과기정통부, 랜섬웨어 대응 위한 지원책 마련
민·관 합동 랜섬웨어 대응 협의체, 국민과 중소기업 위한 실질적 활동 추진
[보안뉴스 이상우 기자] 한국인터넷진흥원이 발표한 자료에 따르면 랜섬웨어 공격은 전 세계적으로 증가하고 있다. 2021년 발생한 랜섬웨어 공격 피해액은 2020년과 비교해 102% 증가했으며, 그 금액은 한화로 약 22조원에 이른다. 국내의 경우 2019년 KISA에 신고된 랜섬웨어는 39건이지만, 2020년에는 127건으로 3배 이상 급증했다. 올해 상반기에도 이미 78건이 신고된 상황으로, 국내에서도 피해가 늘어나고 있는 추세다. 피해를 입는 산업 분야도 에너지, 식량, IT, 제조, 서비스, 운송 분야 등으로 다양해지고 있다.
[이미지=utoimage]
오늘날 랜섬웨어는 대표적인 사이버 공격 유형 중 하나다. 랜섬웨어는 특히 한 번 피해를 입으면 회복이 어려우며, 무엇보다 최근 사이버 공격자는 랜섬웨어 공격을 통해 암호화는 물론 기업 내부정보를 유출해 협박하고, 웹 서비스 제공기업에 대해서는 디도스(DDoS) 공격을 추가로 감행하고 있다. 과거 랜섬웨어는 특정 PC에 대한 1회성 감염과 복호화를 대가로 금전을 요구하는 ‘일시적인 공격’이었지만, 최근에는 오랜 기간에 걸쳐 사전 작업(정보유출, 악성코드 유포 등) 후, 랜섬웨어를 동시다발적으로 실행해 시스템 전체를 먹통으로 만드는 지능형 지속 위협(APT) 형태로 진화하는 추세다.
랜섬웨어 공격은 개인의 컴퓨터를 공격하는 것을 넘어 기업 시스템, 사회기반시설, 생활필수산업 등으로 확대되고 있으며, 일반인도 체감할 수 있는 영역까지 가까워지고 있다. 특히, 공격에 대비해 백업을 하는 기업이 늘면서 정보유출, DDoS 등을 통한 삼중협박까지 이뤄지고 있는 상황이다.
미국의 경우 올해 콜로니얼 파이프라인 사태로 일부 지역에 연료 공급 중단 및 유가상승 사태가 발생했으며, 브라질 식품기업 JBS는 랜섬웨어 피해 복구를 위해 120억원을 지불하기도 했다. IT 분야에서는 미국의 IT 솔루션 기업 카세야에 대한 랜섬웨어 공격이 발생했다. 이러한 공격은 특히 고객사에게도 피해가 전이될 수 있기 때문에 심각한 사례로 분류된다. 이밖에도 국내 차량부품 제조업체, 배달대행 플랫폼, 해운사 선박의 메인컴퓨터 등 랜섬웨어 공격은 분야를 가리지 않고 일어나고 있다. 향후 스마트시티나 스마트그리드 등 사회 인프라에 대한 랜섬웨어 공격이 발생할 경우 일상생활이 마비될 가능성도 있다.
뿐만 아니라 랜섬웨어가 사람의 목숨까지 위협할 수 있다. 지난 2017년 5월 영국의 NHS(국가보건서비스)가 워너크라이 공격을 당해 16개 병원이 폐쇄됐으며, 최소 6,900건에 달하는 진료예약이 취소된 바 있다. 금전을 노리고 랜섬웨어를 퍼뜨린 공격자 때문에 애꿎은 환자들이 고통을 당한 것이다. 또한, 2020년 9월에는 독일 뒤셀도르프 대학병원 서버 30대가 랜섬웨어 공격으로 인해 마비됐으며, 주요 병원 IT 서비스 운용이 불가능하게 됐다. 이 과정에서 병원은 한 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망했다. 가까운 미래에 디지털 헬스케어 분야에서 인슐린펌프나 인공심장박동기 같은 인체 삽입형 디지털 의료기기가 랜섬웨어 공격 대상이 된다면, 데이터가 아닌 생명을 인질로 잡고 협박하는 사례까지 등장할 수도 있다.
랜섬웨어의 분업화 역시 최근 공격 양상이다. 랜섬웨어 개발조직과 침투 및 공격조직이 서로 역할을 나눠 활동하고, 범죄를 통해 벌어들인 수익을 서로 나누는 형태다. 다크웹과 가상자산(암호화폐)이 복합적으로 활용되면서 공격자는 전문적인 지식 없이도 랜섬웨어 공격을 감행할 수 있고, 개발자는 추적을 피하면서도 수익을 올릴 수 있다. 다크웹을 통해 익명성이 보장되고 가상자산으로 자금세탁까지 가능하기 때문에 이러한 서비스형 랜섬웨어(RaaS)가 자연스럽게 등장한 셈이다.
-----------------------------------------------
◇ 악명 높은 랜섬웨어와 주요 특징
워너크라이(WannaCry) 2017년 5월 12일(현지 시간기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드로, 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화한다. 마이크로소프트 윈도우 운영체제의 SMB(Sever Message Block, MS17-010)을 이용해 악성코드를 감염시키고, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔해 네트워크로 전파된다. 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경한다. 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있기 때문에 사용자는 백신뿐만 아니라 윈도우 운영체제 최신 보안 패치를 반드시 적용해야 한다.
록키(Locky) 2016년 3월 이후 이메일을 통해 유포되고 있으며, 수신인을 속이기 위해 Invoice(인보이스 발행), Refund(환급) 등의 제목으로 사용자를 속인다. 자바스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고, 사용자가 이를 실행할 경우 자동으로 랜섬웨어를 내려받아 감염시킨다. 록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지가 출력된다. 최근 록키 랜섬웨어는 연결 IP 정보를 동적으로 복호화하고, 특정 파라미터를 전달해 실행하는 경우만 동작하는 등 존재를 숨기는 방식도 사용한다.
크립트XXX(CryptXXX) 지난 2016년 5월, 해외 백신 개발사가 복호화 툴을 공개한 이후, 기존의 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포되고 있다. 초기에는 ‘앵글러 익스플로잇 키트(Angler Exploit Kit)’를 이용했으나, 최근에는 뉴트리노 ‘익스플로잇 킷(NeutrinExploit Kit)’을 사용하는 추세다. 크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지가 출력된다. 또한, 비트코인 지불 안내 페이지에는 한글 번역도 제공하고 있다. 실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL) 형태로 유포되는 악성코드며, 정상 프로세스인 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드해 동작한다. 현재 등장한 버전은 네트워크 연결 없이도 파일을 암호화하고 있다.
케르베르(CERBER) CERBER는 말하는 랜섬웨어로 유명하다. 감염 시 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted”라는 음성 메시지를 출력한다. 케르베르는 웹 사이트 방문 시 취약점을 통해 감염되며, 이후 파일을 암호화 하고 확장자를 .cerber로 변경한다. 악성코드 내에 저장돼 있는 IP 주소와 서브넷 마스크 값을 사용해 UDP 패킷을 전송하며, 네트워크가 연결되지 않더라도 파일은 암호화 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제해 윈도우 시스템 복구가 불가능하도록 만든다. 최근에는 이메일 통해 유포되는 정황도 발견됐다.
