[충격] 韓 기업 노리는 랜섬웨어 '탈론(Talon)' 등장! - 감염 수법 & 예방책 긴급 분석

[충격] 韓 기업 노리는 랜섬웨어 '탈론(Talon)' 등장! - 감염 수법 & 예방책 긴급 분석

최근 국내 기업들을 집중적으로 노리는 새로운 랜섬웨어, '탈론(Talon)'이 발견되어 사이버 보안 업계에 경종을 울리고 있습니다. 탈론 랜섬웨어는 기존 랜섬웨어 공격과는 다른 방식으로 기업 네트워크에 침투하여 데이터를 암호화하고 막대한 금전을 요구하는 것으로 알려졌습니다. 이 글에서는 탈론 랜섬웨어의 감염 수법과 예방책을 긴급 분석하여 국내 기업들이 안전하게 사이버 공격에 대비할 수 있도록 돕고자 합니다. 특히, 탈론 랜섬웨어는 단순한 데이터 암호화뿐만 아니라, 기업의 평판을 훼손하고 사업 운영을 마비시키는 등 심각한 피해를 초래할 수 있다는 점에서 주의가 필요합니다.

탈론 랜섬웨어, 무엇이 다른가? - 공격 특징 상세 분석

탈론 랜섬웨어는 기존의 무작위 공격 방식에서 벗어나 특정 기업을 표적으로 삼는 '표적형 랜섬웨어' 공격의 일환으로 보입니다. 공격자들은 사전에 기업의 네트워크 환경, 보안 취약점 등을 분석한 후, 맞춤형 공격을 감행합니다. 또한, 탈론 랜섬웨어는 데이터 암호화뿐만 아니라, 중요 데이터를 외부로 유출한 후 이를 빌미로 협박하는 '이중 협박(Double Extortion)' 수법을 사용하는 것으로 알려져 더욱 심각합니다. 탈론 랜섬웨어의 주요 특징은 다음과 같습니다.

• 표적형 공격 (Targeted Attack): 무작위 공격이 아닌, 특정 기업을 표적으로 삼아 공격을 감행합니다. 공격 대상 기업의 규모, 산업, 보유 정보 등을 사전에 파악하고, 맞춤형 공격 전략을 수립합니다.
• 이중 협박 (Double Extortion): 데이터를 암호화하는 것 외에도, 중요 데이터를 외부로 유출한 후 이를 빌미로 협박합니다. 데이터 유출을 막기 위해 몸값을 지불하도록 압박하고, 몸값을 지불하지 않을 경우 데이터를 공개하겠다고 협박합니다.
• 지속적인 공격 (Persistent Attack): 단발성 공격이 아닌, 장기간에 걸쳐 지속적으로 목표 기업을 공격합니다. 초기 침투 후에도 시스템 내부에 잠복하여 추가적인 피해를 일으키거나, 다른 시스템으로 확산될 수 있습니다.
• 맞춤형 악성코드 사용 (Custom Malware): 기존 랜섬웨어와는 다른 새로운 악성코드를 사용하거나, 기존 악성코드를 변형하여 사용합니다. 공격 대상 기업의 환경에 맞춰 악성코드를 제작하여 탐지를 어렵게 합니다.

표적형 랜섬웨어 공격, 왜 증가하는가?

표적형 랜섬웨어 공격은 무작위 공격에 비해 성공률이 높고, 더 많은 금전을 얻을 수 있기 때문에 최근 증가하는 추세입니다. 공격자들은 기업의 중요 데이터를 암호화하거나 유출하여 막대한 피해를 입힌 후, 몸값을 요구합니다. 기업들은 사업 운영 중단, 평판 훼손 등을 우려하여 몸값을 지불하는 경우가 많기 때문에, 공격자들은 표적형 랜섬웨어 공격을 선호합니다.

탈론 랜섬웨어, 어떻게 감염되나? - 주요 감염 경로 분석

탈론 랜섬웨어의 주요 감염 경로는 다음과 같습니다. 각 감염 경로별 특징과 공격 수법을 자세히 분석합니다.

