불특정 다수가 아닌, 특정 표적 노리는 랜섬웨어 2021년에도 성행할 전망
효과적인 협박 위해 파일 암호화 외에도 랜섬 디도스 형태의 공격도 감행할 것
[설문조사] 국내 기업의 랜섬웨어 피해 사례와 대응 인식도 조사결과 살펴보니
[구축사례] 베리타스의 백업 솔루션 구축사례와 아카마이의 랜섬 디도스 대응사례
[보안뉴스 이상우 기자] 랜섬웨어 공격은 더 이상 낯선 사이버 공격 유형이 아니다. 랜섬(Ransom)이란 납치나 유괴를 당한 사람의 몸값을 의미한다. 즉, 사용자의 주요 데이터 자산을 인질로 잡고 기업이나 기관에 몸값을 요구하는 사이버 공격이다. 영화 테이큰에서 리암 니슨의 명대사처럼 “몸값을 원한다면 나는 그런 돈이 없다. 하지만 내 특별한 기술로 너를 찾아낼 것이다”라고 말해주고 싶지만, 당장 눈앞에 있는 데이터가 암호화돼 업무가 마비된 상황에서 보안 담당자뿐만 아니라 모든 직원이 패닉에 빠질 것이다. 심지어 일부 랜섬웨어 공격은 협상에 응하는 제한시간을 두고 피해 기업을 더 초조하게 만든다. 결국 피해자는 ‘울며 겨자 먹기’식으로 공격자의 요구를 들어줄 수밖에 없다.
[이미지=utoimage]
최근 랜섬웨어 공격 사례를 살펴보면, 지난 2020년 11월 22일에는 NC백화점, 뉴코아아울렛 등 이랜드그룹의 주요 매장이 클롭 랜섬웨어 조직의 공격으로 영업을 중단하는 사태가 발생했다. 이랜드그룹 관계자에 따르면 22일 새벽에 사내 네트워크 시스템이 랜섬웨어 공격을 받았으며, 복구 작업에 차질이 생겨 NC백화점과 뉴코아아울렛의 매장 50여개 중 23개의 정상 영업이 어려워졌다. 랜섬웨어에 감염된 시스템은 일부 매장의 포스(POS) 단말기 등과 연동돼 NC백화점과 뉴코아아울렛 매장 23곳에 영향을 미친 것으로 드러났다. 이로 인해 일부 매장을 찾은 손님들이 영문도 모른 채 발길을 돌리기도 했다. 이 사건은 사이버 공격으로 인해 온라인 서비스가 정지되는 상황을 넘어, 오프라 인 매장까지 영업을 멈추게 할 수 있다는 사실을 다시 한 번 체감할 수 있었던 사례다.
뿐만 아니라 랜섬웨어가 사람의 목숨까지 위협할 수 있다. 지난 2017년 5월 영국의 ‘국민건강서비스(NHS)’가 워너크라이 공격을 당해 당시 16개 병원이 폐쇄됐으며, 최소 6,900건에 달하는 국민건강서비스 진료예약이 취소된 바 있다. 금전을 노리고 랜섬웨어를 퍼뜨린 공격자 때문에 애꿎은 환자들이 고통을 당한 것이다. 또, 지난 2020년 9월에는 독일 뒤셀도르프대 병원 서버 30대가 랜섬웨어 공격으로 인해 마비됐으며, 주요 병원 IT 서비스 운용이 불가능하게 됐다. 이 과정에서 병원은 한 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망했다. 사이버 공격으로 인해 실제 생명을 잃은 사례다. 향후 디지털 헬스케어 분야에서 인슐린펌프나 인공심장박동기 등 인체 삽입형 디지털 의료기기가 랜섬웨어 대상이 될 경우 사람의 생명을 인질로 잡고 협박하는 사례까지 등장할 수 있다.
