코로나와 더불어 ‘또 하나의 팬데믹’으로 불린 것이 있으니 바로 랜섬웨어다. 미국은 이미 대대적인 전쟁까지 선포했을 지경이다. 이에 랜섬웨어 공격자들도 살짝 움츠러들며 희한한 회피 전략을 들고 나오기까지 했다. 하지만 정말 무서운 건, 아직 랜섬웨어의 전성기는 오지도 않았다는 것이다.

[보안뉴스 문가용 기자] 올 한 해 보안 분야를 설명하며 빠트릴 수 없는 게 랜섬웨어다. 랜섬웨어는 데이터를 볼모로 잡고 데이터 주인에게 돈을 요구하는, 일종의 유괴와 비슷한 공격 수법이다. 원래는 아무 사용자나 닥치는 대로 노리는 것이 랜섬웨어 공격자들의 일반적인 공격 수법이었지만 2019년 말 지금은 사라지다시피 한 메이즈(Maze)라는 랜섬웨어 단체가 획기적인 전략을 들고 나온다. 바로 ‘이중 협박(Double Extortion)’이 그것이다.


[이미지 = utoimage]

이중 협박은 말 그대로 협박의 장치를 두 가지로 늘리는 것을 말한다. 데이터를 암호화시켜서 사용자가 데이터를 활용할 수 없도록 하는 것이 하나(이것이 전통의 랜섬웨어 공격 전략), 그리고 데이터를 미리 공격자의 서버로 빼돌려 피해자가 돈을 내지 않을 경우 공개하는 것이 둘이다. 피해자로서는 데이터를 복원시키는 것도 어려운데, 세상에 온갖 민감한 자료가 공개될지도 모른다는 압박감에 시달려야 한다. 이는 상당히 효과적인 전술이었고, 거의 모든 랜섬웨어 공격 그룹들이 이를 그대로 따라하게 되었다. 지금은 이중 협박이 대세 전략이다.

전술이 하나 추가되었을 뿐인데 랜섬웨어 산업은 2021년 중흥기를 맞이하게 되었다. 돈을 내는 사람이 많으니 랜섬웨어를 대여하는 산업(서비스형 랜섬웨어, RaaS)은 크게 팽창했고 새로운 랜섬웨어 패밀리들과 사업자들이 계속해서 등장하고 있다. 사건이 자연스럽게 많아졌다.

이 중 러시아의 다크사이드(DarkSide)라는 그룹이 5월에 일으킨 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건이 가장 유명하다. 미국 일부 지역에 가스 공급이 중단되면서 사회적 이슈가 되었고, 결국 바이든 미국 대통령이 러시아 푸틴 대통령에게 전화를 걸어 “범인 체포에 협조하지 않으면 우리가 잡는다”고 협박 아닌 협박까지 했을 정도였다. 미국은 이 사건부터 ‘랜섬웨어와의 전쟁’을 선포하다시피 했고, 이는 현재까지 진행 중이다. 그러자 각종 해킹 포럼에서는 랜섬웨어라는 단어가 금칙어로 지정되기도 했다.

이렇게 여론과 사법기관의 집중을 받지 다크사이드는 은퇴를 선언하며 사라졌다. 하지만 곧 블랙매터(BlackMatter)라는 이름으로 다시 활동을 시작했다. 이런 식으로 수사망이 좁혀지면 은퇴한다고 잠시 사라졌다가 다른 이름으로 나타나는 전략 역시 올해 랜섬웨어 공격자들 사이에서 새롭게 자리를 잡게 되었다.

2022년에도 랜섬웨어는 점점 더 대응이 어려운 위협으로 변모할 것이다. 피해자를 옴짝달싹하지 못하게 해야 돈을 버는 게 랜섬웨어 공격자들의 숙명이기 때문에, 필연적으로 ‘대응이 불가능한 위협’으로 변모해야만 한다. 게다가 랜섬웨어라는 산업의 형태가 ‘협업’으로 자리를 잡았기 때문에 일개 조직의 단독적인 능력으로 방어하기는 쉽지 않다.

흔히들 말하는 랜섬웨어의 대응책인 취약점 패치, 데이터 백업, 망분리, 보안 교육 등은 기본 중 기본이며 당연하게 지켜져야 하는 수칙이다. 하지만 점점 산업화 혹은 조직화되어 가는 랜섬웨어 공격 앞에 이런 개별 ‘위생 수칙’은 점점 불충분한 것이 되어가고 있다. 방어에 있어서도 조직력이 필요하다. 연대된 공격에 연대된 방어가 필요하다는 것이다.

그렇다는 건 보안 담당자와 각 기업/기관들이 랜섬웨어 공격에 당했을 때 적극 알리고 신고해야 한다는 뜻이 된다. 더 이상 사건을 축소하거나 은폐하려 해서는 안 되는 것이 2022년의 패러다임이다. 이러한 내용이 규정과 법으로 굳혀질 가능성도 높다. 그러므로 즉각적인 신고 체계를 미리 마련해 두는 것이 권장된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>