1. 취약한 원격 데스크톱 프로토콜(RDP) 공격 (Vulnerable RDP Exploitation): RDP는 외부에서 기업 네트워크에 접근할 수 있도록 해주는 편리한 기능이지만, 보안 설정이 미흡할 경우 공격자들의 침투 경로로 악용될 수 있습니다. 공격자들은 무작위 대입 공격 (Brute-Force Attack)을 통해 RDP 계정을 탈취하거나, RDP 서버의 취약점을 이용하여 시스템에 침투합니다.
   • 무작위 대입 공격 (Brute-Force Attack): RDP 계정의 비밀번호를 무작위로 대입하여 탈취하는 공격입니다. 강력한 비밀번호를 사용하지 않거나, 계정 잠금 정책이 적용되지 않은 경우 쉽게 성공할 수 있습니다.
   • RDP 서버 취약점 공격 (RDP Server Vulnerability Exploitation): RDP 서버의 보안 취약점을 이용하여 시스템에 침투하는 공격입니다. 오래된 RDP 서버를 사용하거나, 최신 보안 업데이트를 적용하지 않은 경우 발생할 수 있습니다.
2. 피싱 이메일 (Phishing Emails): 악성 첨부 파일이나 링크가 포함된 피싱 이메일을 통해 직원들의 PC를 감염시킵니다. 공격자들은 사회공학적 기법 (Social Engineering)을 이용하여 직원들을 속이고, 악성 파일 실행이나 링크 클릭을 유도합니다.
   • 악성 첨부 파일 (Malicious Attachments): 악성코드가 포함된 첨부 파일을 이메일에 첨부하여 유포합니다. 첨부 파일은 문서 파일 (워드, 엑셀, 파워포인트), PDF 파일, 실행 파일 (EXE, SCR) 등 다양한 형태를 가질 수 있습니다.
   • 악성 링크 (Malicious Links): 악성코드가 다운로드되는 웹사이트나 피싱 웹사이트로 연결되는 링크를 이메일에 포함하여 유포합니다. 피싱 웹사이트는 사용자 계정 정보 (아이디, 비밀번호)를 탈취하기 위해 제작됩니다.
3. 소프트웨어 취약점 공격 (Software Vulnerability Exploitation): 보안 패치가 적용되지 않은 소프트웨어의 취약점을 이용하여 시스템에 침투합니다. 웹 브라우저, 오피스 프로그램, PDF 뷰어 등 다양한 소프트웨어에서 취약점이 발견될 수 있습니다.
   • 웹 브라우저 취약점 (Web Browser Vulnerability): 웹 브라우저의 취약점을 이용하여 악성코드를 다운로드하거나, 악성 웹사이트로 연결합니다.
   • 오피스 프로그램 취약점 (Office Program Vulnerability): 워드, 엑셀, 파워포인트 등 오피스 프로그램의 취약점을 이용하여 악성코드를 실행합니다.
   • PDF 뷰어 취약점 (PDF Viewer Vulnerability): PDF 뷰어의 취약점을 이용하여 악성코드를 실행합니다.
4. 공급망 공격 (Supply Chain Attacks): 협력업체 등 공급망에 속한 기업의 네트워크를 통해 목표 기업을 공격합니다. 공격자들은 보안이 취약한 공급망 업체를 먼저 공격한 후, 해당 업체를 통해 목표 기업에 침투합니다.
   • 협력업체 해킹 (Partner Company Hacking): 협력업체의 네트워크를 해킹하여 목표 기업에 침투합니다.
   • 소프트웨어 공급망 공격 (Software Supply Chain Attack): 소프트웨어 업데이트 과정에서 악성코드를 삽입하여 유포합니다.

탈론 랜섬웨어, 예방 및 대응책은? - 단계별 실천 전략

탈론 랜섬웨어 공격으로부터 기업을 보호하기 위해서는 다음과 같은 예방 및 대응책을 단계별로 마련해야 합니다. 각 단계별로 구체적인 실천 전략과 고려사항을 제시합니다.

