마이크로소프트 팀즈 위장 광고를 이용한 Rhysida 랜섬웨어 공격: 당신의 PC는 안전한가?
최근 사이버 보안 업계에 경종을 울리는 사건이 발생했습니다. 악명 높은 Rhysida 랜섬웨어 그룹이 마이크로소프트 팀즈 다운로드 페이지를 위장한 가짜 광고를 Bing 검색 엔진에 노출시켜 악성코드를 유포한 것입니다. 이 글에서는 Rhysida 그룹의 공격 방식과 피해, 그리고 사용자 스스로를 보호하는 방법에 대해 자세히 알아보겠습니다.
Rhysida 그룹의 교묘한 위장술
Rhysida 그룹은 마이크로소프트 팀즈를 검색하는 사용자들이 가짜 다운로드 페이지로 유인되도록 Bing 광고를 악용했습니다. 사용자들은 검색 결과 상단에 노출된 광고를 클릭하여 실제 팀즈 다운로드 페이지와 매우 흡사하게 만들어진 가짜 페이지로 접속하게 됩니다. 이러한 위장술은 사용자들의 의심을 피하고 악성코드를 다운로드하도록 유도하는 데 효과적이었습니다.
악성코드 OysterLoader와 Latrodectus의 등장
가짜 다운로드 페이지를 통해 유포된 악성코드는 OysterLoader와 Latrodectus입니다. OysterLoader는 이름에서 알 수 있듯이 다양한 종류의 악성코드를 로드하는 역할을 수행합니다. Latrodectus 역시 로더로서, 공격자의 필요에 따라 정보 탈취 악성코드, 백도어, 원격 접속 트로이 목마, 그리고 가장 치명적인 랜섬웨어를 설치합니다.
RaaS 모델 기반의 랜섬웨어 공격
Rhysida 그룹은 RaaS(Ransomware-as-a-Service) 모델을 기반으로 활동합니다. 즉, 랜섬웨어 개발 및 유지 관리를 담당하고, 다른 공격자들이 피해자 네트워크를 침투하여 랜섬웨어를 배포하도록 돕습니다. 그 후 수익을 분배하는 방식으로 운영됩니다. Rhysida 그룹은 과거 영국 도서관 공격, 시애틀-타코마 국제공항 공격, 그리고 여러 정부 기관 및 교육 기관 공격과 같은 대규모 사이버 공격에 연루된 바 있습니다.
과거 공격 사례와 피해 규모
Rhysida 그룹은 이미 여러 차례 대규모 공격을 감행하여 사회 전반에 막대한 피해를 입혔습니다. 2023년 영국 도서관 공격 당시 약 600GB에 달하는 파일이 탈취되었으며, 2024년 시애틀-타코마 국제공항 공격은 공항 운영에 심각한 차질을 초래했습니다. 또한, 미국 내 여러 학교와 교육 기관 역시 Rhysida 그룹의 공격 대상이 되어 학습 환경에 혼란을 야기했습니다.
사용자 스스로를 보호하는 방법
이러한 위협으로부터 스스로를 보호하기 위해서는 다음과 같은 예방 조치를 취해야 합니다.
- 출처가 불분명한 링크 클릭 금지: 검색 엔진 광고나 이메일에 포함된 링크를 클릭할 때는 항상 주의를 기울여야 합니다. 특히, 다운로드 페이지로 연결되는 링크는 더욱 신중하게 확인해야 합니다.
- 소프트웨어 다운로드 시 공식 웹사이트 이용: 소프트웨어를 다운로드할 때는 반드시 해당 소프트웨어의 공식 웹사이트를 이용해야 합니다. 이를 통해 악성코드가 포함된 가짜 파일을 다운로드하는 위험을 줄일 수 있습니다.
- 백신 프로그램 설치 및 최신 업데이트 유지: 백신 프로그램을 설치하고 최신 업데이트를 유지하는 것은 악성코드 감염을 예방하는 가장 기본적인 방법입니다.
- 정기적인 데이터 백업: 랜섬웨어 공격에 대비하여 중요한 데이터는 정기적으로 백업해야 합니다. 백업된 데이터는 랜섬웨어 감염 시 복구하는 데 활용할 수 있습니다.
- 수상한 활동 감지 시 즉시 보안 전문가에게 문의: PC에서 이상한 활동이 감지되면 즉시 보안 전문가에게 문의하여 도움을 받는 것이 좋습니다.
결론
Rhysida 그룹의 마이크로소프트 팀즈 위장 광고 공격은 사이버 공격이 점점 더 교묘해지고 있음을 보여주는 사례입니다. 사용자들은 위에서 언급한 예방 조치를 통해 스스로를 보호하고, 사이버 보안에 대한 경각심을 높여야 합니다. 더욱 안전한 디지털 환경을 만들기 위해 끊임없이 노력해야 할 것입니다.
