의 랜섬웨어 공격 유형과 시기를 예측할 수 있는 예측 시스템을 개발하고 있습니다.

그의 소프트웨어는 인공 지능을 사용하여 다크 웹 및 소셜 미디어의 통신 및 추세를 추적하여 개발 중인 새로운 맬웨어를 식별하고 잠재적 배포자에게 언제 홍보되는지 기록합니다.

Subrahmanian은 해커가 시스템에 침투하려는 시기뿐만 아니라 방법을 정확히 찾아내는 것을 목표로 합니다. 그의 초기 발견에 따르면 보안 체크리스트와 컨설턴트에 의해 식별된 수천 개의 가능한 취약점 중 해커는 취약점의 9.3%만 목표로 삼았습니다. 이는 조직이 잘못된 보호에 IT 보안 노력의 90%를 낭비할 수 있음을 의미합니다.

전 세계에 퍼져 있는 익명의 해킹 그룹 및 개인의 활동을 예측하는 것은 거의 불가능하지만 사이버 범죄에 연결되어 있는 것으로 표시된 전체 통신을 모니터링하는 것은 위협 영역이 증가하고 있음을 나타낼 수 있습니다. 추세를 예측하기 위해 금융 시장의 흐름을 관찰하는 것과 마찬가지로 Subrahmanian은 광범위한 랜섬웨어 활동 시장을 관찰하는 것이 연구자들이 새로운 맬웨어와 잠재적 표적을 인식하는 데 도움이 되어 조직이 사전 조치를 취할 수 있기를 바랍니다.

민간 부문이 사이버 범죄 퇴치를 도울 수 있는 혁신적인 방법

Subrahmanian의 팀이 만들려고 하는 종류의 신뢰할 수 있는 예측이 없다면 최전선은 여전히 ​​조직이 운영하기 힘든 곳입니다. 그러나 이 네 가지 전략은 회사 리더가 지금 당장 반격하는 데 도움이 될 수 있습니다.

랜섬웨어 공격자의 이익 감소

랜섬웨어 공격이 계속해서 사이버 범죄자들에게 막대한 급여를 제공한다면 Dimmer는 대부분의 정부 및 법 집행 노력이 실패할 것이라고 믿습니다. 그는 특히 해커가 기반으로 하는 일부 국가에서는 이와 같은 다른 경제적 기회가 존재하지 않을 수 있다는 점을 고려하면 이익을 위한 기회가 너무 많다고 설명합니다.

이러한 경제적 동인을 약화시키기 위해 기업은 몸값 지불에 대한 내부 규칙을 채택하고 몸값 지불을 불법으로 만드는 법안을 지원해야 한다고 Subrahmanian과 Toptal의 CTO인 Ismael Peinado는 말합니다. “왜 우리가 이러한 공격을 받는지 생각해 보십시오. 공격자가 돈을 받고 있기 때문입니다. 그리고 왜 악화되고 있습니까? 그들은 계속해서 돈을 벌고 있기 때문입니다.”라고 Peinado는 말합니다. “은행에 들어가 인질로 삼는 사람들에게 몸값을 지불하지 않는 이유는 무엇입니까? 같은 이유로."

랜섬웨어 피해자가 취한 행동을 범죄화하는 것이 논란의 여지가 있을 수 있지만, Subrahmanian은 사이버 범죄자에게 데이터를 구하기 위해 비용을 지불하는 회사가 공격자가 국제 제재를 받는 국가 출신이거나 테러를 후원하는 조직과 제휴한 경우 이미 국제법을 위반할 수 있다고 지적합니다. 랜섬웨어에 대한 암호 화폐 지불 대상 국가를 추적한 해커에 대한 암호 화폐 지불에 대한 보고서에 따르면 지불의 최소 15%가 국제법을 위반하여 금지된 단체의 손에 넘어간 것으로 나타났습니다.

게다가 지불한다고 해서 해커가 거래를 끝까지 유지하는 것은 아닙니다. 사이버 보안 회사 Sophos가 전 세계 5,000명 이상의 IT 리더를 대상으로 한 최근 설문 조사에 따르면 비용을 지불한 조직은 평균적으로 데이터의 65%만 돌려받았습니다. 피해자의 8%만이 모든 파일을 복구할 수 있었습니다.

체크리스트 및 외부 감사 대신 SecOps에 집중

회사를 보호하려는 기술 리더는 보안 모범 사례 체크리스트를 사용하고, 최신 보안 소프트웨어에 투자하고, 값비싼 보안 감사자를 고용하여 네트워크 취약성을 테스트하는 경우가 많습니다. 불행히도 정부 기관, 신생 기업, 대규모 고성장 기업과 협력한 경험이 20년인 글로벌 사이버 보안 리더인 Peinado는 이는 잘못된 접근 방식이라고 말합니다.

체크리스트와 인증을 쫓고 단순한 규정 준수에 집중하면 기관의 IT 리소스를 소모하는 동시에 기업 경영진 사이에 잘못된 보안 의식을 조성할 수 있습니다. 그는 시스템에 대한 추가 진입 지점과 클라우드 컴퓨팅에 대한 의존으로 인해 네트워크에 대한 액세스 권한을 얻는 것이 더 이상 예전만큼 어렵지 않다고 말합니다. 그러나 보안 회사는 해커의 표적이 될 수 없는 네트워크의 취약점을 확인하는 데 여전히 수많은 시간을 소비합니다. “결국 그들은 진짜 해커가 하는 일에 초점을 잃습니다. 즉, 집에 침입할 수 있는 한 길을 확보하면 침입할 다른 방법을 찾는 것뿐입니다.”라고 그는 말합니다.

