장기간에 걸쳐 공격 시도하기 때문에 이를 인지·차단할 수 있는 시점도 많아
주요 포인트 점검, 피해 분석 및 재발 방지, 모의훈련 통해 랜섬웨어 대응력 강화해야
[보안뉴스 이상우 기자] 오늘날 랜섬웨어는 대표적인 사이버 공격 유형 중 하나다. 랜섬웨어는 특히 한 번 피해를 입으면 회복이 어려우며, 무엇보다 최근 사이버 공격자는 랜섬웨어 공격을 통해 암호화는 물론 기업 내부 정보를 유출해 협박하고, 웹 서비스 제공 기업에 대해서는 디도스(DDoS) 공격을 추가로 감행하고 있다.
과거 랜섬웨어는 특정 PC에 대한 1회성 감염과 복호화를 대가로 금전을 요구하는 일시적인 공격이었지만, 최근에는 오랜 기간 걸쳐 사전 작업(정보유출, 악성코드 유포 등) 후 랜섬웨어를 동시다발적으로 실행해 시스템 전체를 먹통으로 만드는 지능형 지속 위협(APT) 형태로 진화하는 추세다.
[자료=한국인터넷진흥원]
한국인터넷진흥원(이하 KISA)에 따르면 랜섬웨어 공격은 전 세계적으로 증가하고 있다. 2021년 발생한 랜섬웨어 공격 피해액은 2020년과 비교해 102% 증가했으며, 그 금액은 한화로 약 22조원에 이른다. 국내의 경우 2019년 KISA에 신고된 랜섬웨어는 39건이지만, 2020년에는 127건으로 3배 이상 급증했다. 올해 상반기에도 이미 78건이 신고된 상황으로, 국내에서도 피해가 늘어나고 있는 추세다.
피해를 입는 산업 분야도 에너지, 식량, IT, 제조, 서비스, 운송 분야 등으로 다양해지고 있다. 미국에서는 콜로니얼 파이프라인 사태로 일부 지역에 연료 공급 중단 및 유가상승 사태가 발생했으며, 세계 최대 정육업체 JBS는 랜섬웨어 피해 복구를 위해 120억 원을 지불하기도 했다. IT 분야에서는 미국의 IT 솔루션 기업 카세야에 대한 랜섬웨어 공격이 발생했다. 이러한 공격은 특히 고객사에게도 피해가 전이될 수 있기 때문에 심각한 사례로 분류된다. 이밖에도 국내 차량부품 제조업체, 배달대행 플랫폼, 해운사 선박의 메인컴퓨터 등 랜섬웨어 공격은 분야를 가리지 않고 일어나는 추세다.
KISA 이재광 팀장은 “최근 랜섬웨어 공격 동향은 개인의 컴퓨터를 공격하는 것을 넘어 기업 시스템, 사회기반시설, 생활필수산업 등으로 확대되는 추세로, 일반인도 체감할 수 있는 영역까지 가까워지고 있는 상황이다. 특히, 공격에 대비해 백업을 하는 기업이 늘면서 정보유출, DDoS 등을 통한 삼중협박이 이뤄지고 있다”고 설명했다.
이어 “랜섬웨어의 분업화 역시 특징이다. 다크웹과 가상자산(암호화폐)이 복합적으로 활용되면서, 공격자는 전문적인 지식 없이도 다크웹에서 랜섬웨어를 구매해 가상자산으로 수익을 나눈다. 다크웹을 통해 익명성이 보장되고 가상자산으로 자금세탁까지 가능하기 때문에 서비스형 랜섬웨어(RaaS)가 자연스럽게 태동했다”고 덧붙였다.
KISA가 실제 분석한 랜섬웨어 피해 사례의 원인으로는 △공격자가 쉽게 접근할 수 있는 웹 서버의 취약점 패치를 진행하지 않고 △여러 서버 관리자 ID와 비밀번호를 동일하게 사용했으며 △다요소 인증(MFA) 등 접근제어 정책 부재 △관리자 PC에 대한 망분리 미실시 △AD 배포정책 및 안전점검 미흡 △소프트웨어 업데이트 체계에 대한 보안 모니터링 미흡(공급망 공격 대비) 등으로 조사됐다.
앞서 언급한 것처럼 오늘날 랜섬웨어 공격은 오랜 기간에 걸친 지능형 지속위협의 결과물이다. 공격자는 기업 시스템의 보안 약점을 찾아 침투하고, 관리자 권한을 얻어 연결된 수많은 시스템에 조금씩 악성코드를 유포하고, 이 과정에서 정보를 유출한다. 충분한 사전작업이 끝난 뒤 랜섬웨어를 실행해 공격 사실을 알리고 유출 정보를 바탕으로 기업을 협박한다. 바꿔 말하면, 공격자가 이러한 준비를 하는 동안 기업 보안담당자는 침투 사실을 인지하고 대응책을 마련할 수 있는 기간이 있는 셈이다.
