데이터 암호화 맬웨어의 "악몽" 확장

베트남 주식시장 상위 3위 기업인 VNDIRECT 시스템을 상대로 지난 3월 24일 오전 발생한 사이버 공격이 기본적으로 해결됐습니다. 이제 데이터가 복호화되었고 내 계정 조회 시스템이 다시 작동하기 시작했습니다.

VNDIRECT는 3월 24일에 발생한 사건이 전문적인 공격 그룹에 의해 수행되었으며, 이로 인해 모든 회사 데이터가 암호화되었다고 보도했습니다. 랜섬웨어 공격은 심각한 결과를 초래할 수 있기 때문에 수년간 전 세계 기업과 조직에 악몽과 같은 일이었습니다. 전문가들은 랜섬웨어를 사이버 공간의 "악몽"과 "유령"에 비유하기도 합니다.

VNDIRECT가 고객 및 파트너에게 발표한 로드맵에 따르면, 운영 부서는 시스템, 제품 및 기타 유틸리티를 점진적으로 다시 개방할 예정입니다. 해당 부대는 3월 28일 증권거래소와 흐름을 점검할 계획이다.

하지만 정보보안 전문가들의 분석에 따르면, VNDIRECT의 기술팀과 전문가들이 취약점을 스캔하고 문제를 철저히 해결하는 데는 아직 많은 시간이 걸릴 것으로 보입니다. 랜섬웨어는 새로운 형태의 사이버 공격은 아니지만 매우 복잡하며, 데이터를 정리하고 시스템을 완전히 복구하고 정상적인 운영을 재개하는 데 많은 시간이 필요합니다.

NCS 기술 이사 부 응옥 손(Vu Ngoc Son)은 "랜섬웨어 공격을 완전히 복구하려면 운영 부서에서 시스템 아키텍처, 특히 백업 시스템을 변경해야 하는 경우가 있습니다. 따라서 VNDIRECT가 직면한 이번 사고의 경우, 시스템이 완전히 복구되려면 더 오랜 시간, 심지어 수개월이 걸릴 것으로 예상합니다." 라고 말했습니다.

Fortinet Vietnam의 기술 이사인 Nguyen Minh Hai 씨는 랜섬웨어 공격 후 시스템을 복구하는 데 필요한 시간은 공격의 심각성, 사전 대비 능력, 대응 계획의 효과에 따라 크게 달라질 수 있다고 말했습니다. 완전히 복구하려면 몇 시간에서 몇 주가 걸릴 수 있으며, 특히 대량의 데이터를 복구해야 하는 경우에는 더욱 그렇습니다.

Nguyen Minh Hai 는 "이 복구 프로세스에는 데이터 암호화 맬웨어가 네트워크에서 완전히 제거되었는지 확인하고 공격자가 다시 액세스할 수 있는 백도어가 남아 있지 않은지 확인하는 작업이 포함됩니다." 라고 말했습니다.

전문가들은 또한 VNDIRECT에 대한 사이버 공격은 베트남의 중요 정보 시스템을 관리하고 운영하는 부대에 "경고"가 되었을 뿐만 아니라 랜섬웨어의 위험 수준을 다시 한번 보여주었다고 언급했습니다.

6년 전, WannaCry와 그 변종 데이터 암호화 맬웨어는 베트남을 포함하여 전 세계 100여 개국과 지역에 있는 30만 대 이상의 컴퓨터로 빠르게 확산되어 많은 기업과 조직이 "어려움"을 겪었습니다.

최근 몇 년 동안 기업들은 랜섬웨어 공격에 대해 늘 우려해 왔습니다. 작년에 베트남의 사이버 공간에서는 심각한 결과를 초래한 랜섬웨어 공격이 많이 기록되었습니다. 어떤 경우 해커는 몸값을 요구하기 위해 데이터를 암호화할 뿐만 아니라, 최대한 많은 돈을 뜯어내기 위해 제3자에게 데이터를 판매하기도 합니다. NCS 통계에 따르면, 2023년에 베트남에서 최대 83,000대의 컴퓨터와 서버가 랜섬웨어의 공격을 받은 것으로 기록되었습니다.

시스템에 침투하는 일반적인 '경로'

VNDIRECT의 기술 팀은 정보 보안 전문가와 협력하여 시스템을 완벽하게 복구하고 안전을 보장하는 솔루션을 구축하고 있습니다. 사고 원인과 해커가 시스템에 침투하는 데 사용한 '경로'는 아직 조사 중입니다.

SCS Smart Network Security Company의 CEO인 응오 투안 안(Ngo Tuan Anh)씨에 따르면, 해커는 데이터 암호화를 공격하기 위해 종종 중요한 데이터가 들어 있는 서버에 침투하여 데이터를 암호화하는 방법을 선택합니다. 해커가 시스템에 침투하는 데 사용하는 일반적인 방법은 두 가지가 있습니다. 서버 시스템의 취약점과 약점을 통해 직접 침투하는 방법입니다. 또는 관리자 컴퓨터를 "우회"하여 시스템을 제어할 수도 있습니다.

VietNamNet 과의 인터뷰에서 VSEC 회사의 정보 보안 모니터링 부서 책임자인 Vu The Hai 씨는 해커가 시스템에 침투하여 맬웨어를 설치할 수 있는 몇 가지 가능성을 지적했습니다. 시스템의 기존 취약성을 악용하여 제어권을 장악하고 맬웨어를 설치하는 것입니다. 악성 파일이 첨부된 이메일을 보내 사용자를 속여 시스템을 열게 하고 악성 코드를 활성화합니다. 유출된 비밀번호나 시스템 사용자의 취약한 비밀번호를 이용해 시스템에 로그인합니다.

전문가 Vu Ngoc Son은 랜섬웨어 공격을 통해 해커가 비밀번호 탐색, 시스템 취약점 악용(주로 제로데이 취약점(제조업체가 아직 패치하지 않은 취약점, PV)) 등 다양한 방법으로 시스템에 침투하는 경우가 많다고 분석했습니다.

금융 회사는 일반적으로 규제 기준을 충족해야 하므로 비밀번호가 노출될 가능성은 거의 없습니다. 가장 가능성이 높은 것은 제로데이 취약점을 이용한 공격입니다. 따라서 해커는 원격으로 오류를 유발하는 데이터 세그먼트를 전송하여 소프트웨어가 처리 과정에서 통제 불능 상태에 빠지도록 합니다.

다음으로, 해커는 원격 코드 실행을 실행하여 서비스 서버를 제어합니다. 전문가 Vu Ngoc Son은 "해커들은 이 서버에서 계속해서 정보를 수집하고, 얻은 관리자 계정을 사용해 네트워크의 다른 서버를 공격하고, 마지막으로 협박을 위한 데이터 암호화 도구를 실행합니다."라고 분석했습니다.

2차시 - 전문가들이 랜섬웨어 공격에 대응하는 방법을 보여줍니다.

4월 15일은 증권회사들이 온라인 증권거래를 제공하는 시스템을 포함한 모든 시스템의 위험과 취약점을 극복하기 위한 정보보안 검토 및 평가를 완료하고 조치를 이행해야 하는 마감일입니다.