출처 : https://newsis.com/view/?id=NISX20230623_0002350361&cID=10406&pID=13100

올 상반기 사이버 공격이 크게 늘고 있는 가운데 사이버 범죄 조직의 분업화가 뚜렷해지고 있다. 기업 기밀 정보나 영업 정보를 탈취하기 위한 초기 침투 전문 브로커(IAB)도 활개를 치고 있다.

보안 업계에선 서비스형랜섬웨어(RaaS)가 확산하고, 침투를 대신해주는 브로커까지 등장한 것을 들어, 전문적인 지식 없이도 손쉽게 공격을 시도하고 금전적 이득을 취할 수 있는 랜섬웨어 생태계가 자리를 잡고 있다고 경고했다.

24일 SK쉴더스 화이트 해커 전문가 그룹 EQST에 따르면, 올해 상반기 사이버 공격은 전년 상반기 대비 49.33% 증가했으며 기업의 기밀이나 개인의 금융 정보를 탈취하는 정보유출 침해사고가 30%로 가장 많이 발생했다.

특히, 업종별 침해사고 발생 통계를 살펴보면 제조업에서 발생한 사고가 19%로 가장 높았다. 이는 제조업을 타깃으로 삼아 기업의 기밀 정보나 영업 정보를 탈취하기 위한 IAB의 활동이 활발했기 때문으로 나타났다.

랜섬웨어 범죄조직의 분업조직은 대략 이렇다. 우선 서비스형랜섬웨어(RaaS)를 생산하는 랜섬웨어 그룹의 총책은 해당 RaaS를 이용해 공격을 직접 수행할 공격자·침투 테스터(일명 계열사)와 계약을 하게 된다. 공격자는 시스템 접근 권한을 이미 탈취한 다른 사이버 범죄 조직으로부터 해당 권한을 구매하는 경우가 많다. 이 때 공격자 혹은 계열사에 해당 권한을 판매하는 조직이 IAB다. 즉, IAB는 스스로 사이버 공격을 수행하는 것이 아니라, 다른 공격자에게 탈취한 네트워크 접속 권한을 판매하는 일종의 브로커 조직이다.

IAB는 다양한 공격 방법으로 네트워크 권한을 탈취한다. 가상사설망(VPN) 결함을 악용, 네트워크 접속 권한을 확보하거나 비밀번호 무차별 대입 기술을 이용해 사용자 계정 정보를 파악한다. 또는 대외적으로 알려진 사용자 대상 피싱 또는 스피어 피싱 공격을 통해 접속 권한을 탈취한다.