>
블로그

위협 인텔리전스를 통한 다크 웹 조사 개선

게시일: 2024년 4월 10일
작성자: 샘 랭록, 드미트리 스마일리야네츠

민감한 데이터를 보호하고 브랜드 평판을 유지하며 고객의 신뢰를 구축하는 일은 기업 조직에게 지속적인 과제가 되고 있습니다. 그러나 인터넷의 숨겨진 구석인 다크 웹은 사이버 보안 전문가에게 독특한 과제를 안겨줍니다. 인터넷의 이 '어두운' 영역에서는 도난당한 인증정보 판매, 표적 공격 계획과 같은 범죄 활동이 활발하게 이루어지고 있습니다.

이 블로그 게시물에서는 다크 웹에서 발생하는 몇 가지 위협과 외부 위협 인텔리전스 솔루션을 통해 조직이 선제적으로 방어할 수 있는 방법을 살펴봅니다.

2000년대 초반에 시작된 다크웹은 불법 활동의 허브로 진화해 왔습니다. 해킹 방법과 유출된 자격 증명의 거래는 물론 멀웨어와 랜섬웨어의 배포를 용이하게 합니다. 또한 위협 행위자들이 매일 새로운 취약점과 익스플로잇을 발견하고 공유하며 이에 대한 조치를 취하는 등 끊임없이 진화하고 있습니다.

다크웹의 초기 단계에는 비밀 포럼과 파일 공유 플랫폼이 번성했는데, 이는 마치 Reddit이나 Etsy의 그림자 버전과 비슷했습니다. 아메리칸 킹핀』에 자세히 설명된 악명 높은 실크로드와 비트코인 같은 암호화폐의 등장은 다크 웹을 형성하는 데 중추적인 역할을 했으며, "어두운 이베이"와 유사한 정교한 지하 시장을 탄생시켰습니다.

악명 높은 랜섬웨어 그룹인 LockBit과 ALPHV는 다크 웹 플랫폼에서 활동하면서 자신들의 행동에 대한 공로를 인정받고 공격 대상을 공개하고 있습니다. 또한, 텔레그램은 비밀스러운 참여에 선호되는 플랫폼으로 부상하여, 의사소통에서 조율, 악성 콘텐츠 배포에 이르기까지 다양한 활동을 촉진하고 가능하게 합니다.

다크 웹에서의 대화, 정보 공유 및 거래에서 비롯된 공격으로 인해 전 세계 조직은 재정적, 운영적, 평판적 손실을 입었습니다. 하지만 다크웹 모니터링 기능을 개선하면 조직이 비즈니스, 고객, 공급망에 대한 위협을 선제적으로 완화하는 데 도움이 될 수 있습니다.

다크 웹은 조직에 어떤 영향을 미치나요?

다크 웹 자체는 대부분의 조직에 그다지 위험하지 않지만, 다크 웹에서 일어나는 일은 방어자들의 관심을 불러일으킬 수 있습니다. 다크 웹은 랜섬웨어 그룹이 활동할 수 있는 플랫폼을 제공하고 악의적인 공격자들이 멀웨어, 손상된 인증 정보, 익스플로잇 키트, 도난당한 결제 카드를 판매 및 교환할 수 있는 플랫폼을 제공합니다.

랜섬웨어(Ransomware)

다크 웹은 랜섬웨어 그룹의 본거지로 잘 알려져 있으며, 2023년에도 계속해서 조직에 혼란을 야기했습니다. 지난해 랜섬웨어로 인한 지불액은 11억 달러로 급증했으며(The Record), Delinea의 보고서에 따르면 피해자의 76%가 몸값을 지불한 것으로 나타났습니다. 다크 웹은 랜섬웨어 그룹이 소통하고, 협업하고, 불법 활동을 수행할 수 있는 안전한 익명 환경을 제공합니다.

자격 증명

다크 웹 마켓과 포럼은 유효한 인증 정보를 판매하고 구매하려는 초기 액세스 브로커와 위협 행위자들이 많이 찾는 곳입니다. 유효한 인증정보는 위협 공격자들에게 매우 인기 있는 공격 기법이 되었으며, MITRE ATT&CK의 초기 액세스 벡터에 따르면 유효한 계정(T1078)은 Recorded Future와 IBM X-Force 모두에서 가장 많이 사용되는 TTP였습니다.

Recorded Future 연구진은 신원 정보 모듈의 정보를 사용하여 수집된 인증정보의 전체 수가 135%, 쿠키와 관련된 인증정보가 166% 증가했음을 발견했습니다. 또한 IBM의 연구원들은 인포스틸러의 사용이 266% 급증한 것을 발견했습니다. 적절한 액세스 권한과 연락처만 있으면 단 10달러에 유효한 자격 증명을 구매하여 회사 네트워크 또는 개인 계정에 로그인하고 다중 인증 제어를 우회하여 침입을 시작할 수 있습니다.

