사일런트 랜섬 그룹은 무엇이며 어떻게 법률 회사를 공격하나요?

사일런트 랜섬 그룹(SRG)은 법률 회사에서 IT 직원으로 물리적으로 사칭하여 사무실 기기에 접근하고 민감한 데이터를 훔친 후 조직을 협박하는 위협 행위자입니다.

공격자들은 어떻게 법률 회사 컴퓨터에 물리적으로 접근하나요?

먼저 회사의 직원과 IT 업무 흐름을 조사한 다음, IT 기술자나 지원 계약자로 가장하여 직접 방문하고, 확신과 친숙함을 이용해 직원들이 접근 권한을 부여하도록 설득합니다.

왜 법률 회사가 이러한 유형의 공격에 특히 취약한가요?

법률 회사는 방대한 양의 특권적이고 기밀인 고객 데이터를 보유하고 있으며 신뢰 문화 속에서 운영되기 때문에 직원들이 공식적인 IT 담당자로 보이는 사람에게 접근 권한을 허용할 가능성이 더 높습니다.

VPN과 네트워크 분할로도 이러한 사칭 공격을 막을 수 없는 이유는 무엇인가요?

이러한 방어 수단은 원격 트래픽과 네트워크 경계만 관리하기 때문에 사무실 내부에서 이미 로그인된 컴퓨터에 물리적으로 앉아 있는 공격자는 이를 완전히 우회합니다.

공격자들은 데이터를 훔친 후 무엇을 하나요?

금전을 지불하지 않으면 훔친 정보를 공개하거나 판매하겠다고 위협하며 갈취 요구를 합니다.

FBI, 사일런트 랜섬 그룹이 법률 회사의 IT 직원으로 물리적 사칭 공격을 가하고 있다고 경고

FBI는 사일런트 랜섬 그룹(SRG)으로 알려진 위협 행위자가 사회공학적 기법과 물리적 사칭 공격을 결합하여 법률 회사를 표적으로 삼고 있다고 공식 경고를 발령했습니다. 원격지에서 발생하는 대부분의 사이버 공격과 달리, SRG 요원들은 직접 사무실에 나타나 IT 지원 직원으로 가장하여 사무실 기기에 물리적으로 접근하고 민감한 데이터를 훔친 후 조직을 협박합니다. 디지털 방어만으로 충분하다고 생각하는 법률 전문가들에게 이 경고는 중대한 경종을 울리는 것입니다.

사일런트 랜섬 그룹이 법률 회사 네트워크에 물리적으로 접근하는 방법

SRG의 접근 방식은 단순하지만 매우 효과적입니다. 공격자는 표적 법률 회사를 정찰하여 직원, 사무실 위치, IT 업무 흐름을 파악합니다. 그런 다음 IT 기술자나 지원 계약자로 가장하여 사무실에 직접 나타납니다. 회사 환경에 대한 확신과 친숙함을 내세워 직원들을 설득하여 컴퓨터, 서버 또는 기타 네트워크 기기에 접근 권한을 얻습니다.

내부에 침입하면, 그룹은 물리적으로 만질 수 있는 기기에서 직접 데이터를 추출합니다. 여기에는 고객 파일, 소송 문서, 재무 기록 또는 특권 통신 내용이 포함될 수 있습니다. 데이터를 빼낸 후 피해자에게 금전을 지불하지 않으면 훔친 정보를 공개하거나 판매하겠다고 협박하는 갈취 요구가 전달됩니다.

이 모델에서 법률 회사는 특히 매력적인 표적입니다. 방대한 양의 민감하고 특권적이며 종종 기밀인 고객 데이터를 보유하고 있습니다. 또한 역사적으로 신뢰와 직업적 관계를 바탕으로 구축된 조직이기 때문에 직원들이 공식적인 업무를 위해 온 것처럼 보이는 사람에게 호의를 베풀 가능성이 더 높습니다.

VPN과 네트워크 분할로도 이미 사무실 안에 있는 사람을 막지 못하는 이유

대부분의 사이버 보안 논의는 피싱 이메일, 자격 증명 스터핑, 악성 링크를 통해 전달되는 랜섬웨어 등 원격 위협에 초점을 맞춥니다. 이에 대응하여 일반적으로 도입되는 도구인 VPN, 방화벽, 네트워크 분할은 인터넷을 통해 시스템에 들어오고 나가는 트래픽을 제어하도록 설계되었습니다. 공격자가 건물 내부의 워크스테이션에 앉아 있는 경우 이러한 도구는 거의 무용지물입니다.

SRG와 같은 그룹이 법률 회사를 대상으로 하는 물리적 사칭 공격은 네트워크 기반 방어의 모든 계층을 우회합니다. 누군가에게 로그인된 컴퓨터 앞에 앉을 권한이 주어지면 이미 다중 인증이 통과된 것입니다. USB 드라이브를 꽂거나 로컬 네트워크를 통해 공유 폴더에 액세스하는 경우, 원격 사용자 간의 암호화된 터널은 아무 의미가 없습니다. 네트워크 분할은 측면 이동을 어느 정도 제한할 수 있지만, 사용 중인 기기에서 이미 접근 가능한 데이터에 대한 접근을 막지는 못합니다.

