사이버안전센터 운영

중소기업 침해사고 피해지원서비스 동향보고서 (2024년 3분기)
제목 중소기업 침해사고 피해지원서비스 동향보고서 (2024년 3분기)
작성자 사이버보안팀 등록일 2024-12-31 조회수 107
내용

분기별 침해사고 신고 통계

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C4.png

랜섬웨어 LockBit의 다크웹 데이터 유출 사이트(출처 : KISA) 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C5.png

2024년 3분기 중소기업 침해사고 통계 


2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 가장 많이 발생한 침해사고 유형은 해킹 경유지이며, 이어서 랜섬웨어, 포털사이트 피싱, 웹페이지변조 순으로 접수되었습니다.


그중 랜섬웨어 사고의 비율이 1분기 12.3%, 2분기 14.3%, 3분기 19.6%로 꾸준히 증가하고 있으며, 2분기 대비 5.2% 증가율을 보입니다. 개인정보유출과 악성 사이트유도 유형도 상승 폭이 컸으나, 랜섬웨어는 전체 사고 유형 중에서 꾸준히 높은 비중을 차지했으며, 3분기에는 가장 많은 비중을 차지했습니다. 


반면, 해킹경유지는 1분기 뿐만 아니라 전체 사고 유형중에서도 가장 많이 발생하였으나, 지속적으로 감소하는 추세를 보이고 있습니다.

BitLocker의 랜섬 노트(출처: 블리핑컴퓨터) 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C6.png
Mallox 랜섬웨어의 공격자와 피해자가 협상하기 위한 웹사이트 

(출처: 팔로알토 네트웍스)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C7.png

2024년 주요 랜섬웨어 유형  


랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화된 공격 방식을 채택하는 등 점점 정교해지고 있습니다. 


과거에는 특정 기업이나 조직을 목표로 한 제한적인 공격이 주를 이루었으나, 현재는 공격대상이 광범위해지고 공격 기법 또한 다양해진 상황입니다. 


특히, Ransomware-as-a-Service (RaaS) 모델의 등장으로 누구나 랜섬웨어를 쉽게 배포할 수 있고, 다운받아서 사용할 수 있게 되었으며, 이를 통해서 공격이 더욱 조직적이고 빠르게 확산되고 있습니다. 


최근 랜섬웨어 공격은 파일 암호화 뿐 아니라, 기업의 핵심 시스템 마비, 백업 데이터 삭제 등 다양한 방법으로 지속적인 피해를 유발하고 있습니다. 2024년 KISA의 중소기업 침해사고 피해 지원 서비스에 접수된 사고 중 가장 많이 이용되는 랜섬웨어 유형으로는 Phobos, LockBit, BitLocker, Mallox 순으로 확인되었습니다.

 Phobos 랜섬웨어의 랜섬 노트 예시 (출처: CISCO Talos 블로그)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C10.png
 

Phobos


Phobos 랜섬웨어는 서비스형 랜섬웨어(RaaS,, Ransomware-as-a-Service) 로 2017년 10월 처음 발견됐습니다. 이 랜섬웨어에 감염되면 파일들이 “파일명. 기존확장자.id[감염 PC의 VSN-고정 4자리 숫자].[공격자 메일주소].랜섬웨어 확장자” 와 같이 암호화됩니다. 암호화에 사용되는 알고리즘은 대칭키 암호화 알고리 즘인 AES 알고리즘입니다. 


Phobos가 감염을 시작하면, 지속성 유지를 위해 LOCALAPPDATA 경로에 악성 코드를 복사하고, Run키에 등록해 재부팅 이후에도 재실행 될 수 있도록 하며, 이 미 Phobos의 확장자나 다른 랜섬웨어의 확장자로 암호화 되어있는 경우나 특정 언어환경에선 암호화를 수행하지 않고 있습니다. 또한, Phobos는 방화벽을 비활 성화 하고, 복구 방지를 위해 볼륨의 셰도우 복사본을 삭제해 차단을 방지하고 복 구를 방해합니다. 


Phobos는 피싱 메일이나 외부에 노출된 보안이 취약한 RDP 서비스를 대상으로 공격하여 하여 유포되는 특징을 가지고 있으며, 사용자의 수동 조작으로 실행되는 특성을 가지고 있습니다. 또한, 다양한 변종으로 발전하고 있어 주의가 필요한 랜 섬웨어입니다.

결론


2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 주목해야 할 사고 유형은 랜섬웨어에 의한 사고입니다. 랜섬웨어에 의한 사고는 분기마다 지속적으로 증가하고 있으며, Phobos, LockBit, BitLocker, Mallox 순으로 사고가 자주 발생하고 있습니다. 이중 Phobos 랜섬웨어는 많은 변종을 가지고 있으며, 서비스형 랜섬웨어로 이를 구매한 공격자가 목표에 맞게 특성화 하여 공격을 수행할 수 있는 특징을 가지고 있어 주의가 필요합니다.  


랜섬웨어 예방 방안


• 운영체제 및 소프트웨어 업데이트


• 백신 소프트웨어 사용 및 최신 버전 유지


• 취약점 관리 및 패치


• 스팸 메일 차단


• 망 분리 및 접근 통제 강화


• 안전한 브라우저 사용


• 관리자 계정 암호 설정 강화


• PC내 중요 자료 정기적 백업 및 주기적인 볼륨 스냅샷 관리


• 스냅샷 보호를 위한 보안 솔루션 적용

중소기업 랜섬웨어 대응 지원(출처 : KISA)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C9.png 

이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다
이전 글&다음 글
이전 글 Grafana 취약점 노출 현황
다음 글 다음글이 없습니다.


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.5점 / 31명 참여