이처럼 2020년 한 해 유독 눈에 띄는 사이버 공격 유형은 랜섬웨어다. 최근 랜섬웨어와 관련해서 들은 이름만 해도 메이즈, 클롭, 락빗, 비너스락커, 갠드크랩, 블랙킹덤 등으로 다양하다. 실제로 컨설팅 업체 크롤(Kroll)이 발표한 자료에 따르면 지난 2020년 9월까지 발생한 사이버 공격 중 1/3이 랜섬웨어에 해당하는 것으로 나타났다. 이스트시큐리티 역시 자사의 일반 사용자용 안티 바이러스 ‘알약’을 통해 무단 암호화 호스트를 차단한 건수가 15만 4,801 건에 이른다고 발표했다. 이를 일 단위로 환산하면 하루에 약 1,720건의 랜섬웨어 공격이 차단된 셈이다.
주요 보안 기업과 유관기관, 2021년 표적형 랜섬웨어 성행할 것으로 예상
이러한 동향은 2021년까지 이어져 주요 보안 기업과 기관 등에서도 주의해야 할 공격으로 랜섬웨어를 첫손에 꼽았다. 특히, 불특정 다수를 대상으로 하는 기존 랜섬웨어 공격에서 특정 목표를 겨냥하고 장기간 공격을 수행하는 등 APT와 결합한 랜섬웨어 공격을 통해 수익성을 극대화하려는 조직이 꾸준히 증가할 것으로 보인다.
한국인터넷진흥원(KISA)은 ‘2021 글로벌 사이버 위협 시그널’을 통해 표적형 공격과 결합한 랜섬웨어와 이를 통한 피해 규모가 증가할 것으로 내다봤다. 2020년 주요 사례로는 국내 유통 기업이 영업을 중단한 사례, 일본 자동차 기업 세계 11곳의 공장 시스템 마비로 출하가 중단된 사건, 랜섬웨어로 병원 시스템이 마비돼 긴급 이송하던 환자가 사망한 사건이 발생했다. 이렇듯 분야를 가리지 않고 표적 공격을 수행할 것으로 예상했으며, 이 과정에서 기업의 중요 정보, 고객 개인정보 및 결제정보를 가지고 협박하는 수단 또한 다양해질 것으로 내다봤다.
▲2021 글로벌 사이버 위협 시그널[자료=한국인터넷진흥원]
금융보안원은 ‘2021년 디지털금융 및 사이버보안 이슈 전망’을 통해 랜섬웨어와 랜섬 디도스 공격이 금융권을 노릴 것으로 내다봤다. 특히, 랜섬웨어의 경우 이를 제작 및 판매하는 서비스형 랜섬웨어(RaaS)가 등장해 개발조직과 침투 및 공격조직의 분업화가 이뤄질 것으로 내다봤다. 랜섬 디도스 공격의 경우 공격에 동원할 수 있는 IoT 기기가 늘어나는 등 과거보다 파급력이 더욱 가중될 것으로 보인다.
이스트시큐리티는 2020년 보안 이슈 결산과 2021년 전망 TOP5에서 모두 랜섬웨어를 꼽았다. 특히, 암호화폐 가격 상승세에 힘입어 랜섬웨어를 통한 사이버 공격이 더욱 활발해질 것으로 내다봤다. 여기에 데이터 탈취 기능까지 탑재하는 등 기존보다 진화된 형태의 랜섬웨어 사용이 증가할 것이며, 2020년 하반기와 마찬가지로 ‘몸값’ 지불 여력이 있는 특정 기업을 대상으로 선별적인 공격이 이뤄질 것으로 보인다. 랜섬웨어 공격으로 인한 금전 갈취 규모가 점점 커지고 가속화될 것으로 관측되기 때문에 이제는 개인 사용자뿐만 아니라 기업과 국가 차원에서의 철저한 예방과 대응책이 필요하다는 지적이다.