크립토락커(CryptoLocker) 2013년 9월에 최초로 발견된 랜섬웨어로 자동실행 등록이름이 크립토락커(CryptoLocker)로 돼 있는 것이 특징이다. 웹 사이트 방문 시 취약점을 통해 감염되거나 이메일 내 첨부파일을 통해 감염된다. 국내 대형 커뮤니티 중 하나인 클리앙에서는 드라이브 바이 다운로드 기법을 통해 한글화된 크랍토락커가 유포되기도 했다. 크립토락커는 확장자를 encrypted, ccc로 변경한다. 파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종(DECRYPT_INSTRUCTIONS.*·HOW_TO_RESTORE_FILES.*)을 생성하며, 윈도우즈 볼륨 쉐도우을 삭제해 시스템 복구가 불가능하도록 만든다.
테슬라크립트(TeslaCrypt) 2015년 국내에 많이 유포된 랜섬웨어로 2016년 5월경 종료로 인해 마스터키가 배포됐다. 취약한 웹 페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr 등으로 변경하는 것이 특징이다. 드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상에서 제외한다. 악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내 문구를 바탕화면에 생성한다.
[자료=한국인터넷진흥원]
-------------------------------------------------
랜섬웨어 공격은 어떻게 발생할까?
KISA가 실제 분석한 랜섬웨어 피해 사례의 원인으로는 △공격자가 쉽게 접근할 수 있는 웹 서버의 취약점 패치를 진행하지 않고 △여러 서버 관리자 ID와 비밀번호를 동일하게 사용했으며 △다요소 인증(MFA)등 접근제어 정책 부재 △관리자 PC에 대한 망분리 미실시 △AD 배포정책 및 안전점검 미흡 △소프트웨어 업데이트 체계에 대한 보안 모니터링 미흡(공급망 공격 대비) 등으로 조사됐다.
앞서 언급한 것처럼 오늘날 랜섬웨어 공격은 오랜 기간에 걸친 지능형 지속위협의 결과물이다. 공격자는 기업 시스템의 보안 약점을 찾아 침투하고, 관리자 권한을 얻어 연결된 수많은 시스템에 조금씩 악성코드를 유포하고, 이 과정에서 정보를 유출한다. 충분한 사전작업이 끝난 뒤 랜섬웨어를 실행해 공격 사실을 알리고 유출 정보를 바탕으로 기업을 협박한다. 바꿔 말하면, 공격자가 이러한 준비를 하는 동안 기업보안담당자는 침투 사실을 인지하고 대응책을 마련할 수 있는 기간이 있는 셈이다.
사이버 공격자는 침투 이후 악성코드 대량 유포를 위한 거점을 마련하며, 이는 관리자 PC나 개발자 PC혹은 AD서버 등이 될 수 있다. 최근에는 기업 내부에서 상대적으로 관리가 허술한 테스트 서버를 이용하기도 한다. 이 때문에 주요 거점에 대한 주기적인 점검이 필요하며, 백업을 통한 피해 예방 등 철저한 관리가 요구된다. 안전한 서버나 매체에 백업 데이터를 보관하지 않으면 백업을 위한 정보 자체가 랜섬웨어에 감염될 수 있기 때문에 백업 서버에 대한 망분리 및 접근제어 정책이 필요하다.
특히, 백업 데이터로 시스템을 복원하는 데도 오랜 기간이 걸릴 수 있기 때문에 업무 정상화를 위해 어떤 시스템을 먼저 복구해야 하는지 우선순위를 정하고, 주요 데이터가 제대로 백업되고 있는지 점검하는 등 대응전략을 수립해야 한다.
관리자 권한을 제대로 관리하는 것 역시 중요하다. 공격자는 우선, 웹셸 업로드 기법을 이용해 서버에서 시스템 권한을 획득하고, 원활한 원격 접속을 위해 서버 내에 원격제어용 악성코드를 설치하고, 가짜 계정을 생성해 해당 계정에 관리자 권한을 부여한다. 특히, 이 과정에서 보안 솔루션 탐지를 우회하기 위해 랜섬웨어 대신 윈도우 운영체제의 암호화 기능인 ‘비트로커(BitLocker)’를 사용한 사례도 있다.
이는 사용자 데이터 보호에 유용한 기능이지만, 해당 기능의 권한이 해커에게 넘어갈 경우 정상적인 기능을 통해 타인이 자신의 데이터를 암호화해 협박하는 것도 가능하다. 관리자 권한을 통해 비트로커 기능을 실행하고 주요 데이터가 보관된 디스크를 암호화한 뒤 금전을 요구한다. 복구 키 및 설정한 암호가 있어야 파일에 접근할 수 있다는 점과 이를 통해 ‘몸값’을 요구한다는 점에서 기존 랜섬웨어 공격과 같은 맥락이다.
한국인터넷진흥원은 랜섬웨어 대응 전략으로 ‘점검하라’, ‘대응하라’, ‘훈련하라’를 제시했다. 우선 점검하라는 것은 오늘날 랜섬웨어 공격은 상당한 기간에 걸쳐 이뤄지기 때문에 공격 진행 단계를 탐지해 선제적 대응이 필요하다는 의미다. 대응하라는 것은 점검 단계에서 특이사항이 발견될 경우 포맷 같은 단편적인 조치가 아니라 후속대응이 중요하다는 의미다. 공격 징후가 발견됐다면 KISA 등에 신고하고 기술지원을 받거나 기업이 이용하고 있는 정보보호 업체를 통해 상세히 점검하며 침투 경로 및 활동 범위를 식별해 조치해야 한다. 마지막 훈련하라는 것은 감염된 상황을 가정하고 데이터 복원에 대한 훈련이필요하다는 의미다. 이러한 훈련을 통해 복원 우선순위를 결정하고. 백업 설정이 안 된 영역이나 불가능한 영역도 파악할 수 있다. 특히, 백업 데이터 감염 사례도 많기 때문에 안전한 저장매체에 잘 보관하고 있는지 확인해야 한다.
------------------------------------------------------
◇ 랜섬웨어 감염 경로
신뢰할 수 없는 사이트 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 통해 랜섬웨어같은 악성코드에 감염될 수 있다. 이를 방지하기 위해서 사용하는 PC 운영체제 및 각종 소프트웨어 버전을 최신으로 유지해 취약점을 제거해야 하며, 음란물, 온라인 도박 사이트 등은 보안 관리가 미흡한 사이트인 만큼 이용을 자제해야 한다.
스팸메일 및 스피어피싱 출처가 불분명한 이메일은 첨부파일이나 메일 본문에 있는 URL을 통해 악성코드를 유포할 수 있다. 따라서 사용자는 첨부파일 실행 또는 URL 링크 클릭에 주의해야 한다. 최근 사용자들이 메일을 열어보도록 유도하기 위해 ‘연말정산 안내’, ‘세금계산서 발행’, ‘이력서 첨부’ 등 일상생활과 밀접한 내용은 물론, ‘국제 정세’, ‘북한 동향’ 등 특정 분야 전문가를 노리는 이슈를 사용하기도 한다. 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장 후 백신 등으로 검사한 뒤 열어보는 것이 좋다.
파일공유 사이트 토렌트, 웹하드 등 P2P 사이트를 통해 불법 복제 콘텐츠(소프트웨어, 영화 등)를 내려받을 경우, 파일 자체가 랜섬웨어 등 악성코드일 가능성도 있다. 실제로 이러한 공격 방식은 ‘유료 소프트웨어 크랙’, ‘최신 게임’, ‘윈도우 11 설치파일’ 등 소프트웨어 최신 버전이 출시되는 시기에 맞춰 빈번하게 발생하기도 한다. 설치파일뿐만 아니라 동영상 등의 파일을 내려 받고 이를 실행할 경우, 악성코드에 감염되는 사례도 있어 이에 대한 주의가 필요하다.
소셜 미디어(SNS) 최근 페이스북, 링크드인 등 SNS에 올라온 단축 URL 및 사진을 이용해 랜섬웨어를 유포하는 사례가 발견됐다. 특히 SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 다이렉트 메시지 등으로 악성 URL을 직접 보낼 수 있기 때문에 주의가 필요하다.
