랜섬웨어 공격자들, 보다 날카로운 공격 실시함에 따라 기존 방어법 안 통해
어쩌면 돈을 주는 것도 나쁘지 않은 방법...단 협상 전문가를 통해야 안전해
[보안뉴스 문가용 기자] 미국 플로리다 주에 있는 시청 측이 랜섬웨어에 걸려 결국 60만 달러를 공격자들에게 돈을 주기로 결정했다. 이 때문에 각계각층에서 “범인들과 협상을 하다니, 있을 수 없는 일”이라거나, “랜섬웨어 공격자들에게 돈을 주는 건, 랜섬웨어 산업을 키우는 일”이라는 비판이 쏟아졌다.
[이미지 = ilclickart]
그러나 기업들이나 정부 기관들의 입장에서 랜섬웨어 공격자들에게 돈을 주지 않는 선택이 말처럼 쉽지만은 않다. 하루라도 운영이 멈추어서는 안 되는 곳이 대부분이기 때문에 빠른 복구가 생명과 같다. 운영이 마비된 상태로 시간이 지날수록 피해는 기하급수적으로 증가한다. 그래서 보안 전문가들은 애초에 랜섬웨어 공격에 당하지 않도록 평소 보안 실천 사항을 잘 지키고 백업을 마련해야 한다고 권고해왔지만, 이왕 걸린 상황에서는 빠르게 돈을 내고 피해를 복구하는 게 낫다는 의견들도 나오고 있는 상황이다.
시장 조사 전문 기관인 포레스터 리서치(Forrester Research)의 경우, 지난 6월 5일 랜섬웨어에 걸렸을 때 범인들에게 돈을 내는 법에 대한 가이드라인을 발표하기도 했다. 사이버 점죄자들과의 협상을 전문으로 하는 제3의 업체를 선정하는 것이 가장 안전하다는 방법이 제시되기도 했다.
포레스터의 사이버 보안 분석 전문가인 조시 젤로니스(Josh Zelonis)는 “랜섬웨어에 걸린 상황에서, 코칭을 해줄 수 있는 랜섬웨어 대응 전문가를 선임해 해결해나갈 것을 권장한다”고 말했다. “절차를 밟아서 범죄자들과 관계를 맺어나가고, 그런 과정을 통해 범죄자들이 정말로 암호화 된 데이터를 복구해줄 능력과 의향이 있음을 확인해야 합니다. 증거를 반드시 요구하는 게 중요합니다.”
이렇게, 여태까지와는 전혀 다른 랜섬웨어 대처 방안이 나오고 있는 이유는 랜섬웨어에 걸리는 사례가 지나치게 많아지고 있기 때문이다. 현재 미국 내 공공 기관들만 봤을 때, 볼티모어, 메릴랜드, 애틀랜타, 조지아, 리비에라, 플로리다, 알바니와 같은 자치제 당국이 랜섬웨어 때문에 마비됐다. 이중 일부는 범죄자들과 절대 협상을 하지 않는다는 입장이고, 일부는 범죄자들과 타협점을 찾겠다고 한다.
공공 기관만 문제가 아니다. 전 세계적인 대기업들도 여럿 랜섬웨어 때문에 큰 피해를 입고 있다. 머크(Merck), 페덱스(Fedex), 리놀트(Renault) 등은 워너크라이(WannaCry)와 낫페트야(NotPetya) 공격으로 수억 달러를 잃었고, 지금 이 순간에도 피해 기업과 피해액은 증가 일변도만을 달리고 있다.
보안 업체 멀웨어바이츠(Malwarebytes)의 연구 조사 국장인 아담 쿠자와(Adam Kujawa)는 “덮어놓고 ‘돈을 내라’거나 ‘내지 말라’고 권할 수 없다”는 의견이다. “랜섬웨어에 걸린 피해자의 상황이 너무나 다양합니다. 망분리를 해놓지 않았다거나, 백업 드라이브까지 전부 당한 상황에서 당장 회사를 가동시키지 못하면 망할 것 같은 상황이다? 그러면 돈을 내고 살아남아야죠.”
