트렌드마이크로 “52%, 공급망으로 인해 위협받아…공급망 52%, 공격 취약한 중소기업”
피해 기업 67% “고객·파트너에 피해 사실 알리면서 협박하는 다중 갈취 공격받아”
[데이터넷] 공급망이 랜섬웨어 공격의 중요한 통로로 지목됐다. 전 세계 조직의 79%가 공급망 내 파트너·고객으로 인해 랜섬웨어 위협이 심화되고 있다고 여기고 있다. 특히 공급망의 52%가 랜섬웨어에 취약한 중소기업이며, 52%는 공급망으로 인한 위협을 받았다.
이는 트렌드마이크로가 사피오 리서치(Sapio Research)에 의뢰해 5월부터 6월까지 26개국의 IT 의사결정자 3000여명을 대상으로 진행한 설문조사를 분석한 결과로, 공급망 파트너의 보안 취약점으로 인해 랜섬웨어 공격위험에 처할 뿐 아니라, 공격자가 공급망 파트너에게 피해 사실을 알려 피해기업에게 비난이 쏟아지게 하는 피해까지 입힌 것으로 나타났다. 지난 3년간 랜섬웨어 피해를 입은 조직 중 공격자가 고객과 파트너에게 침해 사실을 알리고 협박하면서 몸값을 요구한 사례가 67%를 차지했다.
대부분 기업, 공급망 제대로 파악 못해
보고서에서는 전 세계 사이버 보안 지출이 지난해 60% 증가했으나 여전히 사이버 공격 위협이 높은 상황으로, 73%의 비즈니스 리더는 점점 더 높아지는 보안 리스크를 우려하고 있으며, 43%는 ‘통제불능’이라고 느끼고 있다.
특히 복잡한 공급망으로 인한 위협이 점점 더 높아지고 있는데, 공급망의 한 조직을 감염시키면 이 생태계에 연결된 많은 조직을 한번에 감염시킬 수 있어 공격자의 수익을 극대할 수 있다. 공급망 생태계에 포함된 조직 중 많은 곳이 실제 자사의 공급망 파트너를 제대로 파악하지 못하고 있다. 공급망에는 IT 솔루션 공급업체 뿐 아니라 파트너사, 외부 로펌과 회계사, 건물 유지보수 업체까지 다양한 조직이 엮여있다.
공급망 공격 피해는 대표적으로 IT 관리 솔루션 기업 솔라윈즈와 카세야가 있으며, 지난해 전 세계 웹서버를 위험에 빠뜨린 로그4셸 취약점은 오픈소스 코드 취약점으로 인한 공급망 보안 위협의 위력을 알려준 것이었다.
모든 공급망 취약성이 랜섬웨어로 이어지는 것은 아니지만, 글로벌 조직의 52%는 랜섬웨어로 타격을 입은 공급망 파트너를 보유하고 있어 언제든 랜섬웨어 공격을 당할 수 있다.
기업 87% “경기침체보다 랜섬웨어 더 위험”
공급망은 랜섬웨어 공격자들에게 매우 좋은 공격 수단이 되는데, 복잡한 전체 공급망을 투명하게 가시화하기 어렵기 때문이다. 특히 공급망 공격에 취약한 소프트웨어의 경우, 소프트웨어 개발 시 사용되는 오픈소스 코드 라이브러리에 취약점을 삽입하거나 업데이트 파일, 컨테이너·쿠버네티스 이미지 등에 취약점을 숨겨 정상 소프트웨어로 배포되도록 할 수 있다. 애플리케이션 개발 프로젝트에 평균 49개의 취약점이 포함돼 있다는 분석 결과가 있을 정도다.
IT 공급업체를 이용하는 공급망 공격도 있다. 고객 네트워크에 대한 특권적인 액세스 권한을 가진 IT 공급업체를 이용해 그들의 고객에게 취약점을 배포할 수 있다. 카세야, 그룹먼, 샤이어, 터커스 솔리터스 등이 이러한 공격 피해를 입었다.
랜섬웨어는 데이터를 암호화하고 몸값을 요구할 뿐 아니라 암호화 전 데이터를 탈취하고, 시스템을 장악한 후 파트너와 고객에게 공격 사실을 알리겠다고 협박하는 다중갈취 공격도 진행하고 있다.
랜섬웨어는 전체 데이터 침해 공격의 25%를 차지하며, 이는 전년대비 13% 증가한 것이다. 기업87%는 현재의 경기침체보다 랜섬웨어가 더 위험하다고 생각하고 있으며, 20%는 심각한 랜섬웨어 공격으로 파산까지 이를 뻔했다고 설명했다. 보안에 취약한 재택근무·원격근무로 인해 랜섬웨어 다중갈취 공격이 더 극성을 부리고 있으며, 서비스형 랜섬웨어(RaaS)가 성행하면서 공격에 대한 지식이 없는 범죄자도 쉽게 사이버 공격에 가담할 수 있게 됐다. 그래서 랜섬웨어 관련 비용이 2019년부터 2021년까지 4.5배 증가했고, 신고 건수는 109% 증가했다.
공급망 내 랜섬웨어 정보 공유 안해
최근 랜섬웨어는 ▲랜섬웨어 페이로드(63%) ▲PsExec, 코발트 스트라이크 등 적법 도구 악용(53%) ▲데이터 유출(49%) ▲초기 액세스 (42%) ▲내부망 이동(31%) 등을 이용하지만, 이러한 활동은 초기 탐지율이 매우 낮은 상황이다.
또 IAB(Initial Access Broker)가 취약성 공격, 피싱 공격 또는 RDP 손상을 통해 공격자의 진입 지점을 제공하는 경우가 많으며, 연계된 공격조직이 이러한 활동을 이어가면서 합법적인 도구를 사용해 데이터를 찾고 빼내 측면이동하면서 랜섬웨어 페이로드를 전달한다.
이러한 활동이 피해 조직 내에서만 일어나는 것이 아니라 공급망 파트너에게도 영향을 미치기 때문에 피해를 입거나 침해를 탐지했을 때 공급망 파트너에게 관련 정보를 공유해야 한다. 그런데 이를 공유하는 조직은 47%에 불과했고, 유용한 위협 정보를 공유하지 않는다고 답한 사람이 27%에 달한다.
트렌드마이크로는 공급망으로 인한 위협을 완화하기 위해 공급망의 모든 조직은 기기와 서비스에 대한 최소권한 정책을 구현하고 MFA를 사용해 중요한 정보를 보호하며, 상시 모든 소프트웨어와 시스템의 취약점 점검, 중요 데이터 암호화와 백업, 정기적인 사고 대응 계획 테스트 등이 필요하다고 조언했다. 또한 단일 창에서 공격표면 관리와 통합 및 확장된 위협 탐지와 대응 등의 보안 기술도 필수라고 덧붙였다.
바라트 미스트리(Bharat Mistry) 트렌드마이크로 기술 책임자는 "이번 보고서를 통해 글로벌 조직 반 이상(52%)이 공급망에 대한 랜섬웨어 공격을 겪은 것을 알 수 있다"며 "이는 잠재적으로 조직 자체의 보안 침해로 이어질 수 있음에도 파트너와의 사이버보안을 개선하기 위한 노력은 미미하다. 조직은 확장되는 디지털 공격 접점에 대한 가시성과 제어능력을 강화해 위험에 대비해야한다"고 강조했다.
출처 : 데이터넷(http://www.datanet.co.kr)