네트워크망 사이버 공격자는 네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하고, 악성코드를감염 및 확산시킨다. 이를 방지하기 위해서는 사용하는 PC 운영체제와 소프트웨어 최신 보안 패치를 적용해 항상 보안 상태를 최신으로 유지해야 한다.
[자료=한국인터넷진흥원]
------------------------------------------------------
[인터뷰-1] 과학기술정보통신부 홍진배 정보보호네트워크정책관
“날로 심각해지는 랜섬웨어 공격… 정부도 대책 마련에 나선다”
이처럼 랜섬웨어는 오늘날 대표적인 사이버 공격 수단 중 하나며, 지능형 지속위협 형태로 오랜 기간에 걸쳐 발생한다. 이처럼 랜섬웨어 공격으로 인한 위협과 피해가 국내 산업 전 분야로 확산되면서 정부도 대응책 마련에 나섰다.
▲과학기술정보통신부 홍진배 정책관[사진=보안뉴스]
과학기술정보통신부 홍진배 정책관은 “랜섬웨어 대응에는 백업 등 선제적인 예방 체계가 중요하며, 국가기반시설부터 중소기업까지 상황에 맞는 정부의 맞춤형 대응 지원이 필요하다. 정부는 랜섬웨어 공격에 안심할 수 있는 디지털 환경 구축을 위해 예방, 대응, 기반강화 등 세 가지 정책 방향을 잡았다”며, “랜섬웨어 피해 방지를 위한 지원은 물론, 국정원·경찰청 등과 연계해 사고 발생부터수사까지 이르는 모든 주기를 지원할 계획이다. 또한, 법과 제도를 개선하고 ‘사이버보안기본법’을 제정하는 등 핵심대응역량을 강화한다”고 덧붙였다.
과학기술정보통신부는 이달 초 관계부처 합동으로 랜섬웨어 대응 강화 방안을 발표하면서 △국가중요시설·기업·국민 수요자별 선제적 ‘예방’을 지원하고 △정보 공유·피해 지원·수사 등 사고 대응의 모든 주기를 지원하며 △진화하는 랜섬웨어에 대한 핵심대응역량을 제고하겠다고 밝혔다.
국가중요시설·기업·국민 수요자별 선제적 ‘예방’ 지원
우선 정부는 랜섬웨어 공격 예방을 위해 ①국가중요시설 관리체계를 구축하고 ②중소기업 보안역량 지원을 강화하며 ③대국민 랜섬웨어 면역력을 키운다. 정보통신기반시설에 정유사(공정제어시스템), 자율주행 관제시스템 등을 추가하며, 랜섬웨어 예방을 위한 ‘백업시스템 구축’, ‘업무지속계획’ 등을 포함하도록 하고, 기반시설에 대한 긴급점검과 모의훈련 역시 확대한다.
현장점검과 취약점 개선을 요구할 수 있도록 제도 개선 추진, 기반시설 SW 공급망 보안 점검체계를 구축, 정부출연연구원과 4대 과학기술원에 연구·개발용 서버를 상시 점검·분석할 수 있는 자가진단시스템을 적용 등 강화된 보안 대책을 수립한다.
보안체계 구축 역량이 상대적으로 낮은 중소기업의 경우 ‘데이터금고’를 클라우드 혹은 NAS 방식으로 보급해 백업할 수 있도록 지원한다. 또한, 이메일보안, 백신, 탐지·차단 등 ‘랜섬웨어 대응 3종 패키지’ 형태로 솔루션 도입을 지원하며, 정부 지원과 별도로 한국정보보호산업협회에 소속된 11개 기업이 영세기업 대상으로 일정기간 무료로 보안 솔루션을 지원하는데 동참한 상태다.
코로나 이후 원격교육·원격근무 등으로 비대면 환경이 활성화되면서 일반국민들에 대한 랜섬웨어 위협도 증가하고 있다. 이에 정부는 ‘내 PC 돌보미 서비스’를 통해 국민들이 사용하는 PC와 IoT 기기가 랜섬웨어에 취약한지 여부를 원격으로 점검하고 개선까지 지원한다.
또한, ‘최신 보안 패치 적용’, ‘중요한 자료 정기적 백업’ 등 국민들의 랜섬웨어 예방을 위한 수칙을 온·오프라인을 통해 지속 홍보할 계획이다.
▲정부의 랜섬웨어 대응 지원책[자료=과학기술정보통신부]
정보 공유·피해 지원·수사 등 사고 대응의 모든 주기 지원
홍진배 정책관은 “현재 민간분야에서는 C-TAS, 공공분야에서는 NCTI 등을 통해 위협 정보를 공유하고 있다. 과학기술정보통신부는 향후 이 두 가지 정보를 실시간으로 연동할 수 있도록 국가정보원과 논의하고 있으며, 각 산업 분야별 정보공유·분석센터(ISAC) 정보 역시 C-TAS와 연계할 계획이다. 이와 함께 더 많은 기업이 C-TAS에 참여할 수 있도록 유도하고, 올해 가을에는 사이버 보안 얼라이언스도 구축할 계획”이라고 설명했다.
이어 “랜섬웨어 공격 이후 2차 피해 방지를 위해서는 노출된 정보 파악이 중요하다. 이를 위해 다크웹에 대한 집중 모니터링 체계를 구축한다. 수사기관과 연계해 이를 추진하며, 경찰청·인터폴 등과 소통해 랜섬웨어 공격자를 추적할 계획이다. 또한, 경찰청 연구개발 과제를 통해 비트코인 등 가상자산 추적이나 이에 대한 수사지원 체계를 구축하기 위해 협업할 예정”이라고 덧붙였다.
실제로 경찰청 사이버수사국은 올해 2월, 서비스형 랜섬웨어인 ‘갠드크랩(Gandcrab)’을 한국에 유포한 피의자를 검거했다. 해당 피의자는 IP 주소를 세탁하고, 가상자산을 이용해 추적을 회피했으나, 경찰은 10개국과 국제 공조수사를 진행해 피의자를 특정하고 검거할 수 있었다.
향후 과학기술정보통신부는 랜섬웨어 핵심 대응역량 제고를 위해 가상자산 추적 기술이나 랜섬웨어 공격자에게 부정한 돈이 흘러들어가지 않도록 차단 기술을 개발할 계획이다. 뿐만 아니라 펌웨어나 하드웨어를 기반으로 암호화를 탐지해 차단하는 랜섬웨어 차단 기술, 정보가 유출되더라도 이를 공격자가 악용할 수 없도록 보호하는 동형암호 기술 등도 개발한다.
진화하는 랜섬웨어에 대해 핵심대응역량 제고
정부는 랜섬웨어 핵심 대응역량 제고를 위해 가상자산을 추적할 수 있는 기술이나 랜섬웨어 공격자에게 부정한 돈이 흘러들어가지 않도록 차단하는 기술을 개발할 계획이다. 뿐만 아니라 펌웨어나 하드웨어를 기반으로 암호화를 탐지해 차단하는 랜섬웨어 차단 기술, 정보가 유출되더라도 이를 공격자가 악용할 수 없도록 보호하는 동형암호 기술 등을 개발한다.
이외에도 공공·민간 분야별로 규정된 사이버 보안 법제도를 체계화하는 ‘사이버보안기본법’ 제정도 추진한다. 기본법에는 ‘기본계획 수립’, ‘정보 공유 등 민·관 협력체계 강화’, ‘주요 정보통신기반시설 관리 강화’ 등 사회 전 분야로 확산된 ‘사이버보안 영역’을 체계적으로 관리·운영할 수 있는 방안들을 담을 계획이다.