이셋(ESET)은 2021년 사이버 보안 동향 보고서를 통해 랜섬웨어 공격과 이중협박이 늘어날 것이라 내다봤다. 최근 랜섬웨어 공격조직은 피해자에게 돈을 지불하도록 강요하기 위해 이러한 이중협박 전략을 펼치고 있으며, 내년에도 꾸준히 늘어날 전망이다. 이셋은 기업이 랜섬웨어를 탐지하고 차단하는 기술을 배치하고 있으며, 백업 및 복구 프로세스를 만드는 등 능동적으로 발전하고 있다고 설명했다. 이에 따라 사이버 공격자는 단순히 데이터를 암호화하는 단일 형태 공격에 의존하지 않고, 수익을 위해 ‘플랜B’를 준비할 것이라고 예상했다. 이 때문에 기업이 철저한 백업으로 랜섬웨어에 대응하려 해도 돈을 벌려는 사이버 범죄자의 공격에 완전히 대응하기는 어렵다고 덧붙였다.
[설문조사] 국내 기업의 랜섬웨어 피해 사례와 대응 인식은?
<보안뉴스>와 <시큐리티월드>에서 진행한 설문조사 결과, 랜섬웨어 공격에 대해 철저히 대비하고 있다고 응답한 비율은 전체의 14.4%, 어느 정도 대비하고 있다고 응답한 비율은 70.4% 등으로 상당수의 기업이 랜섬웨어에 대해 인식하고 이러한 공격에 대응하고 있는 것으로 나타났다. 다만, 13.9%는 아무런 대비가 없다고 응답했으며, 그 이유로 위험성은 인지하고 있으나 예산이 부족하다는 답변이 38.3%나 나왔다.
▲보안뉴스가 실시한 랜섬웨어 인식 및 대응 설문조사[자료=보안뉴스]
2020년 한 해 동안 랜섬웨어 공격을 경험했고 실제 피해로 이어졌다는 응답자는 전체의 31.1%였다. 특히, 피해 유형 중에는 복구가 불가능해 자료를 폐기한 경우가 있는가 하면, 공격자에게 비용을 지불했다는 응답도 전체의 2.6%(피해를 입은 기업 중에는 8.2%)를 차지했다.
이와 달리 27.8%는 공격 시도가 있었으나 피해를 입지 않았다고 답했다. 그 이유로는 중요한 시스템이 아니었기 때문에 시스템 자체를 포맷하고 다시 설치한 경우도 있었으나, 많은 경우 자체적으로 주기적인 백업을 실행해 공격을 당하더라도 이를 이용해 공격 당하기 이전 상태로 복구할 수 있었다.
전체 응답자의 64.8%는 백업을 랜섬웨어 공격에 대응하는 주요 솔루션으로 인식하고 있으며, 특히 전체 응답자의 57.3%는 이미 백업 솔루션을 구축해 운영하고 있다. 백업의 경우 이미 발생한 공격에 대해 피해를 최소화하고 기업 비즈니스 연속성을 회복하는 주요 수단이다. 이에 기업은 정기적인 백업을 통해 복구할 수 있는 시점을 많이 확보하고, 백업 이미지를 다른 저장매체에 안전하게 보관할 수 있어야 한다.
기업이 다음으로 중시하는 대응 솔루션의 주요 기능은 네트워크 침입 차단(56.6%, 복수 응답)과 암호화 행위 탐지(55%, 복수 응답)이다. 이밖에 웹 서버 취약점 제거는 44%(복수 응답) 등을 차지했다. 또한, 실제 랜섬웨어 공격에 대비하고 있는 방식으로는 백업 이외에 네트워크 침입 차단 솔루션(51.2%, 복수 응답), 엔드포인트 보안 솔루션(37.5%, 복수 응답), 웹 서버 보호 솔루션(37.3%, 복수 응답), 암호화 탐지 및 차단(22.1%,복수 응답) 등으로 나타났다.
네트워크 침입 차단, 엔드포인트 보안 솔루션, 웹 서버 보호 솔루션 등은 공격자가 서버에 들어오는 경로를 차단하기 위한 솔루션이다. 결국 랜섬웨어 공격 역시 공격자가 서버에 침투해 이를 실행해야 하기 때문에 침입 경로를 차단하고 침입을 감지해 공격에 대응할 수 있다. 이밖에 암호화 탐지 및 차단은 공격 자체를 방지하는 수단이다. 암호화 행위를 감지하고, 이를 차단하면 데이터 자산 암호화로 인한 피해를 예방할수 있다. 특히, 향후에는 호스트 기반 행위 탐지를 넘어 운영체제 커널단에서 암호화 프로세스를 탐지 및 차단하고, 암호화 시도가 일어난 파일에 대해 자동으로 백업하는 등 종합적인 랜섬웨어 대응 솔루션까지 등장할 전망이다.