다크웹블로그포스트_아이덴티티.webp 레코디드 퓨처의 ID 인텔리전스 모듈은 기업이 인포스틸러 멀웨어에 의해 도난당한 직원 및 고객 인증 정보를 방어할 수 있도록 지원합니다. 도요타 자동차 북미 지사에서 유출된 인증정보를 어떻게 방어하는지 살펴보고, 대화형 ID 인텔리전스를 살펴보세요.

익스플로잇 키트

초보 요리사가 밀키트를 구매하는 것과 마찬가지로, 숙련도가 낮은 위협 행위자도 다크웹에서 익스플로잇 키트를 구매할 수 있습니다. 다크 웹 익스플로잇 키트는 사이버 범죄자들이 소프트웨어와 시스템의 취약점을 악용하는 데 사용하는 사전 패키지 도구 및 프레임워크로, 그 인기가 다소 떨어지긴 했지만 여전히 존재합니다. 이러한 키트를 사용하면 위협 행위자가 공격을 시작하고 표적 시스템에 무단으로 액세스하는 것이 더 쉬워집니다. 사이버 범죄자들이 고급 기술 없이도 취약점을 악용할 수 있는 편리한 게이트웨이를 제공하는 경우가 많습니다.

결제 카드

2022년에는 도난 신용카드의 다크웹 시장이 둔화되는 것처럼 보였습니다. 그러나 공급은 2023년에 이전 수준으로 회복되었습니다. 레코디드 퓨처의 2023년 연간 결제 사기 인텔리전스 보고서에 따르면, 2023년 다크웹에 판매용으로 게시된 결제 카드는 7,140만 개, 다양한 출처에서 무료로 게시된 카드는 4,800만 개에 달합니다. 평균 79달러의 사기 수수료는 카드 발급사에게 예방 가능한 사기 손실로 94억 달러, 가맹점 및 매입자에게는 잠재적인 지불 거절 수수료로 350억 달러를 발생시켰습니다.

레코디드 퓨처는 다크 웹에서 발생하는 위협을 어떻게 해결하나요?

랜섬웨어 탈취 웹사이트

위협 행위자는 랜섬웨어 갈취 웹사이트를 사용하여 피해자 파일을 유출하겠다고 협박합니다. 이러한 파일에는 네트워크 세부 정보, 금융 정보 및 문서, 개인 정보, 직원 또는 고객 자격 증명, 피해자가 몸값을 지불하도록 동기를 부여하는 기타 민감한 정보가 포함되어 있는 경우가 많습니다. 피해자들은 일반적으로 데이터를 삭제해 주겠다는 약속을 믿고 피해 사실을 인정하지만, Lockbit을 통해 항상 그런 일은 일어나지 않는다는 것을 확인했습니다. 반면에 돈을 지불하지 않는 피해자는 갈취 사이트에 추가 데이터 유출이 게시될 가능성이 높습니다.

레코디드 퓨처는 수년 동안 랜섬웨어 공격 웹사이트에서 정보를 수집하고 분석하여 실행 가능한 인텔리전스로 전환하여 조직이 랜섬웨어 공격의 영향을 선제적으로 완화할 수 있도록 지원했습니다. 현재 Recorded Future는 100개가 넘는 랜섬웨어 탈취 웹사이트의 텍스트 게시물, 이미지, 유출된 파일 메타데이터에서 정보를 수집하고 있습니다.

랜섬웨어 피해 메타데이터에 있는 정보는 랜섬웨어 공격의 직간접적인 피해자가 될 수 있는 회사 및 조직을 식별하는 데 도움이 될 수 있습니다. 유출된 파일 메타데이터에 액세스하면 조직은 자신은 물론 관련 제3자 및 제4자에게 영향을 미칠 수 있는 잠재적인 데이터 노출에 대한 단서를 조사할 수 있습니다.

FI 블로그_이미지 1.webp 랜섬웨어 사고의 직간접적 피해자가 될 가능성이 가장 높은 조직을 식별하는 데 도움이 되는 Recorded Future의 랜섬웨어 피해자 메타데이터 분석 이미지입니다.

다크 웹 마켓

오픈 웹의 전자상거래 사이트와 달리 러시안 마켓, 2Easy 등의 다크 웹 마켓은 유출된 인증정보, 개인 정보, 도난당한 신용카드를 판매하여 수익을 창출합니다. 위협 행위자는 이 정보를 사용하여 직원의 계정에 액세스하거나 개인화된 스피어피싱 캠페인을 만들거나 사기 거래를 할 수 있습니다.