1. RDP 보안 강화 - 외부 접근 최소화

RDP 사용을 최소화하고, 사용할 경우 강력한 인증 방식(다중 인증 등)을 적용하며, 접근 IP를 제한해야 합니다. RDP 보안 강화를 위한 구체적인 방법은 다음과 같습니다.

• RDP 사용 최소화: RDP 사용이 불필요한 경우, RDP 기능을 비활성화합니다.
• 강력한 인증 방식 적용: 다중 인증 (Multi-Factor Authentication, MFA)을 적용하여 RDP 계정 보안을 강화합니다. MFA는 비밀번호 외에 추가적인 인증 수단을 요구하여 계정 탈취 위험을 줄입니다.
• 접근 IP 제한: RDP 접근을 허용하는 IP 주소를 제한합니다. 특정 IP 대역에서만 RDP 접속이 가능하도록 설정합니다.
• RDP 포트 변경: 기본 RDP 포트 (3389)를 변경하여 공격자들이 쉽게 RDP 서버를 찾지 못하도록 합니다.
• RDP 계정 관리 강화: RDP 계정의 비밀번호를 주기적으로 변경하고, 사용하지 않는 계정은 삭제합니다.

2. 피싱 이메일 방지 - 직원 교육 및 훈련

직원들에게 피싱 이메일의 위험성을 교육하고, 의심스러운 이메일은 열어보지 않도록 주의를 기울여야 합니다. 피싱 이메일 방지를 위한 구체적인 방법은 다음과 같습니다.

• 피싱 이메일 교육: 직원들에게 피싱 이메일의 특징과 위험성을 교육합니다. 피싱 이메일의 예시를 보여주고, 실제 피싱 공격 사례를 공유하여 경각심을 높입니다.
• 피싱 시뮬레이션 훈련: 가짜 피싱 이메일을 발송하여 직원들의 대응 능력을 평가하고, 개선합니다. 훈련 결과를 분석하여 취약한 부분을 파악하고, 맞춤형 교육을 실시합니다.
• 이메일 보안 솔루션 도입: 스팸 메일 필터링, 악성코드 검사 등 이메일 보안 기능을 제공하는 솔루션을 도입합니다.
• 발신자 확인 습관화: 이메일을 열기 전에 발신자의 주소를 꼼꼼히 확인하고, 의심스러운 주소는 열어보지 않습니다.
• 첨부 파일 및 링크 주의: 첨부 파일을 열기 전에 반드시 백신 프로그램으로 검사하고, 링크를 클릭하기 전에 마우스를 올려 URL을 확인합니다.

3. 소프트웨어 보안 업데이트 - 자동 업데이트 설정

운영체제, 소프트웨어 등 모든 시스템의 최신 보안 업데이트를 적용해야 합니다. 자동 업데이트 기능을 활성화하여 최신 패치를 자동으로 설치하도록 설정하는 것이 좋습니다. 소프트웨어 보안 업데이트를 위한 구체적인 방법은 다음과 같습니다.

• 자동 업데이트 설정: 운영체제, 웹 브라우저, 오피스 프로그램 등 모든 소프트웨어의 자동 업데이트 기능을 활성화합니다.
• 보안 패치 확인: 소프트웨어 개발사의 보안 공지 등을 통해 최신 보안 패치 정보를 확인하고, 필요한 패치를 설치합니다.
• 사용하지 않는 소프트웨어 삭제: 사용하지 않는 소프트웨어는 삭제하여 공격 표면을 줄입니다.
• 취약점 스캔 도구 활용: Qualys, Nessus 등 취약점 스캔 도구를 활용하여 시스템의 취약점을 주기적으로 점검하고, 발견된 취약점에 대한 패치를 적용합니다.

4. 보안 솔루션 강화 - 다층 방어 체계 구축

백신, 방화벽, 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) 등 보안 솔루션을 도입하고, 최신 업데이트를 유지해야 합니다. 다층 방어 체계를 구축하여 랜섬웨어 공격에 대한 방어력을 높이는 것이 중요합니다. 보안 솔루션 강화를 위한 구체적인 방법은 다음과 같습니다.