이렇듯 기업이 다양한 대비를 하고 있음에도 불구하고 랜섬웨어 공격이 발생하는 이유는 무엇일까? 많은 응답자가 임직원의 부주의(65.8%, 복수 응답)를 꼽았으며, 랜섬웨어 대응방안으로 임직원의 보안인식 교육을 시행한다는 응답자도 전체의 56%(복수 응답)나 됐다. 아무리 보안 솔루션을 강화해 공격에 대비한다고 해도, 결국 사람의 실수나 고의에 의한 구멍이 가장 허술하다고 느끼는 셈이다. 실제로 사이버 공격에 있어서 공격 대상을 찾고 침투하는 과정에는 이메일을 통한 스피어피싱, 워터링 홀 등의 공격기법이 많이 쓰이고 있다. 이메일을 통해 내려 받은 악성 파일로 인해 주요 계정정보가 탈취되고, 공격자는 이 정보를 바탕으로 관리자 권한을 획득해 서버 및 네트워크에 연결된 PC에서 랜섬웨어를 실행한다. 특히, 최근 코로나19로 인한 비대면 이슈가 증가하면서 많은 직장인이 직장이 아닌 곳에서 자신의 기기를 활용해 업무를 수행하고 있다. 이에 따라 사이버 공격자가 기업에 침투할 수 있는 접점은 더 늘어나게 됐다. 상대적으로 보안에 취약한 임직원 개인 PC에서 시작해 기업의 중앙 네트워크까지 침투할 수 있는 경로가 생긴 만큼 개별 사용자의 보안의식 제고 역시 필수적이다.
APT와 결합해 정교해지는 랜섬웨어 공격...특정 기업을 노린다
최근 국내에서 발생한 클롭 랜섬웨어 조직의 공격은 몇 가지 시사점을 준다. 우선 오랜 기간 특정 표적을 노린 지능형 지속 위협(APT)이라는 점이다. 클롭 랜섬웨어 조직은 공격 과정에서 파일 암호화와 동시에 200만 건의 고객 신용카드 정보를 유출했다고 주장하고 있다. 또한, 협상에 응하지 않으면 이 정보를 공개해 법적인 피해를 입도록 하겠다며 협박하고 있는 상황이다. 주목할 부분은 이들이 해외 매체와의 인터뷰를 통해 약 1년에 걸쳐 포스(POS) 시스템을 악성코드에 감염시키고 지속적으로 카드 정보를 유출해 왔다고 주장한 점이다.
▲클롭 랜섬웨어 조직은 유출한 카드 정보라고 주장하는 데이터를 다크웹을 통해 공개 중이다[사진=utoimage]
국내에서는 여신전문금융업법에 따라 카드 내역을 POS 단말기에 저장할 수 없으며, 기업 서버를 통해 결제승인대행업체(VAN)로 전송할 때도 암호화해야 한다. 이러한 사정을 알고 있는지, 이들은 결제가 일어나는 POS 단말기 자체에 악성코드를 심어 신용카드 결제정보를 유출했다. 1년에 걸친 유출 이후 랜섬웨어 공격을 통해 기업의 업무를 마비시키고, 해당 정보를 이용한 이중협박을 시도한 만큼, 하루이틀 사이에 일어난 공격은 아닌 셈이다.