[인터뷰-2] 민·관 랜섬웨어 대응 협의체 윤두식 의장
“중소기업 랜섬웨어 대응 역량 강화하고 대국민 보안 의식 제고한다”
랜섬웨어는 2021년 전 세계적으로 주목해야 하는 사이버 공격 유형 중 하나다. 특히, 최근에는 특정 대상을 노려 공격할 뿐만 아니라, 기업의 중요정보, 고객 개인정보 및 결재정보 등을 가지고 협박하는 등 협박수단이 다양해지고 있다.
▲민·관 랜섬웨어 대응 협의체 윤두식 의장[사진=지란지교시큐리티]
최근 피해 규모가 커지고 있는 랜섬웨어 공격은 정상 문서로 위장한 악성 문서형 공격이 주를 이루고 있다. 기업의 주요 비즈니스 채널인 이메일, 웹 등 기업의 업무 프로세스 과정에서 외부와의 빈번하게 파일 교환이 이루어지는 특징을 이용해 정상 파일에 악성 콘텐츠를 삽입하는 형태의 파일리스 공격이 확대되고 있다.
또한, 기업을 겨냥한 랜섬웨어 공격이 갈수록 증가하고 있다. 특히, IT·보안 인프라가 대기업보다 상대적으로 취약한 중소기업을 대상으로 한 공격이 늘어나고 있는 추세다. 한국인터넷진흥원이 발표한 기업 규모별 사이버 침해 사고율을 보면 전체 피해기업 중 98%가 중소기업
이다. 중견기업과 대기업이 2%인 것에 비하면 압도적인 수치다.
한국랜섬웨어침해대응센터도 2019년 상반기 기준 랜섬웨어 업종별 피해 분석 결과 중소기업(43%)과 소상공인(25%)의 피해율이 대기업(1%)보다 월등히 높다는 사실을 밝혔다. 이처럼 보안 위협으로부터 회사의 디지털 자산을 보호할 자원이나 전문 인력이부족한 영세·중소기업들이 랜섬웨어 등 사이버 공격의 주 목표가 되고 있다.
이러한 위협에 대응하기 위해 한국정보보호산업협회는 민·관 합동 랜섬웨어 대응 협의체를 발족했다. 민·관 합동 랜섬웨어 대응 협의체는 과학기술정보통신부, 한국인터넷진흥원, 국내 정보보호 산업계 및 학계 등이 참여하는 협의체로서 랜섬웨어 감염을 예방하고 피해 규모를 최소화하기 위한 민·관 공동대응 조직이다. 협의체는 대한민국 경제의 미래인 중소기업을 랜섬웨어 공격으로부터 보호하기 위한 다양한 활동들을 계획하고 추진한다. 랜섬웨어 대응 역량 강화를 위한 각종 지원 방안을 마련하기 위해 준비하고 있으며, 대국민 보안 의식 개선과 경각심 고취를 위한 홍보를 강화하는 것이 협의체 활동의 큰 축이다.
협의체 초대 의장으로 선출된 지란지교시큐리티 윤두식 대표는 “향후 기업의 랜섬웨어 대응역량 강화를 위해 크게 5가지의 노력을 기울일 계획이다. 우선 랜섬웨어 발생과 피해 현황에 대한 정확한 파악을 위해 조사 연구를 진행할 계획이다. 조사연구를 통해 협의체가 기업에 실질적으로 도움을 줄 수 있는 것이 무엇인지 정확히 파악하고 사업의 범위를 정해 이를 시행할 예정”이라고 말했다.
대국민 경각심 고취를 위해 홍보 강화 방안도 마련할 예정이다. 국민들이 사이버 공격에 대한 심각성을 인식하는 것이 가장 우선적인 과제다. 이를 위해 다양한 홍보 채널과 이벤트 등을 기획해 시행한다. 또한, 랜섬웨어 공격에 대한 기업의 대응력 강화 방안을 마련하고자 한다. 보안 솔루션 무상 지원 등 중소기업이 쉽게 활용할 수 있는 기술적인 대응 방안을 준비할 계획이다. 기업의 정보보호 역량 강화를 위한 지원 방안도 준비 중이다.
중소기업의 부족한 IT 역량을 메워주기 위한 실질적인 지원책들을 마련하고 수행할 계획이다. 랜섬웨어예방을 위한 교육 훈련 방안을 마련해 실행할 예정이다. 적은 교육으로도 쉽게 대응할 수 있는 가이드라인도 마련한다. 협의체는 중소기업 지원 대책 중 한가지로 여러 정보보호 벤더들이 참여해 중소기업에 일정 기간 무상으로 보안 제품을 사용할 수 있도록 지원할 예정이다. 이를 통해 중소기업은 벤더들이 무상 지원하는 보안 제품을 실제로 사용해보면서 기업 환경에 가장 필수적이고 현실적인 보안 제품이 무엇인지 테스트해 볼 수 있다. 무상지원 기간이 만료된 후에는 각종 바우처 사업과 연계해 줌으로써 예산의 문제를 최소화할 수 있도록 지원할 계획이다. 상세한 무상지원 기간과 제품들은 현재 논의 중에 있다.
윤두식 의장은 “중소기업 보안의 취약성은 주로 인적·물적 자원 부족의 문제다. 전문적인 IT/보안 인프라 구축을 위한 예산의 부족과 운영/관리 인력의 부재로 대기업에 비해 상대적으로 열악한 것이 현실이다. 중소기업이 보안이 취약한 환경에서 랜섬웨어 등으로부터의 피해를 최소화하기 위해 스스로 실천해야 할 가장 기본적인 2가지로 우선 임직원의 PC 보안을 주기적으로 업데이트 해야 하며, 백업체계 구축 및 운영을 통한 보안성을 강화해야 한다. 자료 백업 관리를 위한 정책 수립, 백업 체계를 구축해 운영해야 한다. 구글드라이브, 원드라이브, 드롭박스 등 무료 클라우드 스토리지를 활용하거나 네트워크가 분리된 외부저장장치를 이용해 주요 자료 백업 및 별도 보관을 권고해야 한다”고 말했다.
또한, “임직원 대상으로 주기적인 보안 교육을 실시해 보안의식 개선 역시 선행돼야 한다. 정상 문서로 위장해 침투한 공격은 사용자가 쉽게 열람할 수밖에 없다. 이 때문에 실제와 유사한 최신 피싱 메일 템플릿을 통해 지속적인 보안 교육 및 훈련을 지속해 사용자의 보안 인식을 강화하고 보안 수칙 준수를 습관화해야 한다”고 강조했다.
마지막으로 “국민들이 랜섬웨어를 예방하기 위해서 거창한 것이 필요한 것이 아니다. 기본적인 예방 수칙만 실천해도 피해를 줄일 수 있다. 소프트웨어는 최신 버전 업데이트, 백신 설치, 출처가 불명확한 이메일과 URL 링크는 실행하지 않기, 중요 데이터는 반드시 정기적으로 백업하고 외부 저장장치 등을 이용해 중요 문서를 외부에 별도 저장하기 등”이라며, “협의체는 지속적으로 국민들에게 랜섬웨어의 위험성과 심각성, 예방법에 대해 교육과 홍보를 지속할 예정이다. 국민들 스스로 체감하지 못하더라도 스스로 지켜지는 보안 서비스를 제공하기 위해 매진하는 것이 중요하다고 본다. 보안 시스템 및 서비스는 처음 접근하기가 매우 어렵기 때문에 그 장벽을 없애 주는 것이 가장 중요하다고 생각한다. 어렵지 않은 보안, 기업이 지켜야 할 최소한의 보안이 무엇인지 알려주는 그런 홍보와 서비스를 제공하기 위해 노력하겠다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]
민·관 합동 랜섬웨어 대응 협의체, 국민과 중소기업 위한 실질적 활동 추진
[보안뉴스 이상우 기자] 한국인터넷진흥원이 발표한 자료에 따르면 랜섬웨어 공격은 전 세계적으로 증가하고 있다. 2021년 발생한 랜섬웨어 공격 피해액은 2020년과 비교해 102% 증가했으며, 그 금액은 한화로 약 22조원에 이른다. 국내의 경우 2019년 KISA에 신고된 랜섬웨어는 39건이지만, 2020년에는 127건으로 3배 이상 급증했다. 올해 상반기에도 이미 78건이 신고된 상황으로, 국내에서도 피해가 늘어나고 있는 추세다. 피해를 입는 산업 분야도 에너지, 식량, IT, 제조, 서비스, 운송 분야 등으로 다양해지고 있다.
