데이터 암호화 맬웨어의 "악몽" 확장

베트남 주식시장 상위 3위 기업인 VNDIRECT 시스템에 대한 사이버 공격이 3월 24일 오전에 발생했으나, 현재는 기본적으로 해결되었습니다. 이제 데이터가 복호화되었고 내 계정 조회 시스템이 다시 작동하기 시작했습니다.

VNDIRECT는 3월 24일에 발생한 사건은 전문적인 공격 그룹에 의해 수행되었으며, 이로 인해 모든 회사 데이터가 암호화되었다고 보도했습니다. 랜섬웨어 공격은 심각한 결과를 초래할 수 있기 때문에 수년간 전 세계의 기업과 조직에 악몽과도 같은 일이었습니다. 전문가들은 랜섬웨어를 사이버 공간의 "악몽"과 "유령"에 비유하기도 합니다.

VNDIRECT가 고객 및 파트너에게 발표한 로드맵에 따르면, 운영 부서는 시스템, 제품 및 기타 유틸리티를 점진적으로 다시 개방할 예정입니다. 해당 부대는 3월 28일 증권거래소에서 흐름을 확인할 계획이다.

하지만 정보보안 전문가들의 분석을 보면 VNDIRECT의 기술팀과 전문가들이 취약점을 스캔하고 문제를 철저히 해결하기 위해 노력하는 힘든 시기가 아직 멀었다는 것을 알 수 있습니다. 랜섬웨어는 새로운 형태의 사이버 공격은 아니지만 매우 복잡하여 데이터를 정리하고 시스템을 완전히 복구하고 정상적인 운영을 다시 시작하는 데 많은 시간이 필요합니다.

"랜섬웨어 공격을 완전히 복구하려면 운영 부서가 시스템 아키텍처, 특히 백업 시스템을 변경해야 할 때가 있습니다. 따라서 VNDIRECT가 직면한 사고로 인해 시스템이 완전히 복구되려면 더 많은 시간, 심지어 몇 달이 걸릴 것으로 생각합니다."라고 NCS 기술 책임자 Vu Ngoc Son이 말했습니다.

Fortinet Vietnam의 기술 이사인 Nguyen Minh Hai 씨는 랜섬웨어 공격 후 시스템을 복구하는 데 필요한 시간은 공격의 심각성, 사전 준비 능력, 대응 계획의 효과에 따라 크게 달라질 수 있으며, 특히 대량의 데이터를 복구해야 하는 경우 완전한 복구까지 몇 시간에서 몇 주까지 걸릴 수 있다고 말했습니다.

Nguyen Minh Hai 는 "이 복구 프로세스의 일부에는 데이터 암호화 맬웨어가 네트워크에서 완전히 제거되었는지 확인하고 공격자가 다시 액세스할 수 있는 백도어가 남지 않았는지 확인하는 것이 포함됩니다." 라고 말했습니다.

전문가들은 또한 VNDIRECT에 대한 사이버 공격은 베트남의 중요 정보 시스템을 관리하고 운영하는 부대에 "경고"를 주는 것 외에도 랜섬웨어의 위험 수준을 다시 한 번 보여주었다고 언급했습니다.

6년 전, WannaCry와 그 변종 데이터 암호화 맬웨어는 베트남을 포함한 전 세계 약 100개국과 영토에 있는 30만 대 이상의 컴퓨터로 빠르게 확산되어 많은 기업과 조직이 "어려움"을 겪었습니다.

최근 몇 년 동안 기업은 랜섬웨어 공격에 대해 늘 우려해 왔습니다. 작년에 베트남의 사이버공간에서는 심각한 결과를 초래한 랜섬웨어 공격이 많이 기록되었습니다. 어떤 경우 해커는 몸값을 요구하기 위해 데이터를 암호화할 뿐만 아니라, 수집한 돈의 양을 극대화하기 위해 데이터를 제3자에게 판매하기도 합니다. NCS 통계에 따르면, 2023년에 베트남에서 최대 83,000대의 컴퓨터와 서버가 랜섬웨어의 공격을 받은 것으로 기록되었습니다.

시스템에 침투하는 일반적인 '경로'

VNDIRECT의 기술 팀은 정보 보안 전문가와 협력하여 시스템을 완벽하게 복구하고 안전을 보장하기 위한 솔루션을 구축하고 있습니다. 사고 원인과 해커가 시스템에 침투하는 데 사용한 '경로'는 아직 조사 중입니다.

SCS Smart Network Security Company의 CEO인 응오 투안 안씨에 따르면, 해커는 데이터 암호화를 공격하기 위해 종종 중요한 데이터가 들어 있는 서버에 침투하여 데이터를 암호화하는 방법을 선택합니다. 해커가 시스템에 침투하는 데 사용하는 일반적인 방법은 두 가지입니다. 서버 시스템의 취약점과 약점을 통해 직접 침투하는 것입니다. 또는 관리자 컴퓨터를 "우회"하여 시스템을 제어할 수 있습니다.

VietNamNet 과의 대화에서 VSEC 회사의 정보 보안 모니터링 부서장인 Vu The Hai 씨는 해커가 시스템에 침투하여 맬웨어를 설치할 수 있는 몇 가지 가능성을 지적했습니다. 시스템의 기존 취약성을 악용하여 제어권을 장악하고 맬웨어를 설치하는 것입니다. 악성 파일이 첨부된 이메일을 보내 사용자를 속여 시스템을 열게 하고 악성 코드를 활성화합니다. 유출된 비밀번호 또는 시스템 사용자의 취약한 비밀번호를 이용해 시스템에 로그인합니다.

전문가 부 응옥 손(Vu Ngoc Son)은 랜섬웨어 공격을 통해 해커가 비밀번호 알아내기, 시스템 취약점 악용(주로 제로데이 취약점(제조업체가 아직 패치하지 않은 취약점, PV)) 등 다양한 방법을 통해 시스템에 침투한다고 분석했습니다.

"금융 회사는 일반적으로 규제 기준을 충족해야 하므로 비밀번호 발견 가능성은 거의 불가능합니다. 가장 가능성 있는 가능성은 제로데이 취약점을 통한 공격입니다. 따라서 해커는 원격으로 오류를 일으키는 데이터 세그먼트를 보내 소프트웨어가 처리될 때 통제 불가능한 상태로 떨어지게 합니다.

다음으로, 해커는 원격 코드를 실행하여 서비스 서버를 제어합니다. 해커들은 이 서버에서 계속해서 정보를 수집하고, 얻은 관리자 계정을 사용해 네트워크의 다른 서버를 공격하고, 마지막으로 협박을 위한 데이터 암호화 도구를 실행합니다." 전문가 Vu Ngoc Son이 분석했습니다.

2과 - 전문가들이 랜섬웨어 공격에 대응하는 방법을 보여줍니다.

4월 15일은 증권회사들이 정보보안에 대한 검토와 평가를 완료하고, 온라인 증권거래를 제공하는 시스템을 포함한 시스템의 위험과 취약점을 극복하기 위한 조치를 이행해야 하는 마감일입니다.