이들이 사용한 랜섬노트 역시 기존과는 다르다. 과거 랜섬웨어 공격은 불특정 다수를 대상으로 이뤄졌다. 예를 들어, 국내에서 대량의 감염 사태를 낳았던 크립토XXX(CryptoXXX) 랜섬웨어는 대형 커뮤니티 사이트의 플래시 광고 취약점을 악용해 회원을 대상으로 랜섬웨어 공격을 수행한 뒤 개인에게 복구를 대가로 비트코인 등 암호화폐를 요구했다. 해당 커뮤니티는 ‘최저가 휴대폰’이라는 공통 관심사가 있기는 하지만, 누구든 쉽게 접속할 수 있는 대형 커뮤니티인 만큼 불특정 다수를 노려 누구든 무작위로 감염되도록 유도한 뒤 ‘푼돈’을 뜯어내는 형태의 공격이다.
이와 달리 최근 국내에서 발생한 클롭 랜섬웨어 조직의 공격은 파일 암호화 후 협상 조건을 남기는 문서 파일(일명 랜섬노트)에 ‘Hello Dear K Mall’이라는 문장을 남겼다. 불특정 다수를 노린 랜섬노트는 ‘당신의 네트워크가 뚫렸습니다’ 등의 문장으로 시작하는 반면, 이번 공격에서 발견된 랜섬노트는 한국 유통 기업을 노렸다는 것을 유추할 수 있다.
협상 과정에서도 피해자에 대해 잘 아는 듯한 모습을 보였다. 다크웹 페이지에 클롭 랜섬웨어 조직이 구축한 채팅 페이지에서는 약 445억 원의 협상 비용을 요구하면서 ‘블랙 프라이데이부터 크리스마스, 신년까지 이어지는 쇼핑 기간에 협사에 지불한 돈을 다시 벌 수 있을 것이다’며 언급하는 등 피해를 입은 유통기업과 협상을 시도하는 모습도 보였다. 향후에도 랜섬웨어 공격자들은 장기간에 걸친 노력이 허사가 되지 않도록 협상 비용을 충분히 지불할 수 있는 기업을 노릴 것으로 보인다.
돈이 되면 무엇이든 인질로 잡는다! 이중협박을 넘어 랜섬 디도스까지
사실 과거 랜섬웨어 공격에서 인질로 잡고 몸값을 요구하는 대상은 데이터다. 기업의 주요 파일은 물론, 일반 사용자의 추억이 담긴 사진 등이 주요 표적이다. 하지만, 2020년 가장 활발히 활동한 랜섬웨어 조직 ‘메이즈’에 의해 이러한 추세도 조금씩 바뀌기 시작했다.
메이즈가 선보인 공격 방식은 ‘이중협박’이다. 파일을 암호화해 이를 풀어주는 대가로 돈을 요구하는 방식에서 한 단계 진화해 공격 과정 중 기업의 주요 데이터 자산을 유출한 뒤 협상에 응하지 않으면 이를 공개하겠다고 협박하는 사례다. 즉, 암호화는 부수적인 수단이며 데이터 유출이 피해자가 협박에 순응하도록 만드는 주요 수단이다. 뿐만 아니라 메이즈 랜섬웨어 조직은 자사가 운영하는 웹 사이트를 통해 협상에 응하지 않은 기업 250여개에서 유출한 자료를 모두 공개하기도 했다.
이러한 방식은 실제로 큰 성과를 거둔 것으로 보인다. 실제로 국내 기업을 공격한 것으로 알려진 클롭 랜섬 웨어 조직 역시 협상에 응하지 않으면 유출한 고객 카드 정보를 공개하겠다고 협박했으며, 락빗 랜섬웨어 조직도 다크웹에 개설한 페이지를 통해 유출한 정보를 공개하겠다며 카운트다운을 걸기도 했다. 최근 잇따른 랜섬웨어 공격으로 많은 기업의 암호화 공격에 대한 인식이 개선됐으며, 이에 대응하는 솔루션까지 갖춰가고 있는 추세다. 파일 암호화만 시도할 경우 백업 솔루션을 이용해 기업이 비즈니스 연속성을 회복할 수 있으며, 자동화되고 있는 암호화 탐지 및 차단 솔루션은 이러한 공격을 원천적으로 예방할 수 있다. 즉, 단순한 암호화 공격만으로는 더 이상 기업이 협상에 응하도록 하기 어렵게 됐다.
