Executive Summary

매년 피해자가 증가하고 있는 오늘날 조직에 가장 심각한 위협 중 하나는 데이터베이스 유출 및 유출입니다. 이러한 침해로 인해 개인 식별 정보(PII), 자격 증명, 결제 정보, 독점 데이터와 같은 수백만 개의 민감한 정보가 유출됩니다. 범죄자는 피싱, 멀웨어, 소프트웨어의 기존 취약점 악용, 내부자 위협, 비밀번호 재사용 등 다양한 전술, 기술 및 절차(TTP)를 통해 데이터에 액세스하고 보안 인프라의 허점을 이용합니다. 조직의 네트워크에 침입한 범죄자는 데이터에 직접 액세스하거나 다크웹 경매를 통해 액세스 권한을 판매할 수 있습니다. 이렇게 수집된 정보는 비즈니스 이메일 침해(BEC)와 같은 기술을 통해 추가 침해로 이어지는 경우가 많습니다.

주요 판단

• 레코디드 퓨처는 사이버 범죄자들이 손상된 타사 소프트웨어, 도메인 컨트롤러, 원격 데스크톱 프로토콜(RDP), 가상 사설망(VPN), 인터넷 라우터, 웹 셸 및 파워셸 공격, 손상된 자격 증명 또는 원격 액세스 트로이목마(RAT) 등 다양한 TTP를 사용하여 네트워크에 액세스하는 것을 관찰했습니다.
• 레코디드 퓨처의 분석에 따르면 의료, 교육, 운송, 물류, 여행 및 숙박, 금융 등의 산업이 가장 많은 표적이 되고 있는 것으로 나타났습니다.
• 데이터베이스 유출은 지하 경제에 스팸 및 피싱, 크리덴셜 스터핑 공격, 소셜 엔지니어링, 비즈니스 이메일 침해(BEC), 세금 사기, 기타 다양한 유형의 금융 사기 등 다양한 방식으로 사용될 수 있는 새로운 데이터의 유입을 제공합니다.
• 레코디드 퓨처는 유출된 데이터베이스가 주로 공개 경매, 직접 판매 또는 구독 기반 서비스를 통한 판매를 통해 수익을 창출하는 것을 관찰했습니다.

배경

데이터베이스 침해는 그 자체로 공격에 의한 것이 아니라 사이버 범죄자가 네트워크에 무단으로 액세스하여 발생하는 경우가 있습니다. 이러한 액세스 권한은 사이버 범죄자에게 권한 상승, 데이터 유출 및 기타 영향을 미칠 수 있는 상당한 기능을 제공합니다. 랜섬웨어 운영자는 감염된 네트워크의 디바이스를 암호화할 수 있으며 해커는 PII, 결제 데이터, PHI, 회사 문서, 이메일 주소, 직위 및 조직, 소셜 미디어 프로필, 계정 사용자 이름 및 비밀번호가 포함된 데이터베이스를 유출할 수 있습니다. 이러한 유출로 인해 지하 경제에 새로운 데이터가 유입되는 경우가 많으며, 이는 다양한 방식으로 사용될 수 있습니다:

• 유출된 이메일 주소를 이용한 스팸 및 피싱
• 유출된 이메일 주소 및 계정을 사용한 크리덴셜 스터핑 공격
• 유출된 PII를 이용한 금융 및 세금 사기
• 유출된 PII를 사용한 소셜 엔지니어링
• 비즈니스 이메일 침해(BEC) 공격

데이터베이스 침해 사고의 수는 매년 증가하고 있습니다. 노턴에 따르면, 2019년에는 3,800건의 공개된 보안 침해 사고가 발생했으며, 이로 인해 41억 건의 기록이 유출되었습니다.