또한 랜섬웨어 공격자들의 전략도 상당히 바뀌었다. 이전에는 랜섬웨어를 무작위로 흩뿌려놓고 누군가 걸리기를 기다렸다면, 이번에는 표적을 정해두고 집요하고 철저한 공격을 실시한다는 것이다. 그렇기 때문에 주로 돈을 많이 낼 수 있는 기업이나 정부 기관이 표적이 되고 있고, 실제 요구되는 협박금도 이전보다 많이 늘어났다. 젤로니스는 “최근 범인들이 요구하는 금액은 7자리 수”라고 할 정도다.
“표적 공격을 한다는 건 랜섬웨어 공격자들이 사전 조사를 많이 한다는 뜻입니다. 그저 인프라 구조만 보는 게 아니라, 백업이 어디에 있는지, 어떤 보안 체제를 갖추고 있는지 등까지 다 파악해 어지간한 보안 장치와 랜섬웨어 대비책들을 무용지물로 만듭니다. 그 자신감이 있으니 돈도 더 요구할 수 있는 것이지요. 심지어 기업의 연간 수익까지도 파악해 그에 맞는 협박금을 책정하기도 합니다.”
그러므로 “범인들과는 절대 협상하지 않는다”는 기조를 지킨다는 게 쉽지만은 않다. “이제 그런 의지는 사건 전부터 발휘되어야 합니다. 즉 범인과 절대 협상하지 않을 거라는 강력한 의지를 사전 준비에서부터 증명해야 한다는 겁니다. 보안, 사건 대응, 복구라는 모든 부분에 있어서 랜섬웨어 공격에 대비해야 하고, 피해를 최소화시키기 위한 방법을 강구해야 합니다. 특히 최근에는 사건 대응을 모의로 훈련하는 것이 중요해지고 있습니다.” 젤로니스의 설명이다.
“랜섬웨어 시장은 지난 2~3년 전부터 완전히 탈바꿈하는 데 성공했습니다. 이제 표적이 되는 조직이 무엇을 무서워하고, 어떤 식으로 보안 사건에 대응하며, 랜섬웨어에 걸렸을 때 어떤 식으로 반응할지도 다 알고 있습니다. 그런 작업이 있은 후에야 공격을 실시하니, 기존의 랜섬웨어 방어법으로는 잘 막아지지 않는 겁니다.”
포레스터 측은 “가장 기본적으로는 사이버 보험에 가입해야 안전하다”고 권장하기도 한다. 랜섬웨어도 기업들의 사업적 리스크 요소 중 하나로 인식해야 한다는 것이다. “현 시점에서 랜섬웨어와 관련된 가장 가혹한 진실이 무엇일까요? 그들이 표적 공격을 하기 시작했다? 돈을 내지 않으면, 복구 비용이 더 든다? 아닙니다. 랜섬웨어 공격자들은 날카로워져 가는데, 우리는 한없이 무디다는 겁니다. 복구 능력이 얼마나 되는지, 랜섬웨어 방비가 얼마나 꼼꼼하거나 허술한지, 모의 실험을 한 차례라도 해보는 조직은 거의 아무 데도 없습니다.”
그런 상황에서 가장 현실적인 조언은 “최대한 빠르게 범인들에게 돈을 지불할 수 있는 암호화폐를 어느 정도 보유해두고, 랜섬웨어 상황이 발생했을 때 범인들과 협상을 할 수 있을 만한 서드파티 전문가들을 미리 알아두는 것”이라고, 포레스터는 보고서를 통해 권장했다.
쿠자와도 “랜섬웨어 공격자가 앙심을 품고 피해를 주기 위해 공격한 것이 아니라면, 협상 의지가 있을 것이고, 협상 의지가 있는 자라면 복구 능력도 갖추고 있을 것”이라며 “사업주 입장에서 키워온 사업체를 망하게 하는 것보다, 범인과 협상을 하는 편이 현명할 수도 있다”는 의견이다. “물론 이상적이고 완벽한 답은 아닙니다. 그러나 조직이 무너져 내려 더 큰 피해를 입도록 놔두는 것 역시 좋은 답이라고 볼 수는 없습니다.”
3줄 요약
1. 랜섬웨어 공격자들, 날카롭게 전략과 무기 가다듬어 피해자가 생길 수밖에 없도록 공격함.
2. 그렇기 때문에 ‘범죄자들에게 돈을 주지 말라’는 랜섬웨어 대처 방법이 구시대적인 조언이 되어가고 있음.
3. 범죄자들과 절대 교섭할 수 없다고? 그렇다면 그 의지를 준비 단계에서부터 보여주길.