이러한 상황에서 이중협박 전술은 사이버 공격자가 그동안 들인 노력에 대해 충분한 보상을 받기 위한 수단이다. 핵심 정보를 탈취하는 데 성공할 경우 이를 이용해 피해자가 돈을 지불할 수 있도록 유도할 수 있으며, 특히 피해 기업이 완고하게 나오더라도 다크웹을 통해 유출 정보를 거래할 수 있는 만큼 최소한의 수익은 얻을 수 있다. 뿐만 아니라 공격자는 수단과 방법을 가리지 않고 기업을 협박해 금품을 갈취할 것으로 보인다. 여기에는 파일 암호화나 기업 자료 유출 외에도 다양한 전략이 동원될 수 있다. 대표적인 사례가 랜섬 디도스(RDDoS)다.
랜섬 디도스란 기업에게 협박성 메일을 보내거나 실제 디도스(DDoS) 공격을 감행한 뒤, 공격자가 요구하는 수준의 금품을 제공하지 않으면 대규모 트래픽을 동원한 디도스 공격을 하겠다고 협박하는 방식으로 이뤄진다.
아카마이에 따르면 국내에서는 2020년 8월에 ‘아르마다 콜렉티브’라 주장하는 사이버 공격 조직이 국내 3개 금융사를 대상으로 디도스 공격과 동시에 더 큰 공격을 예고하는 협박 메일을 보냈다. 2020년 추석 연휴 기간에는 일부 국내 금융기관에 디도스 공격 시도가 발생한 뒤 팬시베어라 주장하는 해킹그룹이 국내 4개 은행에 비트코인을 입금하지 않으면 대규모 디도스 트래픽 공격을 하겠다고 예고하기도 했다. 특히, 금융권이 디지털화되고 있는 오늘날 상황에서 이러한 위협은 단순한 위협으로 끝나지 않고 생각보다 큰 규모의 피해를 낳을 수 있다.
이러한 사례가 시사하는 바는 한두 가지 솔루션만으로는 기업을 협박하는 사이버 위협에 대응하기 어렵다는 점이다. 랜섬웨어는 지능형 지속 위협의 일환이 됐으며, ‘성공적인 범죄’를 위해 가능한 모든 수단을 동원할 수 있다. 이에 기업은 기존 지능형 지속 위협 대응 위에 랜섬웨어 대응 솔루션, 디도스 대응 솔루션 등 종합적인 대책을 쌓아올려야 한다.
주요 보안 기업은 어떤 솔루션을 제공하고 있을까?
안랩은 자사의 주요 보안 솔루션에 랜섬웨어 자체를 탐지 및 차단하는 기능을 적용하고 있다. 안랩 V3는 악성코드 통합 분석 및 대응 시스템인 ‘다차원 분석 플랫폼’을 통해 다양한 보안 위협에 대응한다. 특히, 클라우드 기반 악성코드 위협 분석 및 대응기술인 ‘ASD(AhnLab Smart Defense)’, 악성코드 고유의 특성을 파악해 다양한 신·변종 악성코드를 진단하는 ‘TS(Total Security)엔진’ 등 자체 개발한 탐지·분석 엔진으로 랜섬웨어 대응 기능을 제공한다. 또한, ASD로 분류한 랜섬웨어 의심파일을 별도의 가상 공간에 격리해 한 차례 더 검사하는 ‘랜섬웨어 정밀검사’ 기능을 제공하며, 함정 파일로 랜섬웨어를 유인하는 ‘디코이(Decoy)’ 기술, 랜섬웨어 감염 시 특정 폴더를 보호하는 ‘랜섬웨어 보안폴더’ 등 랜섬웨어 대응 특화 기능을 제공 중이다.