Recorded Future는 여러 다크 웹 마켓에서 정보를 수집하여 조직이 판매 아이템으로 인한 위험을 완화할 수 있도록 지원합니다. 예를 들어, 카드 발급자는 다크 웹 마켓에서 도난당한 신용카드 정보가 판매되는 것을 식별하여 사기에 사용될 위험이 높은 카드에 대한 통제를 강화할 수 있습니다. 카드가 판매되거나 알려진 '테스터 가맹점'과의 거래에서 사용되는 등의 추가 신호를 통해 발급사는 해당 카드의 추가 거래를 차단하거나 고객에게 새 카드를 발급하는 사전 조치를 취할 수 있습니다.

북미의 한 대형 금융 기관에 따르면 "레코디드 퓨처에서 다크 웹에 존재하거나 알려진 테스터 가맹점에서 사용된 것으로 확인된 고객 카드로 거래가 발생하면 대부분의 경우 실제로는 사기 거래입니다."라고 말합니다.

다크 웹 블로그 - 이미지 2.webp 기록된 미래 결제 사기 인텔리전스는 다크웹에서 판매되는 손상된 결제 카드를 탐지하여 금융 기관이 사기 방지를 위한 사전 예방적 접근 방식을 취할 수 있도록 지원합니다.

다크 웹 포럼

다크웹 포럼은 종종 판매할 무언가를 가진 위협 행위자와 더 고급 도구를 찾는 저숙련 사이버 범죄자 간에 대화가 시작되는 곳입니다. 위협 행위자들은 정보, 기술, 도구를 교환하여 해킹 기술을 향상하고 사이버 범죄의 최신 동향을 파악할 수 있습니다. 일부는 다크 웹 포럼을 사용하여 멀웨어 배포, 피싱 캠페인 시작, 랜섬웨어 공격 참여 등 사이버 범죄 활동을 수행할 제휴자를 모집합니다.

다크 웹 시장과 마찬가지로 다크 웹 포럼도 위협 행위자가 유출된 인증 정보, 개인 데이터, 금융 정보 및 기타 중요한 정보를 판매할 수 있는 마켓플레이스의 역할을 합니다. 또한 해킹 도구, 익스플로잇 키트, 원격 액세스 트로이목마(RAT) 및 시스템과 네트워크를 손상시키는 데 사용할 수 있는 기타 악성 소프트웨어의 거래를 촉진할 수도 있습니다.

Recorded Future는 250개 이상의 최상위 및 중간 수준의 다크 웹 포럼 소스에서 정보를 수집하여 조직에 실행 가능한 정보를 제공합니다. 위협 행위자가 조직의 브랜드 또는 공급망 파트너를 언급하는지 여부, 새로운 취약점이 언급되고 있는지 여부, 특정 포럼을 활용하는 것으로 알려진 위협 행위자 등이 정보에 포함될 수 있습니다.

다크웹에서 회사나 제품이 자주 언급되면 공격이 임박했거나 회사 자산이나 계정의 불법 판매 또는 더 복잡한 사기 수법일 가능성이 높다는 것을 의미합니다.

다크 웹 모니터링은 이러한 제한된 환경에 대한 가시성을 제공하여 고객이 조직, 공급업체 또는 사용하는 소프트웨어 제품에 영향을 미칠 수 있는 사이버 범죄 캠페인에 한 발 앞서 대응할 수 있도록 지원합니다.

텔레그램

다목적 채팅 애플리케이션인 텔레그램은 2012년 탄생한 이래, 지하 사이버 범죄 커뮤니티에서 빠르게 인기를 얻고 있습니다. 텔레그램의 보안성, 다양한 채팅 옵션, 그리고 편리함으로 인해 인기가 높아지고 있습니다. 텔레그램의 신뢰성에 필적하는 다크웹 마켓은 거의 없습니다.

일부 전문가들에 따르면, 미래에는 고도로 전문화된 대규모 범죄 행위가 텔레그램과 미래 대안에서 이루어질 것이라고 합니다. 현재 사이버 범죄자들은 텔레그램 그룹을 이용해 불법 상품을 거래하고, 관련 인터넷 포럼의 공지사항을 게시하고, 동료 범죄자들과 소통하고 있습니다.

레코디드 퓨처는 조직이 자사 브랜드, 관련 제3자, 기타 주목할 만한 조직에 대한 텔레그램 내 사이버 관련 대화를 이해할 수 있도록 도와줍니다. 위협 행위자들은 계획된 공격 보고, 정보 교환, 발견 사항 공유 등 자신들의 활동을 텔레그램에서 논의하는 경우가 많기 때문에, 가시성을 통해 조직은 위협에 앞서 대응하고 예상치 못한 위험에 대한 복원력을 구축할 수 있습니다.

