블랙베리 2021 연간 위협 보고서, COVID-19 악용 사례 발표

블랙베리(BlackBerry Limited)가 발간한 2021 블랙베리 연간 위협 보고(2021 Annual Threat Report)서는 코로나 이후 급격하게 증가한 사이버보안 위협에 대해 상세히 실었다.   

이 연구는 사이버 범죄 산업이 새로운 디지털 습관에 적응했을 뿐만 아니라 취약한 조직을 찾아내고 공략하는 데도 점점 성공하고 있음을 보여준다. 이 연구는 또한 용병과 서비스로서의 크라임웨어 (crimeware-as-a-service) 모델에 접근성이 높아진 사이버 범죄 세계의 위험한 새로운 변화를 강조한다. 

코로나 팬데믹 이후 수많은 조직들은 갑자기 많은 부분을 원격으로 지원해야 했고, 인프라의 여러 부분을 하룻밤 사이에 디지털화해야 했다. 이러한 갑작스러운 디지털화는 부적절한 보호로 이어져 계속 성장하는 사이버 공격에 직원과 고객이 노출되게 결과를 초래했다. 또한 사이버 범죄자들이 의료 기관 혹은 취약 계층을 속이기 위해 코로나 대유행을 이용하는 등 사이버와 물리적 위협의 병합이 확대되었다. 

블랙베리 리서치 앤 인텔리전스 부사장 (Vice President of Research and Intelligence) 인 에릭 밀람 (Eric Milam) 은 "사이버 보안 산업은 새로운 기술, 장치 및 혁신이 등장함에 따라 매년 더욱 복잡해지고 있다. 글로벌 대유행에서 미국 선거에 이르기까지 특히 2020년에 더욱 그런 양상을 보였다."라고 말했다. "세계가 더 많이 서로 연결되고 사이버 범죄가 고차원적으로 발전하면서 2021년에는 성공적으로 위협을 예방하기 위해 미리 대비하는 것이 핵심이 될 것이다." 고 덧붙였다. 

또한 이 보고서는 급증하는 서비스형 범죄 소프트웨어 비즈니스 모델뿐만 아니라 이러한 해커 용역 그룹 (hacker-for-hire groups) 의 정교함과 협업도 자세히 소개하고 있다. 서비스로서의 랜섬웨어 (Ransomware-as-a-Service) 모델은 특히 더 많은 비디지털 네이티브 (non-digital natives) 의 온라인 거래가 증가함에 따라 큰 성공을 거뒀을 뿐만 아니라 바하무트 (BAHAMUT) 및 코스타릭토 (CostaRicto) 와 같은 위협 행위자에 대한 추가 조사 결과, 이들 그룹은 한때 국가 공격자의 영역으로만 생각되던 도구를 보유하고 있는 것으로 나타났다. 이는 결국, 빈번하고, 능숙하고, 목표가 특정된 공격으로 기업들에게 새로운 위험을 안겨줄 수 있다는 것을 의미한다.

2021 연간 위협 보고서의 주요 내용 

● 랜섬웨어 공격은 무차별적인 타겟팅 (indiscriminate targeting) 수행에서 타협된 MSSPs를 통해 배치된 고도로 집중된 캠페인 수행으로 전환되었다.

● 선거는 안전하지 않은 모바일 기술, 불충분한 DMARC 전자 메일 보호, 소셜 미디어에서의 개인 정보 과다 노출로 인한 사이버 공격에 대해 여전히 취약했다.

● 글로벌 자동차 회사들은 커넥티드 카를 사이버 공격 및 데이터 도난으로부터 보호하기 위한 새로운 규정에 직면했다.

● 제조, 의료, 에너지 서비스 및 식품 공급 부문에 걸쳐 중요 인프라 시스템을 대상으로 한 수많은 피싱 캠페인 (phishing campaigns)

●비양심적인 행위자와 조직이 사이버 공격을 아웃소싱하면서 용병 위협 그룹 (Mercenary threat groups) 은 1년 동안 성장했다.

● 서비스로서의 랜섬웨어 (Ransomware-as-a-Service) 제품의 인기가 높아지면서 기존의 기성품 랜섬웨어를 공격 키트 (ready-made exploit kit), 악성 스팸 캠페인 (malspam campaigns) 및 위협 에뮬레이션 소프트웨어 (threat emulation software) 로 대체했다.

● 코스타릭토 (CostaRicto) 와 같은 새로운 APT 그룹은 맞춤형 백도어 (backdoors) 및 툴링 (tooling) 으로 전 세계 다양한 피해자들을 타겟으로 삼았다.

● 뱅킹 트로이 목마 턴 공격 플랫폼 (the banking trojan turned attack platform) 인 이모텟 (Emotet) 은 블랙베리 연구원이 쉽게 식별하여 다른 시스템에 설치하지 못하도록 방지한 결함을 포함해 새로운 업그레이드 및 기능을 제공받았다. 

"공공 및 민간 조직 모두 사이버 첩보 단체를 완벽하게 차단하기 위해 밑바닥부터 노력하고 있기 때문에 강력한 보안 관행의 기반은 변하지 않는다. 24시간 모니터링에서 AI 기반 보안 툴 및 내부자 위협 탐지에 이르기까지, 동일한 시간 테스트를 거친 보안 기본 사항, 그리고 현재 사건이 조직의 공격 표면에 미치는 영향에 대한 이해는 데이터 침해와 성공적인 사이버 방어 사이에서의 차이를 만든다."라고 에릭 밀람은 덧붙였다.