이것이 사이버 보안을 순전히 기술적인 영역으로 취급할 때의 핵심 문제입니다. 인간 행동과 물리적 환경은 어떤 소프트웨어 제품으로도 완전히 해결할 수 없는 공격 표면을 만듭니다. 내부자 위협과 자격 증명 오용에도 동일한 원칙이 적용되는데, 정교한 해킹이 아닌 단순한 인간의 실수나 부주의로 접근 통제가 무력화되는 사례는 공개 GitHub 저장소에 AWS 키와 비밀번호를 유출한 CISA 계약자에 대한 보도에서도 확인할 수 있습니다.

이 위협을 실제로 완화하는 제로 트러스트와 물리적 보안 통제

제로 트러스트 아키텍처는 원격 접근의 맥락에서 자주 논의되지만, 그 핵심 원칙은 여기에도 직접 적용됩니다. 즉, 사람이나 기기가 단지 올바른 장소에 있는 것처럼 보인다는 이유만으로 접근 권한을 가져야 한다고 결코 가정하지 말라는 것입니다. 물리적 환경에서는 이것이 몇 가지 구체적인 관행으로 이어집니다.

첫째, 방문자 및 공급업체 확인 절차를 공식화하고 일관되게 시행해야 합니다. IT 지원을 주장하는 사람은 누구든지 기기를 무감독 상태로 접근하도록 허용하기 전에 독립적인 경로를 통해 확인해야 합니다. 즉, 방문자가 제공한 번호가 아닌 IT 부서에 직접 전화하여 방문 일정이 잡혀 있었는지 확인하는 것을 의미합니다.

둘째, 워크스테이션과 기기는 일정 시간 활동이 없으면 재인증을 요구해야 하며, 가급적이면 자리를 비울 때 민감한 시스템에 로그인된 상태로 두어서는 안 됩니다. 물리적 포트 잠금 장치나 USB 차단기는 무단으로 접근된 기기에서 데이터가 불법적으로 전송되는 것을 방지할 수 있습니다.

셋째, 기기 수준의 접근 로깅이 중요합니다. 무단 접근자가 실제로 접근하더라도, 포렌식 추적은 어떤 정보가 도난당했는지 식별하고 후속 갈취 주장의 범위를 제한하는 데 도움이 됩니다.

마지막으로, 직원 교육은 피싱 이메일뿐만 아니라 물리적 사회 공학 시나리오를 명시적으로 다루어야 합니다. 법률 회사 직원들, 특히 프런트 데스크 직원은 정중함과 표면적 권위에 대한 경의가 바로 공격자가 악용하는 특성이라는 점을 알아야 합니다.

이것이 의미하는 바: 민감한 산업 분야 전문가를 위한 실행 가능한 조치

법률, 금융, 의료 등 특권 정보나 규제 정보를 취급하는 모든 분야에서 일하고 있다면, 이번 SRG 경고를 계기로 디지털 및 물리적 보안 태세를 점검해야 합니다. 다음은 시작해야 할 부분입니다:

방문자 접근 프로토콜을 감사하세요. 조직에 예정되지 않은 IT 방문을 확인하는 공식 절차가 있습니까? 답이 '아니오'이거나 불분명하다면 그 격차를 즉시 해소해야 합니다.
기기 잠금 및 인증 정책을 검토하세요. 일정 시간 활동이 없으면 자동으로 잠기고 다시 시작하려면 자격 증명을 요구하는 기기는 물리적 공격자의 기회 창을 크게 줄입니다.
물리적 사회 공학에 대해 직원을 교육하세요. 누군가가 공급업체나 IT 계약자로 가장하는 시나리오를 팀과 함께 연습하세요. 접근 권한을 부여하기 전에 확인하는 습관을 연습하세요.
데이터 접근 모델을 평가하세요. 최소 권한 원칙을 적용하여 워크스테이션이 침해되더라도 공격자가 해당 특정 사용자 계정이 정상적으로 처리하는 데이터 이상에 접근할 수 없도록 합니다.
원격 접근 정책도 확인하세요. 물리적 보안과 디지털 접근 통제는 함께 작동합니다. 하나만 검토하고 다른 하나를 검토하지 않으면 공백이 남습니다.

FBI의 사일런트 랜섬 그룹에 대한 경고는 효과적인 보안을 위해서는 위협을 네트워크, 기기, 그리고 공간이라는 3차원으로 생각해야 한다는 점을 상기시켜 줍니다. 민감한 분야의 전문가라면 지금이 현재의 프로토콜이 그곳에 속해 있는 것처럼 보이는 사람이 정문으로 걸어 들어오는 것을 실제로 막을 수 있을지 평가해야 할 때입니다.