RaaS(Ransomware as a Service)는 범죄 조직을 위한 비즈니스 모델로, 랜섬웨어 제작자가 제휴사라고 하는 다른 범죄자에게 랜섬웨어를 임대하거나 판매하고, 그들이 수집한 랜섬웨어 보상의 일정 비율을 대가로 받습니다. RaaS를 사용하면 자체 랜섬웨어를 구축할 수 있는 기술이나 리소스가 없는 사이버 범죄자도 매우 치명적인 공격을 수행할 수 있습니다.
'Sodinokibi'라고도 하는 REvil은 RaaS(Ransomware as a Service) 운영을 매우 성공적으로 수행한 적이 있는 러시아어를 사용하거나 러시아를 중심으로 활동하는 사이버 범죄 그룹입니다. REvil 은 Resident Evil 미디어 프랜차이즈에서 영감을 받은 'Ransomware Evil'의 줄임말입니다. 이 그룹은 GandCrab이라는 이전 랜섬웨어 갱단의 분파로 추정됩니다. REvil/Sodinokibi 랜섬웨어는 탐지하기 어렵고 매우 교묘하기 때문에 매우 강력하고 위험한 종류의 사이버 공격입니다. REvil 랜섬웨어는 육류 가공 회사 JBS, 석유 회사 Colonial Pipeline, 소프트웨어 회사 Kaseya, 기술 대기업 Apple의 공급업체를 포함한 대기업을 대상으로 여러 차례 주요 랜섬웨어 공격의 배후로 지목되고 있습니다. REvil 랜섬웨어 그룹은 2019년부터 2022년 1월까지 활동하다가 법 집행기관에 의해 해체되었습니다. REvil이 사라졌음에도 불구하고 RaaS 비즈니스 모델 개발에 끼친 영향은 전 세계 정부와 기업에 여전히 심각한 위협으로 남아 있습니다.
REvil 랜섬웨어는 어떻게 작동했을까요?
다른 형태의 랜섬웨어와 마찬가지로 REvil 공격은 다양한 기술을 사용해 기업의 IT 시스템에 침투했습니다. REvil을 사용하는 해커들은 하드웨어 및 소프트웨어의 제로데이 취약점, 원격 데스크톱 프로토콜(RDP) 서버 유출, 사용자를 속여 디바이스에 멀웨어를 다운로드하도록 하는 피싱 이메일에 의존했습니다. REvil 멀웨어가 다운로드되면 서버와 디바이스의 파일을 암호화해 랜섬 요구가 충족될 때까지 사용자가 비즈니스 크리티컬 데이터에 접속하지 못하게 했습니다. 랜섬 메시지는 일반적으로 암호 해독 키를 받는 대가로 비트코인으로 돈을 지불할 것을 요구합니다. 다른 종류의 랜섬웨어와 달리 REvil은 이중 갈취를 수행해 민감한 데이터를 암호화하기 전에 유출하고, 랜섬을 지불하지 않으면 도난당한 데이터를 'Happy Blog' 사이트에 게시하거나 경매하겠다고 위협했습니다.
REvil은 서비스로서 어떻게 운영될까요?
REvil을 만든 사이버 범죄 집단은 랜섬웨어를 배포하고 공격을 수행하기 위해 '제휴사'라고 하는 다른 사이버 범죄자에 의존했으며, 원래 범죄 집단은 불법 수익의 20~30%를 받았습니다.
REvil은 어떻게 중단되었을까요?
2021년부터 러시아 당국, FBI, 민간 사이버 보안 기업의 노력으로 REvil 그룹의 운영과 평판에 타격을 입힐 수 있었습니다.
- 2021년 7월: REvil 웹사이트와 인프라는 러시아 당국의 조치로 인해 인터넷에서 사라졌습니다. FBI는 일부 피해자가 암호 해독 키를 사용해 파일을 복구하도록 지원할 수 있었습니다.
- 2021년 9월: 루마니아 사이버 보안 기업이 REvil/Sodinokibi 랜섬웨어를 위한 무료 범용 복호화 유틸리티를 공개했습니다. 멀웨어 연구원들은 REvil 멀웨어에 내장된 백도어를 발견했습니다. 이 백도어는 갱단의 원조 멤버들이 REvil 제휴사로부터 랜섬웨어 지불금을 가로채도록 함으로써 REvil에 대한 제휴사들의 신뢰가 약화되었습니다.
- 2021년 10월: REvil 서버가 해킹되어 강제로 오프라인 상태가 되었습니다.
- 2021년 11월: 미국 법무부의 기소로 인해 우크라이나 및 러시아 공격자가 체포되었으며, 이들은 여러 피해자를 대상으로 랜섬웨어 공격을 수행한 혐의로 기소되었습니다. 우크라이나 경찰청은 랜섬웨어 지불과 관련된 600만 달러 이상을 압수했습니다.
- 2022년 1월: 러시아 연방보안국은 REvil이 해체되고 조직원들이 기소되었다고 보고했습니다.
REvil은 여전히 위협적일까요?
REvil 사이버 범죄 그룹의 다른 구성원이 여전히 운영 중인지 여부와 관계없이, REvil 멀웨어와 RaaS 제품으로 만든 모델은 다른 종류의 랜섬웨어 위협으로 재등장할 가능성이 높습니다.
REvil 랜섬웨어 공격은 어떻게 방지할 수 있나요?
