여러분님을 위한 뉴스레터, 에쓱-케어입니다!

매달 새로운 IT보안 소식을 여러분님께 배달해드립니다 :)

피드백하기   |   구독하기 

안녕하세요, 에스케어입니다.

이번 6월 뉴스레터는 아래 2가지 주제로 준비하였습니다. 

• 5월 공격동향에 대한 에스케어 랜섬웨어 대응 가이드라인
• QR코드 피싱, 국내 기업이 위험하다

5월 공격동향에 대한 에스케어 랜섬웨어 대응 가이드라인은?

이번 에스케어에서 4월에서 5월까지 한 달간 발생한 공격내용을 국내/외, 산업별로 종합적으로 살펴보고 이에 대한 대응 가이드라인을 마련했습니다.

이번 뉴스레터에서는 각 카테고리별로 간략히 살펴보겠습니다.

① 국내기업 피해사례 – 전통적인 랜섬웨어 공격방식을 통해 제조사의 계정탈취…

국내 자동차 부품사의 피해가 심각합니다. 위협 행위 그룹인 RATNICK이 경상도에 본사를 두고 있는 S사의 로컬 및 도메인 관리자 권한이 있는 VPN액세스를 1만 달러에 거래되고 있다는 정황을 포착하였고, 언더그라운드 팀 또한 경상도 소재의 제조업에 대해 악영향을 끼친 것으로 파악되었습니다.

② 글로벌 랜섬웨어 공격분석

랜섬웨어 공격자들은 인포스틸러, 봇넷, 다크 웹에서 구매한 계정 로그인 자격 증명(계정 탈취)을 활용, 공급망 공격으로써 취약점이 있는 소프트웨어를 이용한 내부 침입 (VPN, Citrix 및 Microsoft 원격 데스크톱), 웹 셸 공격과 같은 전통적인 랜섬웨어 공격 방법과 더불어 다양한 공격방식을 적용하는 것으로 드러났습니다. (관련하여 자세한 내용은 아래 배너 링크 참조)

이렇게 국/내외 공격현황에 대해 간단히 알아봤습니다.

한 달간 발생했던 글로벌 공격그룹/산업별 공격현황과 그룹 활동 분석 등 자세한 내용은 에스케어 월간 보고서에서 확인하실 수 있습니다. 본 보고서는 아래 링크를 통해 신청하시면 무료로 발송해드리니 많은 참여 바랍니다 😊

QR코드 피싱, 국내 기업이 위험하다

코로나가 끝난지 벌써 2년이 지났지만 아직도 그 잔재는 보안업계가 남아있습니다.

코로나 시기인 2021년부터 코로나 종료되고 얼마 후인 2023년까지 QR코드 스캔 사용은 기존 대비 433%나 증가하였습니다. 이 말은 즉슨 많이 이들이 QR코드 사용에 익숙해졌고, 이를 악용하여 많은 위협 행위자들은 QR피싱 공격 즉 “Quishing”공격이 증가하였습니다.

Quishing은 QR코드 피싱의 약자이며 위협행위자가 피해자를 악의적인 웹사이트 및 로그인 포털로 리디렉션하고, 유해한 콘텐츠를 다운로드하여 민감한 정보를 탈취하고 송금을 유도하는 등 악의적인 목적으로 조작된 또는 가짜 QR코드를 사용하는 기법입니다.

실제로 2023년 3분기와 2024년 1분기에 정부, 전문 미디어 보안 공급업체 등 신뢰도 높은 보고 출처에서 QR코드 피싱 및 ‘Quishing에 대한 언급이 약 248% 증가한 것을 관찰되었습니다.

피싱 공격 급증의 배후로 추정되는 생성형AI

사실 Quishing공격은 이전에도 많이 사용하고 있는 기법이긴 하나, 여기서 문제가 되는 점은 바로 생성형AI를 이용한 Quishing공격이 증가했다는 점입니다.

보안분석가, 보안 전문가들은 특히 ChatGPT가 2022년 11월 말에 공개적을 출시된 이후 수년 동안 LLM의 이중적 용도로 피싱을 발전시킬 수 있는 잠재력에 대해 지적하였습니다.

이러한 우려는 실제 보안전문업체의 한 조사에서 파악되었습니다.

Abnormal Security는 2023년 하반기에 보안관계자들을 대상으로 실시한 조사에서 300명 중 80%가 소속 조직이 AI로 생성된 피싱 이메일을 수신했다고 확인하거나 의심된다고 조사결과를 내놓았습니다.

이와 더불어 우리나라 공격위협에 최전선에 있는 북한에서 생성형AI를 악용한 사례가 있다고 발표했습니다. 바로 북한의 국가 후원 위협행위자인 Emerald Sleet로 Kimsuky, Velvet Chollia와 연관되었으며, LLM (대형언어모델)을 사용하여 스피어피싱 캠페인을 실행하였습니다.

그래서 어떻게 해야 되는데?

이런 점들을 종합적으로 미루어볼 때, 생성형 AI를 통한 정교화된 피싱공격은 곧 우리나라 기업에 주요이슈가 될 것입니다.

따라서 기업은 최신 피싱 트렌드를 숙지하고 상황에 맞는 보안태세를 갖추어야 합니다.

예를 들어, QR코드 피싱과 AI가 생성한 피싱 이메일을 대응하려면 직원 대상 새로운 위협에 대한 인지 교육과 이러한 위협을 탐지할 수 있는 보안 솔루션 구축 및 방어 체계 구축이 필요합니다.

또한, 회사 및 개인 모바일 디바이스에 대한 감독을 강화해서 직원들이 QR 코드를 스캔한 후 악성 리소스로 연결되는 것을 차단하거나 머신러닝 기반 피싱 차단 체계 구축을 통해 기존 이메일 보안 솔루션의 한계를 넘어선 방어 체계를 구축해야 합니다.

마지막으로 레코디드퓨처와 같은 신뢰도 있는 글로벌 보안제품을 도입하여 최신 QR코드 피싱사고를 포함한 다양한 관련 침해 지표(IoC)를 지속적으로 파악해나가야 합니다.

📌시스코 “AI 등 사이버보안 대응 준비된 한국 기업 4% 불과” 더보기

시스코는 한국을 포함한 세계 3여 개국 보안전문가 및 비즈니스 리더 8천 명을 대상으로 설문한 결과 ‘사이버보안 준비 지수 보고서’를 발표했습니다. 여기에 국내 기업 중 충분하게 대응할 수 있는 곳은 4%에 불과하다는 조사가 나왔습니다. 이와 더불어 국내 응답자의 63%는 향후 1-2년 내 사이버보안 사고에 따라 사업에 차질이 생길 우려가 있다고 답했습니다.

자세한 내용은 더보기 링크를 통해 확인해보시기 바랍니다.

📌북한 해킹그룹 안다리엘, 국내기업 대상으로 APT공격 더보기

북한 해킹그룹 ‘안다리엘’이 국내 제조업, 건설업체와 교육기관을 대상으로 APT (Advanced Persistent Threat) 공격을 펼친 정황이 포착되었습니다. 이전 안다리엘의 공격목적이 안보와 관련 정보 획득이었던 반면, 이번 공격은 금전적 이득이 목적인 점에서 달랐습니다. 이에 기업보안 담당자는 자산관리 솔루션이나 접근통제 솔루션 등 기업에서 사용하는 소프트웨어와 OS, 인터넷 브라우저 등의 프로그램을 최신 버전으로 업데이트할 필요가 있겠습니다.