[이미지=utoimage]
오늘날 랜섬웨어는 대표적인 사이버 공격 유형 중 하나다. 랜섬웨어는 특히 한 번 피해를 입으면 회복이 어려우며, 무엇보다 최근 사이버 공격자는 랜섬웨어 공격을 통해 암호화는 물론 기업 내부정보를 유출해 협박하고, 웹 서비스 제공기업에 대해서는 디도스(DDoS) 공격을 추가로 감행하고 있다. 과거 랜섬웨어는 특정 PC에 대한 1회성 감염과 복호화를 대가로 금전을 요구하는 ‘일시적인 공격’이었지만, 최근에는 오랜 기간에 걸쳐 사전 작업(정보유출, 악성코드 유포 등) 후, 랜섬웨어를 동시다발적으로 실행해 시스템 전체를 먹통으로 만드는 지능형 지속 위협(APT) 형태로 진화하는 추세다.
랜섬웨어 공격은 개인의 컴퓨터를 공격하는 것을 넘어 기업 시스템, 사회기반시설, 생활필수산업 등으로 확대되고 있으며, 일반인도 체감할 수 있는 영역까지 가까워지고 있다. 특히, 공격에 대비해 백업을 하는 기업이 늘면서 정보유출, DDoS 등을 통한 삼중협박까지 이뤄지고 있는 상황이다.
미국의 경우 올해 콜로니얼 파이프라인 사태로 일부 지역에 연료 공급 중단 및 유가상승 사태가 발생했으며, 브라질 식품기업 JBS는 랜섬웨어 피해 복구를 위해 120억원을 지불하기도 했다. IT 분야에서는 미국의 IT 솔루션 기업 카세야에 대한 랜섬웨어 공격이 발생했다. 이러한 공격은 특히 고객사에게도 피해가 전이될 수 있기 때문에 심각한 사례로 분류된다. 이밖에도 국내 차량부품 제조업체, 배달대행 플랫폼, 해운사 선박의 메인컴퓨터 등 랜섬웨어 공격은 분야를 가리지 않고 일어나고 있다. 향후 스마트시티나 스마트그리드 등 사회 인프라에 대한 랜섬웨어 공격이 발생할 경우 일상생활이 마비될 가능성도 있다.
뿐만 아니라 랜섬웨어가 사람의 목숨까지 위협할 수 있다. 지난 2017년 5월 영국의 NHS(국가보건서비스)가 워너크라이 공격을 당해 16개 병원이 폐쇄됐으며, 최소 6,900건에 달하는 진료예약이 취소된 바 있다. 금전을 노리고 랜섬웨어를 퍼뜨린 공격자 때문에 애꿎은 환자들이 고통을 당한 것이다. 또한, 2020년 9월에는 독일 뒤셀도르프 대학병원 서버 30대가 랜섬웨어 공격으로 인해 마비됐으며, 주요 병원 IT 서비스 운용이 불가능하게 됐다. 이 과정에서 병원은 한 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망했다. 가까운 미래에 디지털 헬스케어 분야에서 인슐린펌프나 인공심장박동기 같은 인체 삽입형 디지털 의료기기가 랜섬웨어 공격 대상이 된다면, 데이터가 아닌 생명을 인질로 잡고 협박하는 사례까지 등장할 수도 있다.
랜섬웨어의 분업화 역시 최근 공격 양상이다. 랜섬웨어 개발조직과 침투 및 공격조직이 서로 역할을 나눠 활동하고, 범죄를 통해 벌어들인 수익을 서로 나누는 형태다. 다크웹과 가상자산(암호화폐)이 복합적으로 활용되면서 공격자는 전문적인 지식 없이도 랜섬웨어 공격을 감행할 수 있고, 개발자는 추적을 피하면서도 수익을 올릴 수 있다. 다크웹을 통해 익명성이 보장되고 가상자산으로 자금세탁까지 가능하기 때문에 이러한 서비스형 랜섬웨어(RaaS)가 자연스럽게 등장한 셈이다.
-----------------------------------------------
◇ 악명 높은 랜섬웨어와 주요 특징
워너크라이(WannaCry) 2017년 5월 12일(현지 시간기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드로, 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화한다. 마이크로소프트 윈도우 운영체제의 SMB(Sever Message Block, MS17-010)을 이용해 악성코드를 감염시키고, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔해 네트워크로 전파된다. 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경한다. 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있기 때문에 사용자는 백신뿐만 아니라 윈도우 운영체제 최신 보안 패치를 반드시 적용해야 한다.
록키(Locky) 2016년 3월 이후 이메일을 통해 유포되고 있으며, 수신인을 속이기 위해 Invoice(인보이스 발행), Refund(환급) 등의 제목으로 사용자를 속인다. 자바스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고, 사용자가 이를 실행할 경우 자동으로 랜섬웨어를 내려받아 감염시킨다. 록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지가 출력된다. 최근 록키 랜섬웨어는 연결 IP 정보를 동적으로 복호화하고, 특정 파라미터를 전달해 실행하는 경우만 동작하는 등 존재를 숨기는 방식도 사용한다.
크립트XXX(CryptXXX) 지난 2016년 5월, 해외 백신 개발사가 복호화 툴을 공개한 이후, 기존의 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포되고 있다. 초기에는 ‘앵글러 익스플로잇 키트(Angler Exploit Kit)’를 이용했으나, 최근에는 뉴트리노 ‘익스플로잇 킷(NeutrinExploit Kit)’을 사용하는 추세다. 크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지가 출력된다. 또한, 비트코인 지불 안내 페이지에는 한글 번역도 제공하고 있다. 실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL) 형태로 유포되는 악성코드며, 정상 프로세스인 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드해 동작한다. 현재 등장한 버전은 네트워크 연결 없이도 파일을 암호화하고 있다.
케르베르(CERBER) CERBER는 말하는 랜섬웨어로 유명하다. 감염 시 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted”라는 음성 메시지를 출력한다. 케르베르는 웹 사이트 방문 시 취약점을 통해 감염되며, 이후 파일을 암호화 하고 확장자를 .cerber로 변경한다. 악성코드 내에 저장돼 있는 IP 주소와 서브넷 마스크 값을 사용해 UDP 패킷을 전송하며, 네트워크가 연결되지 않더라도 파일은 암호화 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제해 윈도우 시스템 복구가 불가능하도록 만든다. 최근에는 이메일 통해 유포되는 정황도 발견됐다.
크립토락커(CryptoLocker) 2013년 9월에 최초로 발견된 랜섬웨어로 자동실행 등록이름이 크립토락커(CryptoLocker)로 돼 있는 것이 특징이다. 웹 사이트 방문 시 취약점을 통해 감염되거나 이메일 내 첨부파일을 통해 감염된다. 국내 대형 커뮤니티 중 하나인 클리앙에서는 드라이브 바이 다운로드 기법을 통해 한글화된 크랍토락커가 유포되기도 했다. 크립토락커는 확장자를 encrypted, ccc로 변경한다. 파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종(DECRYPT_INSTRUCTIONS.*·HOW_TO_RESTORE_FILES.*)을 생성하며, 윈도우즈 볼륨 쉐도우을 삭제해 시스템 복구가 불가능하도록 만든다.