안랩은 앞으로도 공격자는 수익 극대화를 위해 영역을 가리지 않고 공격을 전개할 것으로 예상되므로 각별한 주의가 필요하다고 강조했다. 기업 보안관리자는 현재 운영하고 있는 보안 인프라 및 방어 체계를 꼼꼼히 점검해야 한다. 이와 함께 임직원 역시 출처가 불분명한 메일의 첨부파일 실행 자제, 폴더 설정에서 확장자 표시하기, 알 수 없는 웹 사이트 방문 자제, 운영체제 및 소프트웨어 최신 버전 유지 및 백신 사용, 중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다고 강조했다.
베리타스는 랜섬웨어 공격에 대해 최적화한 백업 솔루션과 사이버 보안 기술을 통합하는 포괄적인 접근 방식을 제공한다. 백업은 랜섬웨어 공격에서 기업이 회복 탄력성을 갖출 수 있는 주요 수단이다. 베리타스 넷백업 솔루션은 퍼블릭 및 하이브리드 클라우드를 막론하고 복사본 생성 및 무결성을 검증할 수 있다. 베리타스는 IT 의존도가 크게 증가한 오늘날 환경에서 IT는 비즈니스 연속성을 위한 필수 조건이며, 데이터가 곧 기업의 가치라고 설명했다.
국내의 경우 한 호스팅 업체가 랜섬웨어 공격을 당했으며, 백업 서버까지 감염돼 복구할 수 없는 상황이 발생한 사례도 있다. 이렇듯 변종된 랜섬웨어가 외부망 통해서도 유입된 사례가 있기 때문에 망 분리된 회사라도 안심할 수 없다. 특히, 피해가 발생하면 기업의 존폐 문제가 될 수 있는 만큼 강력한 데이터 보호 방안이 필요한 상황이며, 백업 데이터를 공격하거나 파기하는 사례 역시 늘고 있는 만큼 보안성을 강화한 백업이 필수적이라고 강조했다.
누리랩 NAR(Nuri Anti-Ransom) 솔루션은 암호화 행위 탐지 및 차단 솔루션을 제공한다. 암호화 행위 분석을 기반으로 작동하기 때문에 신종 혹은 변종 랜섬웨어가 등장하더라도 기존과 유사한 행위에 대하 탐지 및 차단이 가능하다. 특히, 행위 분석 시점에서 암호화가 시도된 파일을 실시간으로 백업해 안전한 매체에 보관할 수 있다. 또한, 접근 통제를 바탕으로 대용량 파일 및 기업의 주요 데이터를 보호하며, 서버에서 공유된 파일이나 폴더까지 보호할 수 있다는 설명이다. 여기에 기본 다운로드 폴더의 파일 및 문서에 대한 악성 콘텐츠 제거 및 무해화 기능을 통해 위협 요소를 제거하는 기능도 갖췄다.
노태호 누리랩 보안사업부 부장은 최근 증가하는 표적형 랜섬웨어 공격에 대해 공격자의 기본적인 침투경로가 되는 ‘이메일’ 보호가 선행돼야 한다고 조언했다. 표적형 공격을 위한 악성 파일은 대부분 공공기관 사칭, 이력서, 거래 명세서 등으로 위장한 악성 이메일 첨부파일을 통해 침투하는 경우가 많기 때문이다. 특히, 알려지지 않은 신종‧변종 랜섬웨어에 대응하기 위해서는 엔드포인트를 통해 시스템으로 유입되는 악성 파일에서 매크로, 자바 스크립트, OLE 개체, CVE 익스플로잇 등의 위협 요소를 제거할 수 있는 콘텐츠 무해화(CDR) 기술이 필요하다고 덧붙였다.
위젯누리는 화이트리스트 기반 소프트웨어 인증 차단 및 암호화 행위 탐지·차단 솔루션을 제공하고 있다. 행위 기반이 아닌 소프트웨어 인증을 통해 랜섬웨어를 탐지한다는 것이 특징이다. 인증을 통해 운영체제에서 소프트웨어가 실행될 때 이를 분석하고 신뢰도를 평가한 뒤 해당 소프트웨어가 중요 자료에 접근할 수 있도록 허용한다. 이에 따라 알 수 없는 소프트웨어와 악성 소프트웨어는 중요 자료에 접근할 수 없다. 신뢰성 분석을 통해 수집된 화이트리스트는 중앙관리 매니저를 통해 효율적으로 관리 및 배포할 수 있으며, 인증된 프로세스만 감시하기 때문에 PC의 리소스가 적게 소모되는 것 역시 장점이다.