[국제부 문가용 기자(globoan@boannews.com)]
어쩌면 돈을 주는 것도 나쁘지 않은 방법...단 협상 전문가를 통해야 안전해
[보안뉴스 문가용 기자] 미국 플로리다 주에 있는 시청 측이 랜섬웨어에 걸려 결국 60만 달러를 공격자들에게 돈을 주기로 결정했다. 이 때문에 각계각층에서 “범인들과 협상을 하다니, 있을 수 없는 일”이라거나, “랜섬웨어 공격자들에게 돈을 주는 건, 랜섬웨어 산업을 키우는 일”이라는 비판이 쏟아졌다.
[이미지 = ilclickart]
그러나 기업들이나 정부 기관들의 입장에서 랜섬웨어 공격자들에게 돈을 주지 않는 선택이 말처럼 쉽지만은 않다. 하루라도 운영이 멈추어서는 안 되는 곳이 대부분이기 때문에 빠른 복구가 생명과 같다. 운영이 마비된 상태로 시간이 지날수록 피해는 기하급수적으로 증가한다. 그래서 보안 전문가들은 애초에 랜섬웨어 공격에 당하지 않도록 평소 보안 실천 사항을 잘 지키고 백업을 마련해야 한다고 권고해왔지만, 이왕 걸린 상황에서는 빠르게 돈을 내고 피해를 복구하는 게 낫다는 의견들도 나오고 있는 상황이다.
시장 조사 전문 기관인 포레스터 리서치(Forrester Research)의 경우, 지난 6월 5일 랜섬웨어에 걸렸을 때 범인들에게 돈을 내는 법에 대한 가이드라인을 발표하기도 했다. 사이버 점죄자들과의 협상을 전문으로 하는 제3의 업체를 선정하는 것이 가장 안전하다는 방법이 제시되기도 했다.
포레스터의 사이버 보안 분석 전문가인 조시 젤로니스(Josh Zelonis)는 “랜섬웨어에 걸린 상황에서, 코칭을 해줄 수 있는 랜섬웨어 대응 전문가를 선임해 해결해나갈 것을 권장한다”고 말했다. “절차를 밟아서 범죄자들과 관계를 맺어나가고, 그런 과정을 통해 범죄자들이 정말로 암호화 된 데이터를 복구해줄 능력과 의향이 있음을 확인해야 합니다. 증거를 반드시 요구하는 게 중요합니다.”
이렇게, 여태까지와는 전혀 다른 랜섬웨어 대처 방안이 나오고 있는 이유는 랜섬웨어에 걸리는 사례가 지나치게 많아지고 있기 때문이다. 현재 미국 내 공공 기관들만 봤을 때, 볼티모어, 메릴랜드, 애틀랜타, 조지아, 리비에라, 플로리다, 알바니와 같은 자치제 당국이 랜섬웨어 때문에 마비됐다. 이중 일부는 범죄자들과 절대 협상을 하지 않는다는 입장이고, 일부는 범죄자들과 타협점을 찾겠다고 한다.
공공 기관만 문제가 아니다. 전 세계적인 대기업들도 여럿 랜섬웨어 때문에 큰 피해를 입고 있다. 머크(Merck), 페덱스(Fedex), 리놀트(Renault) 등은 워너크라이(WannaCry)와 낫페트야(NotPetya) 공격으로 수억 달러를 잃었고, 지금 이 순간에도 피해 기업과 피해액은 증가 일변도만을 달리고 있다.
보안 업체 멀웨어바이츠(Malwarebytes)의 연구 조사 국장인 아담 쿠자와(Adam Kujawa)는 “덮어놓고 ‘돈을 내라’거나 ‘내지 말라’고 권할 수 없다”는 의견이다. “랜섬웨어에 걸린 피해자의 상황이 너무나 다양합니다. 망분리를 해놓지 않았다거나, 백업 드라이브까지 전부 당한 상황에서 당장 회사를 가동시키지 못하면 망할 것 같은 상황이다? 그러면 돈을 내고 살아남아야죠.”