대신 Peinado는 기술 리더가 보안을 엔지니어링 운영에 직접 통합하고 지속적인 테스트 및 패치 주기를 제거할 것을 권장합니다. DevSecOps 또는 SecOps라고 하는 이러한 유형의 보안 작업은 보안을 회사의 소프트웨어 개발 작업에 직접 통합하고 새로운 위협에 민첩하게 대응할 수 있는 환경을 조성합니다.

예를 들어, 회사 웹사이트의 새로운 기능이나 기능이 만들어지고 공개적으로 출시되면 해커를 위한 새로운 취약점이 나타납니다. 기존 작업 주기에서 개발자는 사일로에서 새 웹 사이트의 기능을 만든 다음 내부(때로는 외부) 보안 전문가의 테스트를 위해 제출했습니다. 그런 다음 보안이 패치되고 사실 이후에 발견된 취약점이 덮어씌워집니다.

SecOps 환경에서 사이트 또는 기능을 구축하는 엔지니어와 개발자는 보안 엔지니어와 나란히 앉아 제품이 개발될 때 적절한 수준의 보안이 통합되도록 합니다. Peinado는 이러한 통합 접근 방식을 통해 SecOps 개발자는 기존 절차에서는 불가능했던 방식으로 더 잘 인식하고 책임감을 갖게 된다고 말합니다.

우발적 사이버 보안 인재 활용

Toptal의 개발자 인재 네트워크의 일부로 클라이언트와 함께 일하는 Dimmer는 SecOps 관점을 클라이언트 프로세스에 도입하려고 할 때 종종 내부 IT 팀의 기술 격차로 인해 혼합된 반응을 받는다고 말합니다. 당신은 그들을 더 안전하게 만듭니다. 성공이란 올바른 시스템을 갖추는 것뿐만 아니라 이를 사용할 훈련된 직원을 보유하는 것을 의미한다고 그는 말합니다.

보안 엔지니어와 같은 고가치 기술 역할을 고용하는 것은 기업의 골칫거리입니다. TechBeacon의 보안 운영 현황 보고서에 대해 설문 조사에 응한 조직 10곳 중 거의 1곳은 숙련된 인재 부족이 2021년의 1위 사이버 보안 과제라고 밝혔고, 거의 30%는 이를 3대 장애물 중 하나로 꼽았습니다.

최고의 기술 인재는 Toptal과 같은 임시 네트워크를 통해 고용되어 이러한 격차를 메울 수 있습니다. Dimmer와 같은 트렌치 개발자 및 기술 리더는 수십 년 동안 수요가 많았지만 사이버 보안 작업자가 크게 부족하기 때문에 지금은 더욱 그렇습니다. 정보 시스템 보안 협회(Information Systems Security Association)는 2019년 업계 전문가의 격차를 400만 명으로 추산했으며 2021년 IT 리더를 대상으로 한 설문 조사에 따르면 그 이후 격차가 더 벌어졌습니다.

일부 기업 리더는 SecOps의 참호에 프리랜서를 포함시키는 것과 같이 가장 민감한 보안 프로젝트에 외부 인재를 사용하는 것을 주저할 수 있습니다. 그러나 보안 운영의 일부를 외부 인재에게 아웃소싱하는 것은 사실 이미 일반적인 일입니다. TechBeacon이 설문 조사한 조직의 절반 이상이 사이버 보안 기능을 해결하기 위해 내부 및 외부 리소스를 함께 사용한다고 보고했습니다.

사이버 범죄 퇴치의 미래

지금까지 Subrahmanian의 조기 경보 AI 소프트웨어는 실험 모델에서 랜섬웨어 공격을 예측하는 데 70% 효과적인 것으로 입증되었다고 그는 말합니다. 테스트가 계속해서 잘 진행된다면 그는 2022년 중반부터 실제 공격에 대한 예측을 발표하기를 희망합니다.

그의 연구는 또한 소프트웨어의 취약점이 식별되는 시점과 소프트웨어 패치 및 보안 업데이트가 대중에게 널리 제공되는 시점 사이의 격차에 초점을 맞추고 있습니다. 이 연구의 초기 결과에 따르면 맬웨어 공격의 거의 절반이 평균 약 132일 동안 지속되는 이 기간 동안 발생합니다. 이러한 장기간의 취약성으로 인해 효과적인 예측 모델을 추구하는 것이 새로운 위협이 시작될 때 해커를 차단하는 데 더욱 중요합니다.

그 사이 빅테크가 나서고 있다. Google은 소프트웨어 공급망을 보호하고 모든 내부 및 외부 사용자를 지속적으로 인증해야 하는 보안 프레임워크인 제로 트러스트 시스템의 사용을 확대하기 위해 향후 5년 동안 100억 달러를 지출하기로 약속했습니다. Microsoft는 미국의 지방 정부가 방어 체계를 업그레이드할 수 있도록 1억 5천만 달러의 기술 서비스를 제공하고 있습니다. 그리고 Amazon은 직원들에게 일반에게 제공하는 것과 동일한 보안 인식 교육을 제공하기 시작하고 모든 Amazon Web Services(AWS) 클라이언트에 대해 2단계 인증을 무료로 제공하기로 약속했습니다.

끊임없이 진화하는 위협으로서 랜섬웨어와 싸우려면 지구촌이 필요하며 크고 작은 기업이 이에 동참해야 한다고 Subrahmanian은 말합니다.

관련 항목: SecOps 인재를 위한 Toptal의 개발자 기술 디렉토리 찾아보기