2019년에 보고된 주목할 만한 데이터베이스 침해 사례는 다음과 같습니다:

• 퍼스트 아메리칸 파이낸셜 코퍼레이션: 8억 8,500만 건의 기록
• 페이스북: 5억 4천만 건의 기록
• 포트나이트: 2억 건의 기록
• Elasticsearch 클라우드 스토리지: 1억 800만 건의 기록
• 미국 의료 기록 협회: 2천만 건의 기록
• Capital One: 1억 6천만 건의 기록
• 생체 인식 기록 (BioStar 2): 2,700만 건
• 에콰도르 데이터: 2,000만 개의 레코드
• 호스팅어: 1,400만 건의 기록
• DoorDash: 490만 건의 기록
• Verifications[.]io: 8억 9천만 개의 레코드

위협 분석

비즈니스 이메일 침해

데이터베이스 침해 및 네트워크 접근과 밀접하게 연관되어 있으며 종종 이를 통해 촉진되는 또 다른 TTP는 비즈니스 이메일 침해(BEC)입니다. 이 방법은 사회공학 및 피싱 기술과 유사합니다. 위협 행위자는 회사의 정식 직원이나 관리자로 위장하여, 해킹당한 이메일 계정에 접근하거나 해킹당한 데이터베이스에서 얻은 주소로 위조하여 회사를 공격합니다. 자주, 피해자는 합법적인 이메일 주소를 사용하기 때문에 실제 직원과 소통하고 있다고 믿고, 기밀 기업 정보를 공개하거나 사이버 범죄자들이 통제하는 계좌로 송금 거래를 시작합니다.
FBI의 인터넷 범죄 신고 센터(IC3)에 따르면, 2017년 2월 27일 기준 "BEC 사기 범죄는 계속 증가하고 진화하며 모든 규모의 기업을 대상으로 하고 있습니다." 그들은 또한 2015년 1월 이후로 "확인된 노출 손실이 1,300% 증가해 현재 $30억 달러를 초과했다"고 지적했습니다.

지난 한 해 동안 다크웹에서 관찰된 BEC 사이버 공격. (출처: 레코딩된 미래)

BEC는 종종 로맨스 사기나 퇴직 계좌 사기 등 다른 TTP(기술적, 조직적, 운영적 기술)와 결합되어 개인으로부터 돈을 훔치는 목적으로 수행되며, 때로는 수백만 달러에 달하는 금액이涉及될 수 있습니다.

단계별 침해 및 판매

과거에는 대부분의 위협 공격자가 데이터베이스와 기타 중요한 정보를 추출하기 위해 기업의 네트워크를 해킹해야 했습니다. 현재 해킹과 유출의 대부분은 이미 액세스 권한을 전문적으로 확보하는 위협 행위자들에 의해 이루어지고 있으며, 이러한 정보는 다크웹 포럼과 마켓에서 판매되거나 때로는 무료로 제공되기도 합니다. 네트워크에 대한 이러한 접근은 종종 기업 데이터베이스를 해킹하는 첫 번째 단계이며, 접근을 전문으로 하는 고위급 위협 행위자들은 PII 및 PHI(개인 의료 정보) 도용부터 랜섬웨어 공격, 기업 스파이 활동까지 모든 사이버 범죄 활동의 핵심일 가능성이 높습니다. 소규모 팀으로 활동하는 이러한 범죄자들은 회사 네트워크에 대한 액세스 권한을 얻는 것부터 다크웹에 판매하는 것까지 모든 과정을 수행할 수 있습니다. 아래 하위 섹션에서 이 프로세스에 대해 자세히 설명합니다:

1. 손상된 네트워크에 대한 액세스 권한 판매
2. 데이터베이스 판매
3. 무료 데이터베이스 덤핑
4. 구독 기반 서비스를 통한 신규 및 복합 데이터베이스 판매

1. 손상된 네트워크에 대한 액세스 권한 판매

정부, 기업, 교육 기관 및 기타 기관의 손상된 네트워크에 대한 액세스 권한을 판매하는 것은 수백에서 수천 달러에 이르는 액세스 당 가격이 책정되는 매우 수익성이 높은 비즈니스가 될 수 있습니다. 사이버 범죄자는 손상된 타사 소프트웨어, 원격 데스크톱 프로토콜, 가상 사설망, 인터넷 라우터, 웹 셸 및 PowerShell 공격 수행, 원격 액세스 트로이목마 사용 등 다양한 방법을 사용하여 네트워크에 액세스합니다.