• 백신 프로그램 설치 및 업데이트: 신뢰할 수 있는 백신 프로그램을 설치하고, 최신 업데이트를 유지합니다. 실시간 감시 기능을 활성화하여 시스템을 항상 보호하도록 설정합니다.
• 방화벽 설정 강화: 방화벽 규칙을 설정하여 불필요한 네트워크 트래픽을 차단합니다.
• 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 도입: 네트워크 트래픽을 분석하여 악성 행위를 탐지하고 차단하는 IDS/IPS를 도입합니다.
• 웹 방화벽(WAF) 도입: 웹 애플리케이션의 취약점을 이용한 공격을 방어하기 위해 WAF를 도입합니다.
• 행위 기반 탐지 (Behavior-Based Detection) 솔루션 도입: 정상적인 행위 패턴을 학습하고, 비정상적인 행위를 탐지하는 솔루션을 도입합니다.

5. 데이터 백업 - 3-2-1 백업 규칙 준수

중요 데이터는 정기적으로 백업하고, 랜섬웨어 감염 시 복구할 수 있도록 백업 시스템을 구축해야 합니다. 3-2-1 백업 규칙을 준수하여 데이터 손실 위험을 최소화하는 것이 좋습니다. 3-2-1 백업 규칙은 다음과 같습니다.

• 3개의 복사본 유지 (3 Copies of Data): 원본 데이터 외에 최소 2개 이상의 백업 복사본을 유지합니다.
• 2개의 다른 미디어 사용 (2 Different Media): 백업 데이터를 서로 다른 저장 매체 (하드 디스크, 테이프, 클라우드 등)에 저장합니다.
• 1개의 오프사이트 백업 (1 Offsite Backup): 백업 데이터 중 1개는 원격지에 보관합니다. 재해 발생 시에도 데이터를 안전하게 보호할 수 있습니다.

6. 침해 사고 대응 계획 수립 - 정기적인 훈련 실시

랜섬웨어 감염 사고 발생 시 신속하게 대응할 수 있도록 침해 사고 대응 계획을 수립하고, 정기적인 훈련을 실시해야 합니다. 침해 사고 대응 계획에는 다음과 같은 내용이 포함되어야 합니다.

• 사고 보고 절차: 랜섬웨어 감염 사고 발생 시 보고해야 할 대상과 절차를 명확하게 정의합니다.
• 긴급 연락망: 침해 사고 대응을 위한 긴급 연락망을 구축합니다.
• 사고 조사 절차: 랜섬웨어 감염 원인, 감염 경로, 피해 규모 등을 조사하는 절차를 정의합니다.
• 데이터 복구 절차: 백업 데이터를 이용하여 시스템을 복구하는 절차를 정의합니다.
• 보안 강화 조치: 재발 방지를 위해 필요한 보안 강화 조치를 정의합니다.

마무리 - 지속적인 관심과 투자

탈론 랜섬웨어는 국내 기업들에게 심각한 위협이 될 수 있습니다. 위에 제시된 예방 및 대응책을 철저히 준수하여 랜섬웨어 공격으로부터 기업의 소중한 자산을 보호하고, 안전한 비즈니스 환경을 유지하도록 노력해야 할 것입니다. 방심은 금물! 지금 바로 랜섬웨어 보안 점검을 시작하세요! 사이버 보안은 끊임없이 변화하는 위협에 대응하기 위해 지속적인 관심과 투자가 필요한 분야입니다. 정기적인 보안 교육, 보안 시스템 점검, 최신 기술 도입 등을 통해 랜섬웨어 공격에 대한 방어력을 강화해야 합니다.

참고 자료

• 한국인터넷진흥원(KISA) - 랜섬웨어 예방 및 대응
• US-CERT - Ransomware
• No More Ransom! - 랜섬웨어 피해 복구 지원
• CISA - StopRansomware
• Microsoft Security Blog - A guide to defending against ransomware