테슬라크립트(TeslaCrypt) 2015년 국내에 많이 유포된 랜섬웨어로 2016년 5월경 종료로 인해 마스터키가 배포됐다. 취약한 웹 페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr 등으로 변경하는 것이 특징이다. 드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상에서 제외한다. 악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내 문구를 바탕화면에 생성한다.
[자료=한국인터넷진흥원]
-------------------------------------------------
랜섬웨어 공격은 어떻게 발생할까?
KISA가 실제 분석한 랜섬웨어 피해 사례의 원인으로는 △공격자가 쉽게 접근할 수 있는 웹 서버의 취약점 패치를 진행하지 않고 △여러 서버 관리자 ID와 비밀번호를 동일하게 사용했으며 △다요소 인증(MFA)등 접근제어 정책 부재 △관리자 PC에 대한 망분리 미실시 △AD 배포정책 및 안전점검 미흡 △소프트웨어 업데이트 체계에 대한 보안 모니터링 미흡(공급망 공격 대비) 등으로 조사됐다.
앞서 언급한 것처럼 오늘날 랜섬웨어 공격은 오랜 기간에 걸친 지능형 지속위협의 결과물이다. 공격자는 기업 시스템의 보안 약점을 찾아 침투하고, 관리자 권한을 얻어 연결된 수많은 시스템에 조금씩 악성코드를 유포하고, 이 과정에서 정보를 유출한다. 충분한 사전작업이 끝난 뒤 랜섬웨어를 실행해 공격 사실을 알리고 유출 정보를 바탕으로 기업을 협박한다. 바꿔 말하면, 공격자가 이러한 준비를 하는 동안 기업보안담당자는 침투 사실을 인지하고 대응책을 마련할 수 있는 기간이 있는 셈이다.
사이버 공격자는 침투 이후 악성코드 대량 유포를 위한 거점을 마련하며, 이는 관리자 PC나 개발자 PC혹은 AD서버 등이 될 수 있다. 최근에는 기업 내부에서 상대적으로 관리가 허술한 테스트 서버를 이용하기도 한다. 이 때문에 주요 거점에 대한 주기적인 점검이 필요하며, 백업을 통한 피해 예방 등 철저한 관리가 요구된다. 안전한 서버나 매체에 백업 데이터를 보관하지 않으면 백업을 위한 정보 자체가 랜섬웨어에 감염될 수 있기 때문에 백업 서버에 대한 망분리 및 접근제어 정책이 필요하다.
특히, 백업 데이터로 시스템을 복원하는 데도 오랜 기간이 걸릴 수 있기 때문에 업무 정상화를 위해 어떤 시스템을 먼저 복구해야 하는지 우선순위를 정하고, 주요 데이터가 제대로 백업되고 있는지 점검하는 등 대응전략을 수립해야 한다.
관리자 권한을 제대로 관리하는 것 역시 중요하다. 공격자는 우선, 웹셸 업로드 기법을 이용해 서버에서 시스템 권한을 획득하고, 원활한 원격 접속을 위해 서버 내에 원격제어용 악성코드를 설치하고, 가짜 계정을 생성해 해당 계정에 관리자 권한을 부여한다. 특히, 이 과정에서 보안 솔루션 탐지를 우회하기 위해 랜섬웨어 대신 윈도우 운영체제의 암호화 기능인 ‘비트로커(BitLocker)’를 사용한 사례도 있다.
이는 사용자 데이터 보호에 유용한 기능이지만, 해당 기능의 권한이 해커에게 넘어갈 경우 정상적인 기능을 통해 타인이 자신의 데이터를 암호화해 협박하는 것도 가능하다. 관리자 권한을 통해 비트로커 기능을 실행하고 주요 데이터가 보관된 디스크를 암호화한 뒤 금전을 요구한다. 복구 키 및 설정한 암호가 있어야 파일에 접근할 수 있다는 점과 이를 통해 ‘몸값’을 요구한다는 점에서 기존 랜섬웨어 공격과 같은 맥락이다.
한국인터넷진흥원은 랜섬웨어 대응 전략으로 ‘점검하라’, ‘대응하라’, ‘훈련하라’를 제시했다. 우선 점검하라는 것은 오늘날 랜섬웨어 공격은 상당한 기간에 걸쳐 이뤄지기 때문에 공격 진행 단계를 탐지해 선제적 대응이 필요하다는 의미다. 대응하라는 것은 점검 단계에서 특이사항이 발견될 경우 포맷 같은 단편적인 조치가 아니라 후속대응이 중요하다는 의미다. 공격 징후가 발견됐다면 KISA 등에 신고하고 기술지원을 받거나 기업이 이용하고 있는 정보보호 업체를 통해 상세히 점검하며 침투 경로 및 활동 범위를 식별해 조치해야 한다. 마지막 훈련하라는 것은 감염된 상황을 가정하고 데이터 복원에 대한 훈련이필요하다는 의미다. 이러한 훈련을 통해 복원 우선순위를 결정하고. 백업 설정이 안 된 영역이나 불가능한 영역도 파악할 수 있다. 특히, 백업 데이터 감염 사례도 많기 때문에 안전한 저장매체에 잘 보관하고 있는지 확인해야 한다.
------------------------------------------------------
◇ 랜섬웨어 감염 경로
신뢰할 수 없는 사이트 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 통해 랜섬웨어같은 악성코드에 감염될 수 있다. 이를 방지하기 위해서 사용하는 PC 운영체제 및 각종 소프트웨어 버전을 최신으로 유지해 취약점을 제거해야 하며, 음란물, 온라인 도박 사이트 등은 보안 관리가 미흡한 사이트인 만큼 이용을 자제해야 한다.
스팸메일 및 스피어피싱 출처가 불분명한 이메일은 첨부파일이나 메일 본문에 있는 URL을 통해 악성코드를 유포할 수 있다. 따라서 사용자는 첨부파일 실행 또는 URL 링크 클릭에 주의해야 한다. 최근 사용자들이 메일을 열어보도록 유도하기 위해 ‘연말정산 안내’, ‘세금계산서 발행’, ‘이력서 첨부’ 등 일상생활과 밀접한 내용은 물론, ‘국제 정세’, ‘북한 동향’ 등 특정 분야 전문가를 노리는 이슈를 사용하기도 한다. 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장 후 백신 등으로 검사한 뒤 열어보는 것이 좋다.
파일공유 사이트 토렌트, 웹하드 등 P2P 사이트를 통해 불법 복제 콘텐츠(소프트웨어, 영화 등)를 내려받을 경우, 파일 자체가 랜섬웨어 등 악성코드일 가능성도 있다. 실제로 이러한 공격 방식은 ‘유료 소프트웨어 크랙’, ‘최신 게임’, ‘윈도우 11 설치파일’ 등 소프트웨어 최신 버전이 출시되는 시기에 맞춰 빈번하게 발생하기도 한다. 설치파일뿐만 아니라 동영상 등의 파일을 내려 받고 이를 실행할 경우, 악성코드에 감염되는 사례도 있어 이에 대한 주의가 필요하다.
소셜 미디어(SNS) 최근 페이스북, 링크드인 등 SNS에 올라온 단축 URL 및 사진을 이용해 랜섬웨어를 유포하는 사례가 발견됐다. 특히 SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 다이렉트 메시지 등으로 악성 URL을 직접 보낼 수 있기 때문에 주의가 필요하다.