다른 종류의 사이버 범죄 및 랜섬웨어 공격을 방지하는 데 사용되는 것과 동일한 사이버 보안 방법과 제어 기능을 REvil 공격에도 효과적으로 사용할 수 있습니다.
- 보안 정책을 중앙에서 관리합니다. 한 위치에서 정책을 관리하면 보안팀은 사용자가 로컬 폴더에서 실행 파일을 시작하지 못하도록 하거나 Microsoft Office에서 매크로를 비활성화하는 등의 조치를 취할 수 있습니다. 이는 REvil 공격을 차단하는 중요한 두 가지 단계입니다.
- 제로 트러스트 접근 방식을 도입합니다. 제로 트러스트 보안 접근 방식은 누구도, 어떤 시스템도 본질적으로 신뢰할 수 없거나 IT 자산에 대한 접속 권한을 부여해서는 안 된다는 전제 하에, 멀웨어와 공격자가 네트워크의 추가 부분을 암호화하거나 감염시키기 위해 측면 이동하는 것을 방지함으로써 랜섬웨어 공격의 '영향 범위'를 제한합니다.
- 네트워크 및 IT 자산을 세그멘테이션합니다. 소프트웨어 정의 마이크로세그멘테이션은 개별 자산과 네트워크의 일부를 격리해 공격자가 측면 이동하는 것을 방지합니다.
- 안티바이러스 및 안티멀웨어 솔루션을 구축합니다. 이러한 기술은 이메일 네트워크 트래픽을 모니터링해 실행 파일이나 바이러스를 필터링함으로써 도움이 될 수 있습니다. 최신 안티바이러스 솔루션은 많은 랜섬웨어 위협이 피해를 입히기 전에 무력화할 수 있습니다.
- 보안 인식 교육을 실시합니다. 랜섬웨어 공격에서는 사람의 실수가 중요한 역할을 하는 경우가 많습니다. 랜섬웨어, 피싱 이메일, 최적의 보안 위생을 위한 모범 사례에 대한 인식 제고 프로그램을 모두 직원 교육에 활용해야 합니다.
- 데이터를 암호화합니다. 파일을 암호화하면 REvil과 같은 랜섬웨어 공격이 민감한 데이터를 훔쳐 노출시킬 수 없습니다.
- 강력한 ID 및 접속 제어를 배포합니다. 강력한 암호와 멀티팩터 인증을 사용하여 데이터에 접속하거나 수정할 수 있는 사용자를 제한합니다.
- 백업을 자주 수행합니다. 파일을 정기적으로 백업하고 네트워크와 분리된 스토리지에 보관하면 랜섬을 지불하거나 파일을 영구적으로 잃지 않고도 랜섬웨어 감염으로부터 신속하게 복구할 수 있습니다.
- 하드웨어와 소프트웨어를 자주 업데이트하고 패치합니다. 업데이트 및 패치 설치 주기를 정기적으로 설정하면 공격자가 시스템에 접속하는 데 사용하는 취약점을 해결하는 데 도움이 될 수 있습니다.
자주 묻는 질문(FAQ)
랜섬웨어는 사이버 범죄자가 파일을 암호화하고 개인 또는 기업이 중요한 애플리케이션과 시스템을 사용하지 못하도록 하기 위해 이용하는 악성 소프트웨어 또는 멀웨어의 한 종류입니다. 피해자가 데이터에 다시 접속하려면 랜섬을 지불해야 합니다. REvil, BlackCat 랜섬웨어, WannaCry 랜섬웨어와 같은 변종은 역사상 가장 주목할 만한 사이버 공격의 일부를 일으켰습니다.
사이버 범죄자들은 다양한 기법을 사용해 IT 시스템에 진입하고 랜섬웨어를 도입합니다. 소셜 엔지니어링 공격은 피싱 이메일이나 가짜 웹사이트를 사용해 사용자를 속여 감염된 파일을 머신에 다운로드하도록 합니다. 제로데이 공격은 애플리케이션과 API에서 이전에 알려지지 않은 취약점을 악용합니다. 공격자는 도난당했거나 감염된 인증정보를 사용해 사용자 계정에 접속하거나 Meris 봇넷과 같은 봇넷을 사용해 멀웨어를 확산시킬 수도 있습니다.
보안 인증을 통해 기업은 최고 수준의 사이버 보안을 제공하도록 설계된 관행, 프로그램, 기술을 도입했다는 사실을 고객과 규제 기관에 증명할 수 있습니다. 예를 들어, ISO 27001 인증은 기업이 보안 위협 탐지 조치를 통합하기 위해 리스크 기반 프로세스를 식별했음을 나타냅니다. PCI DSS(Payment Card Industry Digital Security Standard)는 기업이 신용카드 정보를 수락, 처리, 저장, 전송할 때 준수해야 하는 단계를 설명합니다. 미국 국방부 영향 수준 5(IL5) 인증은 클라우드 서비스 기업이 특정 유형의 매우 중요한 정보를 저장하고 처리하는 데 필요한 엄격한 물리적, 논리적, 암호화 격리 제어를 준수하고 있음을 의미합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 모든 곳에서 기업 데이터와 애플리케이션을 보호하는 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 자신감 있게 비즈니스를 성장시키는 데 필요한 업계 최고 수준의 안정성, 확장성, 전문성을 제공하는 Akamai를 신뢰합니다.