Medusa 랜섬웨어가 중요 인프라에 대한 위협이 커지는 이유

선임 콘텐츠 마케팅 관리자

April 4, 2025

23 최소 읽기

메두사는 언제나 괴물 그 이상이었습니다.

에서 고대 신화, 그녀의 시선은 남자들을 돌로 만들었다.그 동안 르네상스, 그녀는 치명적으로 변한 아름다움의 상징이었습니다.오늘날 그녀는 변혁의 인물로 다시 떠올랐고, 쇼에 출연하고 있습니다. 유행, 대중문화, 권한 부여의 상징.

오늘 그녀가 돌아왔습니다. 대리석이나 신화가 아니라 멀웨어에 속해 있습니다. 메두사의 서비스형 랜섬웨어 (RaaS) 작전, 이후 활성 2021년 6월는 현재 전 세계 중요 인프라에 대한 공격을 강화하고 있습니다.대상 부문에는 의료, 교육, 법률, 보험, 기술 및 제조업이 포함됩니다.

2025년 첫 두 달 동안 메두사 랜섬웨어 공격 건수 작년 같은 기간에 비해 두 배로 늘었습니다. — 급격한 상승은 메두사가 사라지는 것이 아니라 가속화되고 있다는 신호입니다.

Different portrayals of Medusa throughout the years

신화에서 메두사를 보는 것은 죽음을 의미했습니다.사이버 보안에서 메리를 만나지 못하면 전력, 물, 교통, 금융 시스템, 그리고 세계를 운영하는 기반시설인 대중의 신뢰가 위협받을 수 있습니다. ‍

CISA와 FBI의 공동 경고

2024년 2월, CISA와 FBI는 공동 권고를 발표했습니다. #StopRansomware: 메두사 랜섬웨어.

보다 더 300개 조직 병원, 금융 기관, 학교, 정부 기관 등 이미 피해자가 되었습니다.

기관들은 다음과 같은 긴급 조치를 권고했습니다.

운영 체제, 소프트웨어 및 펌웨어가 패치되고 최신 상태인지 확인합니다.
네트워크를 분할하여 측면 이동을 제한합니다.
알 수 없거나 신뢰할 수 없는 출처가 원격 서비스에 액세스하지 못하도록 하여 네트워크 트래픽을 필터링합니다.

랜섬웨어는 이제 국가적 위험입니다

‍랜섬웨어 항상 이렇게 위험한 건 아니었어요. 1989년, 최초의 랜섬웨어 공격으로 알려진 에이즈 트로이 목마 — 플로피 디스크로 배달되었으며 우편으로 189 달러를 요구했습니다.

일루미오에 따르면 오늘날 글로벌 랜섬웨어 비용 연구:

공격 중에 평균 12시간 동안 중요 시스템의 25% 가 다운됩니다.
평균 몸값 요구는 120만 달러를 초과합니다.
지불 후에도 피해자의 13% 만이 모든 데이터를 복구합니다.
격리에는 130시간 이상 (약 11일) 이 걸리고 인원은 거의 18명입니다.

랜섬웨어는 단순한 사이버 위협이 아닙니다.시간, 비용, 복원력이 고갈됩니다. 그리고 중요 인프라에 타격을 입히면 그 위험은 재정적 파멸을 초래하고 대중을 위험에 빠뜨릴 수 있으며 심지어 정부를 불안정하게 만들 수도 있습니다.

중요 인프라가 이렇게 노출되는 이유

‍중요 인프라 랜섬웨어를 자석으로 만드는 데에는 중요한 이유가 있습니다. 바로 중요하기 때문입니다.

Illumio의 중요 인프라 솔루션 디렉터인 트레버 디어링 (Trevor Dearing) 은 “중요 인프라는 본질적으로 필수적입니다. 이를 무너뜨리면 파급 효과가 엄청납니다”라고 말합니다.“중요 서비스에 대한 진정한 위협은 운영이 중단되는 경우, 즉 전기, 수도 또는 운송 시스템이 중단되는 경우입니다.그때가 바로 상황이 정말 위험해질 때입니다.”

전력망에서 파이프라인에 이르기까지 사회의 중추는 패치가 불가능한 시대에 뒤떨어진 기술, 특히 레거시 ICS 및 SCADA 시스템을 기반으로 하는 경우가 많습니다.

일루미오의 EMEA 시스템 엔지니어링 책임자인 마이클 아제이 (Michael Adjei) 도 이에 동의합니다.

“이러한 시스템은 업데이트하기 어렵고 공격자가 쉽게 악용할 수 있습니다.” 라고 그는 말합니다.“따라서 메두사와 같은 랜섬웨어의 이상적인 표적이 될 수 있습니다.”

현대화 속도가 빨라지더라도 중요한 인프라의 세계에서는 보안이 뒤처지는 경우가 많습니다.