또한 랜섬웨어 공격자들의 전략도 상당히 바뀌었다. 이전에는 랜섬웨어를 무작위로 흩뿌려놓고 누군가 걸리기를 기다렸다면, 이번에는 표적을 정해두고 집요하고 철저한 공격을 실시한다는 것이다. 그렇기 때문에 주로 돈을 많이 낼 수 있는 기업이나 정부 기관이 표적이 되고 있고, 실제 요구되는 협박금도 이전보다 많이 늘어났다. 젤로니스는 “최근 범인들이 요구하는 금액은 7자리 수”라고 할 정도다.
“표적 공격을 한다는 건 랜섬웨어 공격자들이 사전 조사를 많이 한다는 뜻입니다. 그저 인프라 구조만 보는 게 아니라, 백업이 어디에 있는지, 어떤 보안 체제를 갖추고 있는지 등까지 다 파악해 어지간한 보안 장치와 랜섬웨어 대비책들을 무용지물로 만듭니다. 그 자신감이 있으니 돈도 더 요구할 수 있는 것이지요. 심지어 기업의 연간 수익까지도 파악해 그에 맞는 협박금을 책정하기도 합니다.”
그러므로 “범인들과는 절대 협상하지 않는다”는 기조를 지킨다는 게 쉽지만은 않다. “이제 그런 의지는 사건 전부터 발휘되어야 합니다. 즉 범인과 절대 협상하지 않을 거라는 강력한 의지를 사전 준비에서부터 증명해야 한다는 겁니다. 보안, 사건 대응, 복구라는 모든 부분에 있어서 랜섬웨어 공격에 대비해야 하고, 피해를 최소화시키기 위한 방법을 강구해야 합니다. 특히 최근에는 사건 대응을 모의로 훈련하는 것이 중요해지고 있습니다.” 젤로니스의 설명이다.
“랜섬웨어 시장은 지난 2~3년 전부터 완전히 탈바꿈하는 데 성공했습니다. 이제 표적이 되는 조직이 무엇을 무서워하고, 어떤 식으로 보안 사건에 대응하며, 랜섬웨어에 걸렸을 때 어떤 식으로 반응할지도 다 알고 있습니다. 그런 작업이 있은 후에야 공격을 실시하니, 기존의 랜섬웨어 방어법으로는 잘 막아지지 않는 겁니다.”
포레스터 측은 “가장 기본적으로는 사이버 보험에 가입해야 안전하다”고 권장하기도 한다. 랜섬웨어도 기업들의 사업적 리스크 요소 중 하나로 인식해야 한다는 것이다. “현 시점에서 랜섬웨어와 관련된 가장 가혹한 진실이 무엇일까요? 그들이 표적 공격을 하기 시작했다? 돈을 내지 않으면, 복구 비용이 더 든다? 아닙니다. 랜섬웨어 공격자들은 날카로워져 가는데, 우리는 한없이 무디다는 겁니다. 복구 능력이 얼마나 되는지, 랜섬웨어 방비가 얼마나 꼼꼼하거나 허술한지, 모의 실험을 한 차례라도 해보는 조직은 거의 아무 데도 없습니다.”
그런 상황에서 가장 현실적인 조언은 “최대한 빠르게 범인들에게 돈을 지불할 수 있는 암호화폐를 어느 정도 보유해두고, 랜섬웨어 상황이 발생했을 때 범인들과 협상을 할 수 있을 만한 서드파티 전문가들을 미리 알아두는 것”이라고, 포레스터는 보고서를 통해 권장했다.
쿠자와도 “랜섬웨어 공격자가 앙심을 품고 피해를 주기 위해 공격한 것이 아니라면, 협상 의지가 있을 것이고, 협상 의지가 있는 자라면 복구 능력도 갖추고 있을 것”이라며 “사업주 입장에서 키워온 사업체를 망하게 하는 것보다, 범인과 협상을 하는 편이 현명할 수도 있다”는 의견이다. “물론 이상적이고 완벽한 답은 아닙니다. 그러나 조직이 무너져 내려 더 큰 피해를 입도록 놔두는 것 역시 좋은 답이라고 볼 수는 없습니다.”
3줄 요약
1. 랜섬웨어 공격자들, 날카롭게 전략과 무기 가다듬어 피해자가 생길 수밖에 없도록 공격함.
2. 그렇기 때문에 ‘범죄자들에게 돈을 주지 말라’는 랜섬웨어 대처 방법이 구시대적인 조언이 되어가고 있음.
3. 범죄자들과 절대 교섭할 수 없다고? 그렇다면 그 의지를 준비 단계에서부터 보여주길.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