다크웹 소스를 분석한 결과 사이버 범죄자들은 주로 다음 산업 분야의 조직을 표적으로 삼는 것으로 나타났습니다:

• 의료 서비스(병원 및 진료소)
• 제조
• 운송 및 물류(항공사 및 물류 회사, 공항)
• 여행 및 숙박업(호텔, 여행사/서비스, 여행 메타검색 엔진)
• 교육(대학교 및 전문대학)
• 정부(미국 주 및 시 행정부, 경찰서, 지역 보건 당국, 선거관리위원회, 국제 정부 기관 및 단체)
• 금융 및 이커머스(회계 및 보험 회사, 은행, 이커머스 조직)
• 법률(로펌)

피해 대상은 의료 기관, 정부 및 교육 기관과 같이 PII 및 PHI가 특히 풍부한 분야 또는 금융 및 이커머스 분야와 같이 금융 정보를 제공하는 분야, 취약점이 있는 조직을 표적으로 삼고 있습니다.

경매를 통한 판매

다크웹 리소스에서 고정된 비용으로 판매되는 다른 제품 및 서비스와 달리, 유출된 데이터의 대부분은 일반적으로 경매를 통해 판매됩니다. 경매는 다크웹 포럼에서 참가자(위협 행위자)가 합리적이라고 생각하는 가격을 제시하는 공정하고 개방적인 판매 메커니즘으로 간주됩니다. 예를 들어 다크웹의 한 최상위 포럼은 모든 회원들이 준수해야 하는 엄격한 요구 사항을 가지고 있습니다:

• 판매자는 경매에 부쳐진 제품이나 서비스를 구매하면 반드시 판매해야 합니다(거래에서 철회할 수 없음).
• 판매자가 경매에 참여하지 않고 직접 제품 또는 서비스를 구매할 수 있는 시작 가격, 입찰 단계 및 최고 입찰가를 발표합니다.
• 가격을 제시한 구매자는 경매에 부쳐진 제품이나 서비스를 구매해야 합니다.
• 판매자와 구매자는 에스크로 서비스를 사용하여 거래를 완료합니다.
• 판매자가 에스크로 서비스 사용을 거부하는 경우 포럼에서 금지될 수 있습니다.

다크웹 포럼에서 이루어지는 또 다른 유형의 손상된 액세스 권한 판매는 위에서 설명한 제한이 없는 직접 판매로, 일반적으로 구매자와 판매자 간의 비공개 협상을 통해 이루어집니다. 직접 판매의 주요 장점은 고급 개인 정보 보호 및 보안입니다(안전한 통신 방법을 통해 제3자 보증인 없이도 가능합니다).

에스크로 서비스를 통한 판매

경매 외에도 대부분의 상위 및 중간 등급 포럼은 회원에게 에스크로 서비스를 제공하는데, 이는 사기 방지를 위해 판매자와 구매자 간의 합의에 따라 제3자(위협 행위자 또는 자동화된 시스템)가 대금을 수령하고 지급하는 보편적인 보안 메커니즘입니다. 다크웹에서 에스크로 서비스를 사용하는 경매에는 일반 경매와 자동 경매의 두 가지 유형이 있습니다.

정기 에스크로 서비스

일반적으로 이 기능은 평판이 좋은 한두 명의 위협 행위자 또는 보증인 역할을 하는 포럼 직원이 수행합니다. 이들의 사용자 아이디와 연락처는 일반적으로 포럼의 '규칙' 또는 '에스크로' 섹션에 나열되어 있습니다. 다음 사항을 제공해야 합니다:

• 판매자: 판매자의 사용자 이름 및 Jabber 계정
• 구매자입니다: 사용자 이름 및 Jabber 계정
• 제품 또는 서비스에 대한 자세한 설명, 기술 사양 등이 포함된 거래 주제
• 에스크로 수수료를 포함한 USD 및 비트코인으로 표시된 정확한 거래 금액(일반적으로 수수료는 상장 가격의 3~10%, 미화 20달러 이상이며 보증인에게 지급됨)
• 제품 또는 서비스의 배송 및 확인 조건
• 필요한 경우 거래의 추가 조건

자동(자동) 에스크로 서비스

이러한 유형의 에스크로 서비스는 많은 사이버 범죄 포럼의 특별 섹션으로, 위협 행위자가 최소한의 위험으로 연중무휴 24시간 거래를 진행할 수 있으며 서비스 수수료를 부과하지 않습니다. 규칙은 포럼마다 다를 수 있지만 경매의 기본 단계는 다음과 같습니다:

