주요 콘텐츠로 건너뛰기
RSA 컨퍼런스 2024에서 NetWitness를 만나보세요!
#254 부스를 방문하거나 전문가와의 미팅을 예약하세요. 지금 예약하세요!
버거 메뉴
디지털 세상 보호

벌집 제거에 대한 다섯 가지 생각

  • by 벤 스미스

 

지난 한 주 동안 서비스형 랜섬웨어인 Hive 랜섬웨어 그룹의 소탕이 뉴스에 등장했는데, 이는 정말 좋은 소식입니다. 이 범죄 조직을 중단시킴으로써 얻을 수 있는 명백한 이점 외에도 특히 주목해야 할 몇 가지 중요한 사항이 있습니다.

  1. 관할 구역을 넘나드는 협력과 조정을 효과적으로 수행할 수 있습니다. 위원회 활동을 해본 사람이라면 누구나 그룹의 규모와 목표 달성에 필요한 시간의 상관관계를 설명하는 파킨슨의 법칙을 알고 있을 것입니다. 즉, 그룹의 규모가 커질수록 범위의 변화 없이도 시간이 더 오래 걸린다는 것입니다. 서로 다른 관할권, 서로 다른 문화, 서로 다른 언어, 서로 다른 법률 시스템을 가진 13개 이상의 국가가 미국 기업뿐 아니라 전 세계의 크고 작은 기업을 보호하기 위해 효과적으로 협력하여 이 글로벌 법 집행 노력이 성공했다는 사실은 더욱 인상적입니다. 정의와 공공의 안전을 추구한다는 공통의 언어가 있을 때 어떤 성과를 거둘 수 있는지 보는 것은 정말 멋진 일입니다.
  2. 적의 공격을 중단해야 하는 시기. 진행 중인 공격을 진단하는 SOC 팀은 공격자가 임무를 완료하기 전에 환경 내에서 공격자가 위치한 결정 지점에 도달할 수 있습니다. 특히 네트워크 가시성 기반을 갖춘 XDR 기술은 공격자가 과거에 어디에 있었는지뿐만 아니라 현재 어디에 있는지도 보여줄 수 있습니다. 이 시점에서 공격자를 제압하는 것은 어떨까요? 네트워크에서 움직임을 추적하다 보면 원래 생각했던 것과 다른 목표가 드러날 수 있습니다. 조용히 숨어서 지켜보다 보면 예상치 못한 보상을 얻을 수 있습니다. 공격자 몰래 전 세계 피해자들에게 암호 해독 키를 찾아서 전달한 선량한 사람들이 여기서처럼 말 그대로 보상을 받는 경우도 있습니다.
  3. 범죄자들은 그들만의 비즈니스 모델과 생태계를 가지고 있습니다. 이러한 국제적인 노력이 '[하이브의] 비즈니스 모델을 무너뜨렸다'고 표현한 법무부의 표현에 특별한 찬사를 보냅니다. 이는 대중에게 알리기 위한 올바른 표현입니다. 사이버 범죄자들은 그들이 악용하려는 피해자와 마찬가지로 비즈니스 모델을 따라 사업을 운영하고 있습니다. 우리 모두가 이러한 범죄 조직이 기업이라는 사실을 빨리 깨달을수록 더 효과적으로 대응할 수 있습니다. 공급망은 모든 비즈니스에 중요하며, 이 사건의 경우 공격자의 비즈니스 지원 기능과 인프라를 파악한 것이 궁극적으로 이번 공격을 가능하게 했습니다.
  4. 위협 행위자의 인프라를 완전히 근절해야만 실질적인 영향을 미칠 수 있는 것은 아닙니다. 모든 비즈니스 프로세스에는 적어도 하나의 병목 지점, 즉 다른 프로세스 단계가 해당 프로세스의 해당 단계로 유입되거나 유출되는 지점이 있습니다. 프로세스 흐름이 느려지지 않더라도 병목 현상은 단일 장애 지점으로 위험을 초래할 수 있습니다. 현명한 프로세스 소유자는 이러한 리스크를 고려하여 설계하려고 노력하지만, 상황(및 예산!)에 따라 이러한 리스크를 수용해야 하는 경우가 많습니다. 좋은 사람들은 아킬레스건을 찾아냈고(거의 틀림없이 많은 것 중 하나겠지만) 표적이 된 서버에 대해 효과적인 조치를 취했습니다. 오늘날 서비스형 랜섬웨어 생태계가 상당히 중앙 집중화되어 있다는 점을 고려하면, 공통 인프라에 의존하는 여러 공격 그룹에 영향을 미칠 수 있기 때문에 퍼즐의 중요한 한 조각을 무너뜨리는 것이 더 큰 효과를 가져올 수 있습니다.
  5. 이러한 전투는 결코 헛된 것이 아닙니다. 비관론자들은 이번 사건을 단순히 두더지 잡기 게임의 최신 챕터로 간주하며, 심지어 악당들을 위한 과속 방지턱이라고 표현하기도 합니다. 그리고 앞으로 하이브 집단에 속한 개인이 다시 나타날 것이 거의 확실합니다. 하지만 낙관론자들은 우리가 지금 하고 있는 게임이 사실은 체스라는 것을 알고 있습니다. 체스는 장기적인 게임이며, 각 진영은 현재 그 능력을 완전히 알 수 없거나 정의조차 내려지지 않은 말들을 가지고 게임을 하고 있습니다. 하지만 선한 쪽이 자신의 능력을 보여주면 상당한 이득이 있으며, 이는 항상 억지력 역할을 합니다. 선한 쪽의 대응 방식에 공격적인 요소가 있었다는 점을 간과해서는 안 됩니다. 이러한 유형의 공개적인 공격은 매우 드문 일이며, 악한 쪽이 이제 인식해야 할 새로운 전선의 신호입니다.

'유리 반쯤 꽉 찬' 색안경을 끼고 이 테이크다운을 살펴봅시다. 선량한 사람들이 위협 행위자를 보고, 계획하고, 조율하고, 공동 대응할 수 있음을 일관되고 공개적으로 보여줄 때 우리 모두가 궁극적으로 승리할 수 있습니다.