레코디드 퓨처는 한 고객이 텔레그램 채널에서 노출된 자격 증명을 탐지하여 위협을 식별하고 위험을 해결해야 하는 시급성을 높이는 데 도움을 주었습니다. 금융 서비스 업계의 또 다른 고객은 레코디드 퓨처의 광학 문자 인식(OCR) 기능을 통해 텔레그램 채널에서 사기성 수표를 식별할 수 있었습니다. 분석가는 이 사건을 내부 사기 관리 팀에 보고하여 수표가 현금화되는 것을 방지했습니다.

레코딩된 미래가 다크웹 위협을 완화하는 방법

위협 행위자들은 오랫동안 다크 웹 사이트와 포럼을 이용해 익명을 유지하며 공격 대상보다 우위를 점하려고 시도해 왔습니다. 이는 조만간 바뀔 것 같지 않습니다. 이러한 문제를 해결하기 위해 조직은 다크웹의 깊은 곳까지 선제적으로 파악하여 위협을 완화할 수 있는 가시성을 확보해야 합니다. 보안 실무자와 리더를 돕기 위해 Recorded Future는 광범위한 다크웹 채널에서 광범위한 인텔리전스를 제공하며, 이는 경고, 플레이북, 사람이 직접 선별한 인텔리전스 보고서를 통해 전달할 수 있습니다.

알림 알림

시기적절한 알림이 없으면 인텔리전스는 정보 수집에 그치게 됩니다. 많은 고객에게 외부 위협 인텔리전스 및 위험 요소를 기반으로 알림의 우선 순위를 지정하는 기능은 보안 운영 및 위험 관리를 개선하는 데 매우 중요합니다. 다양한 알림 규칙을 설정하고 알림을 관리할 수 있는 기능을 통해 사용자는 관련성 있고 시의적절한 알림을 받을 수 있습니다. 또한, 기록된 미래 AI 인사이트와 투명한 증거를 통해 사용자는 경보의 심각도와 취해야 할 조치를 신속하게 결정할 수 있습니다.

다크웹블로그포스트_AI.webp 기록된 미래 AI 인사이트는 자동화되고 실행 가능한 컨텍스트를 제공하여 조직이 조사 시간을 단축하는 데 도움이 됩니다. 위의 예는 RedLine Stealer에 대한 AI 인사이트를 보여줍니다. 이 블로그 게시물에서 기록된 미래 AI 인사이트의 최근 업데이트에 대해 자세히 알아보세요.

레코디드 퓨처의 한 고객은 딥 다크 웹에서 조직의 브랜드나 자격 증명이 언급되는 경우 자동 보고를 설정하는 것이 유용하다는 것을 알게 되었습니다. Recorded Future에서 생성된 알림을 통해 조직의 분석가는 동일한 쿼리를 반복해서 작성하고 실행할 필요가 없으므로 보다 전략적인 작업에 집중할 수 있는 시간을 확보할 수 있습니다.

플레이북 알림

다크 웹에서 위협이 발견되면 방어자는 신속하게 정보를 추출하고 경고를 분류하며 조치 시간을 단축할 수 있는 방법이 필요합니다. Recorded Future의 플레이북 알림은 조사의 여러 단계를 자동화하고, 위험 변화에 대해 사용자에게 업데이트하고, 평결을 생성하고, 권장되는 다음 단계를 제공함으로써 방어자를 지원합니다. 또한 플레이북 알림은 심각도 및 위험도에 따라 자동으로 우선순위가 지정되므로 조직은 어디에 집중해야 할지 알 수 있습니다.

고객들은 새로운 위협을 이전보다 48% 더 빠르게 식별할 수 있다고 보고하며, 플레이북 알림은 평균 탐지 시간(MTTD)과 평균 조사 시간(MTTI)을 줄이는 데 핵심 요소로 작용합니다. 이러한 알림은 영향력이 큰 타사 사이버 이벤트에 유용한 것으로 입증되어 조직이 최근 주목받고 있는 랜섬웨어 탈취 웹사이트, 인포스틸러 멀웨어에 의해 손상된 인증정보, 기술 스택에 영향을 미칠 수 있는 취약성에 대한 익스플로잇 채팅 등의 문제를 식별하는 데 도움이 됩니다.

시의적절하지도 실행 가능하지도 않은 정보는 금방 낡은 뉴스가 됩니다. 오늘날의 복잡한 위협 생태계를 탐색하기 위해 조직은 조직, 파트너 또는 업계에 대한 위협을 모니터링하는 데 도움이 되는 다크 웹 및 비공개 소스에 대한 사전 예방적 인사이트가 필요합니다. 레코디드 퓨처는 다크 웹 소스에서 시기적절하고 실행 가능한 방대한 인텔리전스를 수집하여 정제된 정보로 방어자를 무장시켜 예기치 않은 위협에 대한 복원력을 구축합니다.

레코디드 퓨처가 조직의 다크웹 가시성을 어떻게 개선할 수 있는지 알아보려면 데모를 요청하세요.

관련