네트워크망 사이버 공격자는 네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하고, 악성코드를감염 및 확산시킨다. 이를 방지하기 위해서는 사용하는 PC 운영체제와 소프트웨어 최신 보안 패치를 적용해 항상 보안 상태를 최신으로 유지해야 한다.
[자료=한국인터넷진흥원]
------------------------------------------------------
[인터뷰-1] 과학기술정보통신부 홍진배 정보보호네트워크정책관
“날로 심각해지는 랜섬웨어 공격… 정부도 대책 마련에 나선다”
이처럼 랜섬웨어는 오늘날 대표적인 사이버 공격 수단 중 하나며, 지능형 지속위협 형태로 오랜 기간에 걸쳐 발생한다. 이처럼 랜섬웨어 공격으로 인한 위협과 피해가 국내 산업 전 분야로 확산되면서 정부도 대응책 마련에 나섰다.
▲과학기술정보통신부 홍진배 정책관[사진=보안뉴스]
과학기술정보통신부 홍진배 정책관은 “랜섬웨어 대응에는 백업 등 선제적인 예방 체계가 중요하며, 국가기반시설부터 중소기업까지 상황에 맞는 정부의 맞춤형 대응 지원이 필요하다. 정부는 랜섬웨어 공격에 안심할 수 있는 디지털 환경 구축을 위해 예방, 대응, 기반강화 등 세 가지 정책 방향을 잡았다”며, “랜섬웨어 피해 방지를 위한 지원은 물론, 국정원·경찰청 등과 연계해 사고 발생부터수사까지 이르는 모든 주기를 지원할 계획이다. 또한, 법과 제도를 개선하고 ‘사이버보안기본법’을 제정하는 등 핵심대응역량을 강화한다”고 덧붙였다.
과학기술정보통신부는 이달 초 관계부처 합동으로 랜섬웨어 대응 강화 방안을 발표하면서 △국가중요시설·기업·국민 수요자별 선제적 ‘예방’을 지원하고 △정보 공유·피해 지원·수사 등 사고 대응의 모든 주기를 지원하며 △진화하는 랜섬웨어에 대한 핵심대응역량을 제고하겠다고 밝혔다.
국가중요시설·기업·국민 수요자별 선제적 ‘예방’ 지원
우선 정부는 랜섬웨어 공격 예방을 위해 ①국가중요시설 관리체계를 구축하고 ②중소기업 보안역량 지원을 강화하며 ③대국민 랜섬웨어 면역력을 키운다. 정보통신기반시설에 정유사(공정제어시스템), 자율주행 관제시스템 등을 추가하며, 랜섬웨어 예방을 위한 ‘백업시스템 구축’, ‘업무지속계획’ 등을 포함하도록 하고, 기반시설에 대한 긴급점검과 모의훈련 역시 확대한다.
현장점검과 취약점 개선을 요구할 수 있도록 제도 개선 추진, 기반시설 SW 공급망 보안 점검체계를 구축, 정부출연연구원과 4대 과학기술원에 연구·개발용 서버를 상시 점검·분석할 수 있는 자가진단시스템을 적용 등 강화된 보안 대책을 수립한다.
보안체계 구축 역량이 상대적으로 낮은 중소기업의 경우 ‘데이터금고’를 클라우드 혹은 NAS 방식으로 보급해 백업할 수 있도록 지원한다. 또한, 이메일보안, 백신, 탐지·차단 등 ‘랜섬웨어 대응 3종 패키지’ 형태로 솔루션 도입을 지원하며, 정부 지원과 별도로 한국정보보호산업협회에 소속된 11개 기업이 영세기업 대상으로 일정기간 무료로 보안 솔루션을 지원하는데 동참한 상태다.
코로나 이후 원격교육·원격근무 등으로 비대면 환경이 활성화되면서 일반국민들에 대한 랜섬웨어 위협도 증가하고 있다. 이에 정부는 ‘내 PC 돌보미 서비스’를 통해 국민들이 사용하는 PC와 IoT 기기가 랜섬웨어에 취약한지 여부를 원격으로 점검하고 개선까지 지원한다.
또한, ‘최신 보안 패치 적용’, ‘중요한 자료 정기적 백업’ 등 국민들의 랜섬웨어 예방을 위한 수칙을 온·오프라인을 통해 지속 홍보할 계획이다.
▲정부의 랜섬웨어 대응 지원책[자료=과학기술정보통신부]
정보 공유·피해 지원·수사 등 사고 대응의 모든 주기 지원
홍진배 정책관은 “현재 민간분야에서는 C-TAS, 공공분야에서는 NCTI 등을 통해 위협 정보를 공유하고 있다. 과학기술정보통신부는 향후 이 두 가지 정보를 실시간으로 연동할 수 있도록 국가정보원과 논의하고 있으며, 각 산업 분야별 정보공유·분석센터(ISAC) 정보 역시 C-TAS와 연계할 계획이다. 이와 함께 더 많은 기업이 C-TAS에 참여할 수 있도록 유도하고, 올해 가을에는 사이버 보안 얼라이언스도 구축할 계획”이라고 설명했다.
이어 “랜섬웨어 공격 이후 2차 피해 방지를 위해서는 노출된 정보 파악이 중요하다. 이를 위해 다크웹에 대한 집중 모니터링 체계를 구축한다. 수사기관과 연계해 이를 추진하며, 경찰청·인터폴 등과 소통해 랜섬웨어 공격자를 추적할 계획이다. 또한, 경찰청 연구개발 과제를 통해 비트코인 등 가상자산 추적이나 이에 대한 수사지원 체계를 구축하기 위해 협업할 예정”이라고 덧붙였다.
실제로 경찰청 사이버수사국은 올해 2월, 서비스형 랜섬웨어인 ‘갠드크랩(Gandcrab)’을 한국에 유포한 피의자를 검거했다. 해당 피의자는 IP 주소를 세탁하고, 가상자산을 이용해 추적을 회피했으나, 경찰은 10개국과 국제 공조수사를 진행해 피의자를 특정하고 검거할 수 있었다.
향후 과학기술정보통신부는 랜섬웨어 핵심 대응역량 제고를 위해 가상자산 추적 기술이나 랜섬웨어 공격자에게 부정한 돈이 흘러들어가지 않도록 차단 기술을 개발할 계획이다. 뿐만 아니라 펌웨어나 하드웨어를 기반으로 암호화를 탐지해 차단하는 랜섬웨어 차단 기술, 정보가 유출되더라도 이를 공격자가 악용할 수 없도록 보호하는 동형암호 기술 등도 개발한다.
진화하는 랜섬웨어에 대해 핵심대응역량 제고
정부는 랜섬웨어 핵심 대응역량 제고를 위해 가상자산을 추적할 수 있는 기술이나 랜섬웨어 공격자에게 부정한 돈이 흘러들어가지 않도록 차단하는 기술을 개발할 계획이다. 뿐만 아니라 펌웨어나 하드웨어를 기반으로 암호화를 탐지해 차단하는 랜섬웨어 차단 기술, 정보가 유출되더라도 이를 공격자가 악용할 수 없도록 보호하는 동형암호 기술 등을 개발한다.
이외에도 공공·민간 분야별로 규정된 사이버 보안 법제도를 체계화하는 ‘사이버보안기본법’ 제정도 추진한다. 기본법에는 ‘기본계획 수립’, ‘정보 공유 등 민·관 협력체계 강화’, ‘주요 정보통신기반시설 관리 강화’ 등 사회 전 분야로 확산된 ‘사이버보안 영역’을 체계적으로 관리·운영할 수 있는 방안들을 담을 계획이다.
