북한의 랜섬웨어 공격, 블랙슈트가 글로벌 기업들에 경고하는 이유

최근 북한의 사이버 공격과 관련하여, 블랙슈트 그룹의 무차별적인 랜섬웨어 공격이 글로벌 기업들에 심각한 피해를 초래하고 있다는 경고가 제기됐다. 특정 사례로, A사 제조업체의 시스템 관리자가 자신의 구글 ID와 비밀번호를 활용하여 SSL VPN 계정을 설정하는 과정에서 발생한 해킹 사건이 언급되었다. 해당 관리자는 무심코 열어본 이메일 첨부 파일로 인해 회사의 주요 연구개발 데이터가 암호화되었고, 공격자는 이를 복호화하려면 연락하라는 요구 메시지를 남겼다.

랜섬웨어 공격의 전형적인 시작점은 다수의 계정 정보 탈취 후 무작위로 시스템에 접근하는 '크리덴셜 스터핑' 기술로 분석된다. 한국인터넷진흥원(KISA)의 세미나에서도 많은 사례가 소개되었으며, 경찰청의 사이버테러수사대에서 피싱 공격의 경로와 랜섬웨어의 실행 방식이 상세히 설명되었다. 남우환 수사관은 이 과정에서 SSL VPN을 통해 내부 네트워크에 침투하고, 이후 해당 네트워크 내에서 정보 수집이 가능해진다고 강조했다.

또한, 블랙슈트란 해킹 집단은 올해 4월 등장한 보안 위협으로, 러시아의 콘티와 로얄 랜섬웨어에서 파생한 것으로 추정된다. 주요 피해 사례로는 미국의 자동차 소프트웨어 공급업체 CDK 글로벌과 일본의 미디어 기업 카도카와, 미국 소프트웨어 업체 코넥셔 등을 들 수 있다. 이들은 모두 블랙슈트의 공격으로 인해 중대한 피해를 입었다.

블랙슈트는 공격을 통해 단말 보호 플랫폼 및 백신 프로그램을 삭제하여 탐지를 피하는 방식으로 공략한다. 따라서 전문가들은 이러한 악성코드로부터 보호하기 위해 특히 이메일 첨부 파일을 통해 유입될 수 있는 위험에 주의를 기울여야 한다고 경고하고 있다. 이와 관련해 블루데이타시스템즈의 장호민 리더는 비밀번호가 설정된 알집 파일은 백신 프로그램으로 필터링되지 않기 때문에 주의가 필요하다고 덧붙였다.

피해를 최소화하기 위해서는 정기적으로 오프라인 환경에 데이터를 백업해 두는 것이 가장 효과적이다. 온라인에서 백업 시스템을 운영할 경우, 랜섬웨어에 의해 해당 데이터까지 위협받을 수 있다. 따라서 관리자는 로그인 정보 관리에 주의를 기울이고, 사이트별로 비밀번호를 다르게 설정하며, 브라우저의 자동완성 기능을 해제하여 보안을 강화할 필요가 있다.

사이버 보안 전문가들은 랜섬웨어와 관련된 위협이 계속해서 진화하고 있으므로, 기업들이 반드시 최신 보안 기술을 적용하고, 직원들에게 관련 교육을 실시할 것을 강조하고 있다. 이러한 노력이 공격을 예방하고, 피해를 최소화하는 데 기여할 수 있을 것이다.

│

이 포스트는 피시아(PHYSIA) 사에서 운영하는 게임투비즈(GameToBiz) R&D 블로그에서 작성되었으며, 공공의 이익에 기여하는 목적을 제외한 다른 용도의 무단 배포 및 수정을 금합니다. 참조 - 피시아(PHYSIA), 게임투비즈(GameToBiz), 게임메이커.KR, 게임S/W에이전시, 저널CTL코리아