• 회원은 모든 거래 조건을 비공개로 협상합니다.
• 구매자는 '자동 에스크로 서비스' 또는 '에스크로 서비스' 섹션에 스레드를 생성하고 잠재적 판매자에게 태그를 지정한 다음 거래의 모든 약관을 간략하게 설명합니다. 스레드는 거래 당사자와 포럼 관리자만 볼 수 있습니다. 일부 포럼에서는 비밀번호를 사용하여 에스크로 스레드를 보호합니다. 이 경우 구매자는 판매자에게 스레드에 액세스할 수 있도록 스레드를 제공해야 합니다.
• 구매자는 결제할 거래의 총 금액을 지정하고 스레드를 저장합니다.
• 거래의 두 번째 참여자는 제안 금액을 확인하고 이 정보를 저장합니다.
• 구매자는 판매자의 확인을 보고 최종 금액을 승인합니다.
• 에스크로 시스템은 포럼 담당자가 판매자로부터 제품을 수령한 경우에만 거래를 수락하고 완료합니다. 판매자에게는 포럼의 비공개 메시지로 결제 수취에 대한 알림이 자동으로 전송됩니다.
• 자동 에스크로 서비스를 통해 당사자들은 자금을 이체하고 보충할 수 있습니다.

2. 데이터베이스 판매

데이터베이스 침해는 다크웹 소스를 통해 위협 행위자 간에 판매되거나 공유됩니다. 위협 행위자는 이러한 데이터베이스에서 자주 발견되는 사용자 이름/비밀번호 조합을 사용하여 인기 있는 온라인 서비스에 대한 크리덴셜 스터핑 공격을 수행합니다.

일반적으로 사이버 범죄자는 침해 사실을 즉시 발표하지 않으며, 다크웹에서 데이터를 판매하기 위해 몇 달을 기다리면서 수익을 창출할 수 있는 최선의 방법을 모색하기도 합니다. 유출된 데이터베이스는 전체가 아니라 일부만 판매되는 경우가 많습니다: 예를 들어, 이메일 주소와 비밀번호, 금융 정보, PII 등의 조합이 판매될 수 있지만 모든 정보가 판매되는 것은 아닙니다. 실제로 네트워크를 침해하는 모든 위협 행위자가 반드시 판매자인 것은 아닙니다. 사이버 범죄자들은 보안상의 이유로 침해와의 연결을 난독화하는 전략을 사용하며, 때로는 여러 개의 모네킹을 사용하거나 그룹 내에서 활동하기도 합니다. 또한, 데이터베이스에 대한 액세스 권한은 표적 기업의 해킹에 직접 관여하지 않고 주로 대리인 역할을 하는 개인에 의해 판매되는 경우가 많습니다.

3. 무료 데이터베이스 덤핑

레코디드 퓨처는 다크웹 포럼에서 판매되는 액세스 권한과 데이터베이스 외에도 다크웹의 여러 포럼에서 공개적으로 무료로 공유되는 유출된 데이터베이스를 여러 차례 목격했습니다.

예를 들어, 다크웹에서 포럼을 만들고 관리하는 한 악명 높은 위협 행위자는 2017년부터 2018년까지 유권자 ID, 성명, 실제 주소, 이전 주소, 생년월일, 성별, 전화번호, 유권자 상태 및 투표 기록이 포함된 미국 내 여러 주의 유권자 데이터베이스를 공개적으로 공유하기 시작했습니다. 거의 24개 주의 데이터베이스가 공유되었으며, 각 데이터베이스에는 수십만 개에서 수백만 개의 고유 레코드가 포함되어 있었습니다.

4. 구독 기반 서비스를 통한 신규 및 복합 데이터베이스 판매

4. 구독 기반 서비스를 통한 신규 및 복합 데이터베이스 판매

일부 위협 행위자는 다양한 지하 플랫폼, 파일 공유 플랫폼 및 기타 사용 가능한 서비스에서 유출된 데이터베이스를 구매하고 수집하여 사이버 범죄자가 암호화 및 비암호화 된 복합적인 유출 데이터베이스를 찾을 수 있는 구독 기반 서비스를 구성합니다. 이러한 서비스들은 데이터베이스를 자주 업데이트하고, 일반 및 프리미엄 등급 멤버십 플랜을 가지고 있으며, 텔레그램을 통한 고객 서비스도 제공합니다. 이러한 서비스 중 하나는 첫 달에 미화 64달러, 이후 달마다 37달러에 이용할 수 있었습니다.