[인터뷰-2] 민·관 랜섬웨어 대응 협의체 윤두식 의장
“중소기업 랜섬웨어 대응 역량 강화하고 대국민 보안 의식 제고한다”
랜섬웨어는 2021년 전 세계적으로 주목해야 하는 사이버 공격 유형 중 하나다. 특히, 최근에는 특정 대상을 노려 공격할 뿐만 아니라, 기업의 중요정보, 고객 개인정보 및 결재정보 등을 가지고 협박하는 등 협박수단이 다양해지고 있다.
▲민·관 랜섬웨어 대응 협의체 윤두식 의장[사진=지란지교시큐리티]
최근 피해 규모가 커지고 있는 랜섬웨어 공격은 정상 문서로 위장한 악성 문서형 공격이 주를 이루고 있다. 기업의 주요 비즈니스 채널인 이메일, 웹 등 기업의 업무 프로세스 과정에서 외부와의 빈번하게 파일 교환이 이루어지는 특징을 이용해 정상 파일에 악성 콘텐츠를 삽입하는 형태의 파일리스 공격이 확대되고 있다.
또한, 기업을 겨냥한 랜섬웨어 공격이 갈수록 증가하고 있다. 특히, IT·보안 인프라가 대기업보다 상대적으로 취약한 중소기업을 대상으로 한 공격이 늘어나고 있는 추세다. 한국인터넷진흥원이 발표한 기업 규모별 사이버 침해 사고율을 보면 전체 피해기업 중 98%가 중소기업
이다. 중견기업과 대기업이 2%인 것에 비하면 압도적인 수치다.
한국랜섬웨어침해대응센터도 2019년 상반기 기준 랜섬웨어 업종별 피해 분석 결과 중소기업(43%)과 소상공인(25%)의 피해율이 대기업(1%)보다 월등히 높다는 사실을 밝혔다. 이처럼 보안 위협으로부터 회사의 디지털 자산을 보호할 자원이나 전문 인력이부족한 영세·중소기업들이 랜섬웨어 등 사이버 공격의 주 목표가 되고 있다.
이러한 위협에 대응하기 위해 한국정보보호산업협회는 민·관 합동 랜섬웨어 대응 협의체를 발족했다. 민·관 합동 랜섬웨어 대응 협의체는 과학기술정보통신부, 한국인터넷진흥원, 국내 정보보호 산업계 및 학계 등이 참여하는 협의체로서 랜섬웨어 감염을 예방하고 피해 규모를 최소화하기 위한 민·관 공동대응 조직이다. 협의체는 대한민국 경제의 미래인 중소기업을 랜섬웨어 공격으로부터 보호하기 위한 다양한 활동들을 계획하고 추진한다. 랜섬웨어 대응 역량 강화를 위한 각종 지원 방안을 마련하기 위해 준비하고 있으며, 대국민 보안 의식 개선과 경각심 고취를 위한 홍보를 강화하는 것이 협의체 활동의 큰 축이다.
협의체 초대 의장으로 선출된 지란지교시큐리티 윤두식 대표는 “향후 기업의 랜섬웨어 대응역량 강화를 위해 크게 5가지의 노력을 기울일 계획이다. 우선 랜섬웨어 발생과 피해 현황에 대한 정확한 파악을 위해 조사 연구를 진행할 계획이다. 조사연구를 통해 협의체가 기업에 실질적으로 도움을 줄 수 있는 것이 무엇인지 정확히 파악하고 사업의 범위를 정해 이를 시행할 예정”이라고 말했다.
대국민 경각심 고취를 위해 홍보 강화 방안도 마련할 예정이다. 국민들이 사이버 공격에 대한 심각성을 인식하는 것이 가장 우선적인 과제다. 이를 위해 다양한 홍보 채널과 이벤트 등을 기획해 시행한다. 또한, 랜섬웨어 공격에 대한 기업의 대응력 강화 방안을 마련하고자 한다. 보안 솔루션 무상 지원 등 중소기업이 쉽게 활용할 수 있는 기술적인 대응 방안을 준비할 계획이다. 기업의 정보보호 역량 강화를 위한 지원 방안도 준비 중이다.
중소기업의 부족한 IT 역량을 메워주기 위한 실질적인 지원책들을 마련하고 수행할 계획이다. 랜섬웨어예방을 위한 교육 훈련 방안을 마련해 실행할 예정이다. 적은 교육으로도 쉽게 대응할 수 있는 가이드라인도 마련한다. 협의체는 중소기업 지원 대책 중 한가지로 여러 정보보호 벤더들이 참여해 중소기업에 일정 기간 무상으로 보안 제품을 사용할 수 있도록 지원할 예정이다. 이를 통해 중소기업은 벤더들이 무상 지원하는 보안 제품을 실제로 사용해보면서 기업 환경에 가장 필수적이고 현실적인 보안 제품이 무엇인지 테스트해 볼 수 있다. 무상지원 기간이 만료된 후에는 각종 바우처 사업과 연계해 줌으로써 예산의 문제를 최소화할 수 있도록 지원할 계획이다. 상세한 무상지원 기간과 제품들은 현재 논의 중에 있다.
윤두식 의장은 “중소기업 보안의 취약성은 주로 인적·물적 자원 부족의 문제다. 전문적인 IT/보안 인프라 구축을 위한 예산의 부족과 운영/관리 인력의 부재로 대기업에 비해 상대적으로 열악한 것이 현실이다. 중소기업이 보안이 취약한 환경에서 랜섬웨어 등으로부터의 피해를 최소화하기 위해 스스로 실천해야 할 가장 기본적인 2가지로 우선 임직원의 PC 보안을 주기적으로 업데이트 해야 하며, 백업체계 구축 및 운영을 통한 보안성을 강화해야 한다. 자료 백업 관리를 위한 정책 수립, 백업 체계를 구축해 운영해야 한다. 구글드라이브, 원드라이브, 드롭박스 등 무료 클라우드 스토리지를 활용하거나 네트워크가 분리된 외부저장장치를 이용해 주요 자료 백업 및 별도 보관을 권고해야 한다”고 말했다.
또한, “임직원 대상으로 주기적인 보안 교육을 실시해 보안의식 개선 역시 선행돼야 한다. 정상 문서로 위장해 침투한 공격은 사용자가 쉽게 열람할 수밖에 없다. 이 때문에 실제와 유사한 최신 피싱 메일 템플릿을 통해 지속적인 보안 교육 및 훈련을 지속해 사용자의 보안 인식을 강화하고 보안 수칙 준수를 습관화해야 한다”고 강조했다.
마지막으로 “국민들이 랜섬웨어를 예방하기 위해서 거창한 것이 필요한 것이 아니다. 기본적인 예방 수칙만 실천해도 피해를 줄일 수 있다. 소프트웨어는 최신 버전 업데이트, 백신 설치, 출처가 불명확한 이메일과 URL 링크는 실행하지 않기, 중요 데이터는 반드시 정기적으로 백업하고 외부 저장장치 등을 이용해 중요 문서를 외부에 별도 저장하기 등”이라며, “협의체는 지속적으로 국민들에게 랜섬웨어의 위험성과 심각성, 예방법에 대해 교육과 홍보를 지속할 예정이다. 국민들 스스로 체감하지 못하더라도 스스로 지켜지는 보안 서비스를 제공하기 위해 매진하는 것이 중요하다고 본다. 보안 시스템 및 서비스는 처음 접근하기가 매우 어렵기 때문에 그 장벽을 없애 주는 것이 가장 중요하다고 생각한다. 어렵지 않은 보안, 기업이 지켜야 할 최소한의 보안이 무엇인지 알려주는 그런 홍보와 서비스를 제공하기 위해 노력하겠다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