“보안에 미치는 영향을 충분히 고려하지 않은 채 유선 제어 시스템이 이더넷과 Wi-Fi로 대체되고 있습니다.” 라고 Dearing은 말합니다.“그리고 많은 제조업체들이 기본 보안이 취약한 장비를 출하하기 때문에 조직이 이를 강화하기 위해 할 수 있는 일을 제한하고 있습니다.”

많은 주요 인프라 조직이 공공 소유이거나 국가 기금에 의존하고 있습니다.이는 조달 속도가 느리고, 감독이 복잡하며, 예산이 제한적이라는 것을 의미합니다.다시 말해, 방어가 제대로 이루어지지 않은 거대한 표적입니다.

중요 인프라에 대한 공격은 얼마나 심각해질 수 있을까요?

a에 따르면 2023년에는 가장 일반적인 취약점 15개 중 11개가 제로 데이 결함으로 악용되었습니다. 공동 보고서 CISA와 NSA 출신이죠.공격 속도와 규모를 보면 공격 진영이 결함을 방어자가 패치하기 전에 얼마나 빠르게 무기로 무기로 옮기는지 알 수 있습니다. 특히 중요한 시스템에서 말이죠.랜섬웨어 전술이 진화함에 따라 공격자는 사소한 취약점을 주요 위협으로 전환하여 중요 인프라를 불안정하게 만들고 필수 서비스를 방해할 수 있습니다.

하이브리드 시대를 위해 개발된 랜섬웨어

메두사는 제로 데이 취약점이나 대규모 익스플로잇이 필요하지 않습니다.조용하게 움직이며 클라우드 앱을 온프레미스 데이터 센터에 연결할 수 있는 하이브리드 환경을 위해 구축되었습니다. ‍

Medusa는 네트워크 내에 이미 있는 다음과 같은 도구를 사용하여 탐지를 피합니다. 리빙 오프 더 랜드 (로트).새로운 멀웨어를 삭제하는 대신 내장 프로그램과 취약점을 악용하여 정상 운영과 조화를 이룹니다.

여기에는 다음이 포함될 수 있습니다.

파워셸
윈도우 관리 계측 (WMI)
원격 데스크톱 프로토콜 (RDP)
커넥트와이즈 스크린커넥트
SSH (리눅스 및 유닉스 시스템)

Adjei는 “이러한 도구는 허용되고 신뢰할 수 있으며 이미 공격자가 원하는 대로 액세스할 수 있습니다.” 라고 말합니다.“도구보다는 도구의 권한과 범위가 더 중요합니다.”

ScreenConnect 또는 SolarWinds와 같은 원격 관리 소프트웨어는 사전 승인을 받았기 때문에 특히 매력적입니다.대규모로 연결, 모니터링 및 제어할 수 있도록 설계된 이 소프트웨어는 악의적인 사람의 손에 힘을 배가시켜 공격자가 시스템 전체에 즉시 접근할 수 있게 합니다.

그리고 랜섬웨어가 IT처럼 행동할 때는 경보를 발생시키지 않을 수도 있습니다.

Adjei는 이렇게 말합니다. “현대의 랜섬웨어는 정문을 뚫고 들어오는 것이 아니라 스파이처럼 섞여 들어옵니다.”‍

측면 운동: 메두사가 퍼지는 방법

공격자는 자신이 원하는 곳이 아닌 쉬운 곳에 착륙합니다.그런 다음 그들은 왕관의 보석에 도달할 때까지 시스템별로 네트워크를 가로질러 조용히 이동합니다.

두 가지 유형이 있습니다. 측면 이동:

‍호스트 내장: 시스템 내 권한 에스컬레이션 (예: svc-ndscans)‍
호스트 외부: RDP 또는 WinRM을 통한 시스템 간 이동

일반적인 메두사 공격에서는 두 유형이 함께 작동합니다.먼저, 이들은 기기 내에서 통제권을 얻게 됩니다.그런 다음 해당 액세스 권한을 사용하여 네트워크를 통해 조용히 팬아웃합니다. ‍

데이터 유출 및 이중 강탈

메두사는 또한 데이터를 암호화하고 유출하는 이중 갈취를 사용합니다. 즉, 복구에 필요한 몸값을 요구하고 도난당한 데이터를 온라인이나 다크 웹에 게시, 판매 또는 유출하지 않겠다는 약속을 요구합니다.

마지막 단계에서 공격자는 민감한 데이터를 찾아 훔쳐 명령 및 제어 서버로 다시 보냅니다.이러한 콜백 트래픽은 DNS 텍스트 레코드 또는 ICMP 패킷과 같은 기술을 사용하여 일반 통신 포트를 통해 터널링될 수 있습니다. 이러한 방법은 눈에 띄지 않게 기존의 방어 체계를 우회하도록 설계된 방법입니다.