네트워크 손상 완화 기술

레코디드 퓨처는 조직의 웹사이트와 네트워크를 노리는 취약점이 악용되어 데이터베이스가 침해되는 것을 방지하기 위해 다음과 같은 조치를 취할 것을 권장합니다:

• 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 애플리케이션 및 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
• 이메일 서신에 스팸이 있는지 필터링하고 링크와 첨부파일에 액세스하기 전에 면밀히 검토하고, 악성 첨부파일 모니터링(사용 가능한 경우)이 켜져 있는지 확인하세요.
• 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
• 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통한 디바이스 또는 계정 탈취를 통해 어떤 데이터에 액세스할 수 있는지 살펴보세요. 사용자에 대한 액세스 제어를 확인하고 직원이 리소스에 액세스할 수 있는 비즈니스 요구 사항이 있는지 확인하세요.
• 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
• 공급업체의 보안을 모니터링하거나 타사 기술을 사용하여 전달될 수 있는 위험을 평가합니다.
• 저장된 데이터베이스에 데이터 암호화 표준을 적용하여 조직의 내부 네트워크에 무단으로 액세스할 수 있는 개인이 악의적으로 사용하지 못하도록 보호합니다.
• 직원 계정에 대해 사용 가능한 데이터베이스 또는 계정 상점을 모니터링합니다.

BEC 완화 기술

FBI에 따르면, 다음 단계는 BEC 공격으로 인한 침해 위험을 줄이는 데 도움이 됩니다:

• 회사 이메일과 유사한 확장명을 가진 이메일에 플래그를 지정하는 침입 탐지 시스템 규칙을 만듭니다.
• 이메일 규칙을 만들어 '답장' 이메일 주소와 '보낸 사람' 이메일 주소가 다른 이메일 커뮤니케이션에 플래그를 지정합니다.
• 직원/내부 계정에서 보낸 이메일과 직원/외부 계정에서 보낸 이메일을 구분하는 데 도움이 되는 색상 코딩, 제목에 붙이는 태그를 사용하여 이메일을 구분하세요.
• SMS를 통한 2단계 인증 또는 Google Authenticator, Duo Mobile, FreeOTP, Authy 또는 Microsoft Authenticator와 같은 인증 애플리케이션을 사용하여 디바이스에 안전하게 액세스할 수 있습니다.
• 2단계 인증의 일부로 전화 인증을 사용하여 자금 이체 요청을 확인하고, 이메일 요청에 제공된 번호가 아닌 회사 웹사이트나 이전 청구서 또는 서신 등 다른 출처의 번호를 확인합니다.
• 레코디드 퓨처는 BEC 사기를 방지하기 위해 다음과 같은 비정상적인 이메일 요청에 특히 주의를 기울일 것을 권장합니다:
• 정상적인 커뮤니케이션 채널을 우회하여 송금이나 문서 또는 정보 액세스 등의 즉각적인 조치를 요청하는 요청입니다.
• 고위 경영진은 특히 직속 상사가 아닌 직원에게 비정상적인 요청을 보내기도 합니다.
• 언어, 문법 또는 형식 문제로 인해 이메일에 오류, 오타, 형식 결함이 드러나는 경우.
• 수신자가 이메일의 내용을 다른 사람에게 전달하지 않도록 요청합니다.

전망

데이터 유출은 조직의 평판과 재무 안정성에 치명적인 영향을 미칠 수 있으며, 유출로 인해 얻은 정보와 액세스 권한을 사용하여 추가적인 악의적인 활동을 조장할 수 있습니다. 데이터베이스 침해와 그로 인한 정보 유출은 당분간 주요 사이버 위협 중 하나로 남을 것입니다. 침해를 전문으로 하는 정교한 위협 행위자가 액세스 권한을 판매하면 BEC, 세금 사기, 피싱, 랜섬웨어 등과 같은 관련 악성 활동이 촉진될 수 있습니다.

레코디드 퓨처는 가장 취약한 산업과 이러한 상품화된 활동의 대부분에 관여하는 위협 행위자 목록을 확인했으며 이 보고서에서 설명하는 방어 기술을 구현할 것을 권장합니다. 또한 다크 웹 경매, 다크 웹 포럼 및 마켓플레이스의 판매 스레드, 지하 구독 기반 서비스 등을 모니터링하여 이러한 위협 행위자의 스레드, 게시물 및 제안을 면밀히 추적할 것을 적극 권장합니다.