라자루스 그룹, 중동 및 미국 의료 분야에 메두사 랜섬웨어 공격 전개

라자루스 그룹, 메두사 랜섬웨어를 활용한 표적 사이버 공격

Symantec의 Threat Hunter Team과 Carbon Black의 보안 연구진들은 북한 연계 라자루스 그룹(Diamond Sleet 및 Pompilus로도 추적됨)이 최근 중동의 익명 기관을 대상으로 **메두사 랜섬웨어(Medusa ransomware)**를 배포한 공격을 확인했습니다. Broadcom의 위협 인텔리전스 부서 또한 동일한 공격자가 미국 의료 기관을 대상으로 한 실패한 공격을 확인했으며, 이는 라자루스 그룹의 작전 범위가 확대되고 있음을 보여줍니다.

공격의 기술적 세부 사항

보고서에서는 구체적인 침해 지표(IOCs) 및 전술, 기법, 절차(TTPs)는 공개되지 않았지만, 메두사 랜섬웨어의 사용은 라자루스 그룹의 진화하는 공격 도구와 일치합니다. 2021년에 처음 발견된 메두사는 이중 갈취(double-extortion) 전술로 알려져 있으며, 피해자의 데이터를 암호화하는 동시에 민감한 정보를 유출하여 몸값 지불을 압박합니다. 이 그룹의 랜섬웨어 운영으로의 전환은 국가 지원 스파이 활동 및 금융 절도에 중점을 두던 기존 전략에서 벗어나, 동기의 다양화를 시사합니다.

라자루스 그룹은 2017년 워너크라이(WannaCry) 랜섬웨어 공격, 2016년 방글라데시 은행 강탈 사건, 2022년 로닌 브리지(Ronin Bridge) 암호화폐 절도 등 굵직한 공격을 수행한 전력이 있습니다. 의료 및 중동 인프라와 같은 주요 분야를 대상으로 한 랜섬웨어 공격은 이 그룹의 적응력과 사이버 보안 방어에 대한 광범위한 영향을 우려하게 만듭니다.

영향 분석

의료 기관을 대상으로 한 공격은 특히 우려스럽습니다. 의료 분야는 운영 중단에 취약하며 환자 데이터의 민감성으로 인해 피해가 클 수 있습니다. 실패한 공격이라도 향후 캠페인을 위한 정찰 목적으로 활용될 수 있으며, 이는 데이터 유출, 금전적 손실 또는 서비스 중단으로 이어질 수 있습니다. 국가 지원 위협 행위자의 표적이 되고 있는 중동 지역은 지정학적 긴장이 사이버 전쟁의 확산을 부추기면서 더욱 큰 위험에 직면해 있습니다.

보안 팀에게 이 사건은 APT 그룹과 연계된 랜섬웨어 TTPs에 대한 모니터링 강화의 필요성을 강조합니다. 라자루스 그룹의 정교함을 고려할 때, 방어자들은 다음을 우선시해야 합니다:

• 엔드포인트 탐지 및 대응(EDR) 솔루션을 통해 이상 행동을 식별.
• 네트워크 세분화를 통해 침해 시 횡적 이동을 제한.
• 정기적인 백업 및 **불변 저장소(immutable storage)**를 통해 랜섬웨어 영향을 완화.
• 위협 인텔리전스 공유를 통해 신흥 공격 벡터에 대응.

조직을 위한 권고 사항

1. 패치 관리: 라자루스 그룹이 과거 캠페인에서 악용한 취약점(예: CVE-2023-42793, CVE-2022-47966)을 해결하기 위해 모든 시스템을 최신 상태로 유지.
2. 사용자 교육: 피싱 시뮬레이션 및 보안 인식 프로그램을 통해 사회 공학적 기법을 통한 초기 접근 위험을 줄임.
3. 사고 대응 계획: 다운타임과 데이터 손실을 최소화하기 위한 랜섬웨어 전용 대응 절차를 개발 및 테스트.
4. 제로 트러스트 아키텍처: 최소 권한 접근 및 다중 인증(MFA)을 구현하여 자격 증명 기반 공격에 대한 방어를 강화.

라자루스 그룹이 전술을 계속 발전시키는 가운데, 고위험 분야의 조직들은 경계를 늦추지 말아야 합니다. 국가 지원 APT와 랜섬웨어 운영의 결합은 선제적이고 인텔리전스 기반의 보안 태세의 필요성을 강조합니다.