사이버 공격자는 침투 이후 악성코드 대량 유포를 위한 거점을 마련하며, 이는 관리자 PC나 개발자 PC 혹은 AD서버 등이 될 수 있다. 최근에는 기업 내부에서 상대적으로 관리가 허술한 테스트 서버를 이용하기도 한다. 이 때문에 주요 거점에 대한 주기적인 점검이 필요하며, 백업을 통한 피해 예방 등 철저한 관리가 요구된다. 안전한 서버나 매체에 백업 데이터를 보관하지 않으면 백업을 위한 정보 자체가 랜섬웨어에 감염될 수 있기 때문에 백업 서버에 대한 망분리 및 접근제어 정책이 필요하다. 특히, 백업 데이터로 시스템을 복원하는 데도 오랜 기간이 걸릴 수 있기 때문에 업무 정상화를 위해 어떤 시스템을 먼저 복구해야 하는지 우선순위를 정하고, 주요 데이터가 제대로 백업되고 있는지 점검하는 등 대응전략을 수립해야 한다.
이재광 팀장은 “랜섬웨어는 무엇보다 원인 분석이 중요하다. 백업 데이터로 시스템을 정상화하더라도, 공격자가 이미 뚫어놓은 경로가 있기 때문에 복원 후 다시 피해가 발생할 수 있다. 이에 랜섬웨어에 감염됐을 경우 무조건 포맷해서는 안되며, 침투 경로는 무엇인지, 어디까지 침투했는지, 거점으로 활용한 시스템은 무엇인지 등을 명확히 식별해야 피해 재발을 방지할 수 있다”고 말했다.
[자료=한국인터넷진흥원]
KISA가 제안하는 랜섬웨어 대응 전략은 ‘점검하라’, ‘대응하라’, ‘훈련하라’ 등 세 가지다. 우선 점검하라는 것은 오늘날 랜섬웨어 공격은 상당한 기간에 걸쳐 이뤄지기 때문에 공격 진행 단계를 탐지해 선제적 대응이 필요하다는 의미다.
대응하라는 것은 점검 단계에서 특이사항이 발견될 경우 포맷 같은 단편적인 조치가 아니라 후속대응이 중요하다는 의미다. 공격 징후가 발견됐다면 KISA 등에 신고하고 기술지원을 받거나 기업이 이용하고 있는 정보보호 업체를 통해 상세히 점검하며 침투 경로 및 활동 범위를 식별해 조치해야 한다.
마지막 훈련하라는 것은 감염된 상황을 가정하고 데이터 복원에 대한 훈련이 필요하다는 의미다. 이러한 훈련을 통해 복원 우선순위를 결정하고. 백업 설정이 안 된 영역이나 불가능한 영역도 파악할 수 있다. 특히, 백업 데이터 감염 사례도 많기 때문에 안전한 저장매체에 잘 보관하고 있는지 확인해야 한다.
과학기술정보통신부와 KISA 역시 개인과 기업이 랜섬웨어에 대응할 수 있도록 지원하고 있다. 우선 점검을 위해 K-사이버방역의 일환으로 개인 PC 보안 취약점 점검을 위한 내PC 돌보미 서비스, 웹 서버 보안 취약점 제거를 위한 프로그램 ‘휘슬’ 등을 제공하고 있으며, 기업 스스로 보안을 강화할 수 있는 역량이 있다면 피해사례 및 사고조사에 대한 기술문서를 제공해 주요 점검 포인트를 알려주고 있다.
대응에 대해서는 점검 과정에서 특이사항 발생 시 이를 제거하는 등 원스톱 대응체계를 전국단위로 확대해 운영하고 있으며, 디도스 공격이 발생할 경우 트래픽을 우회해 정상 서비스를 유지할 수 있도록 ‘사이버 대피소’도 구축하고 있다.
훈련에 대해서는 기업의 신청을 받아 모의훈련을 지원한다. 가상으로 사이버 공격 시나리오를 만들어 실제 피해가 발생하지 않도록 지원하며, 랜섬웨어 예방수칙 및 백업 가이드라인도 배포하고 있다. 또한, 상대적으로 정보보호가 취약한 중소·영세기업에 대해서는 맞춤형 컨설팅 및 보안 솔루션 도입 지원사업을 펼치고 있으며, 민관합동 랜섬웨어 협의체를 통해 최신동향 안내 및 정책 제안 등 중소영세기업의 실질적인 대응력 강화를 위해 노력 중이다.
이재광 팀장은 “랜섬웨어는 암호화 차단만으로 끝나는 것이 아니다. 랜섬웨어가 실행된 시점에서 이미 정보는 유출됐다. 이에 어떻게 뚫렸는지 확인하기 위해 로그를 반드시 남겨야 한다. 또한, PC에 무조건 백신을 설치하고, 실시간 감시를 사용해야 한다. KISA는 주요 백신 업체와 협의체를 구성해 새로운 랜섬웨어 샘플이 출현할 경우 이를 공유함으로써 백신에서 탐지할 수 있도록 하고 있다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>