위젯누리 최승환 대표는 다계층 방어를 통해 표적형 랜섬웨어 공격에 대응할 수 있다고 설명했다. 1단계인 소프트웨어 인증은 소프트웨어 실행 시 자동으로 신뢰성을 검증해, 중요 자료 접근을 허용 또는 거부하며, 화이트리스트를 기반으로 파일이 감염되기 전 사전 차단한다. 2단계인 함정 파일 탐지는 랜섬웨어와 같은 악성 소프트웨어만 접근할 수 있는 함정 파일을 생성해 악성 소프트웨어가 이에 접근할 경우 즉시 차단한다. 3단계인 행위 감시는 파일 변조 및 암호화 행위를 감시하며, 불법적인 파일 삭제 및 파일명 변경, 시작프로그램 및 스케줄 등록을 감시한다.
[랜섬웨어 대응을 위한 최적의 백업 솔루션 전문업체: 베리타스]
‘보호, 탐지, 복구에서 강점 갖춘 백업 솔루션’
베리타스, 랜섬웨어 공격에서 기업 비즈니스 연속성 사수 지원한다
베리타스는 최근 빠르게 증가하는 표적형 공격에 대해 비즈니스 연속성 확보가 필수적이며, 이를 위해 철저한 정책에 기반한 백업의 중요성을 강조했다. 최근 랜섬웨어 공격 동향은 무차별적인 공격이 아니라 기업이나 공공기관을 등을 목표로 하는 공격이 늘어나고 있다. 특히, 대부분의 랜섬웨어 공격이 야간이나 주말 등 관리자 부재 시 발생하는 등 대응을 어렵게 하고 있다.
최근 피해 사례를 살펴보면, 공격자가 탈취한 계정정보로 웹 호스팅 모든 서버에 랜섬웨어를 설치하고, 최후의 보루인 백업 서버도 감염시켜 백업 데이터를 사용할 수 없게 만든 뒤 지속적으로 금전을 요구해 파산한 호스팅 회사 사례가 있다. 특히, 변종된 랜섬웨어가 외부망을 통해서도 유입된 사례가 있기 때문에 망 분리된 회사라도 안심할 수 없다. 이렇듯 많은 기업이 IT에 대한 의존도가 크게 증가하는 상황에서 IT는 비즈니스 연속성을 위한 필수 조건이 되었고 데이터가 곧 기업의 가치가 되었다. 피해가 발생하면 곧 기업의 존폐 문제가 되기 때문에 강력한 데이터 보호 방안이 필요한 상황이다. 백업 데이터를 공격하거나 파기하는 사례 역시 늘고 있으며, 백업 소프트웨어 및 시스템을 유지해도 랜섬웨어 감염되기 때문에 보안성을 강화한 백업이 필수적이다.
▲베리타스 넷백업이 제공하는 대시보드[자료=베리타스]
또한, 최근 랜섬웨어 공격 동향을 살펴보면, 주요 데이터 자산을 암호화함과 동시에 공격 과정에서 데이터를 유출해 협상에 응하지 않으면 이를 유포하겠다는 이중협박 전술을 구사하고 있다. 이 때문에 기업은 무단 암호화 공격으로부터 피해를 줄이는 것은 물론, 데이터 자체가 유출되지 않도록 보호해야 할 필요성도 커진다. 베리타스는 랜섬웨어 공격에 ‘보안 백업’이라는 대응법으로 접근하고 있다. 백업 솔루션 최적화를 통해 사이버 보안기술과 통합하고, 백업 데이터 및 시스템을 보호하는 방법에 대한 지침을 제공하는 기술과 함께 이러한 프로세스에 대해 포괄적인 통합 접근 방식을 지원한다. 실제로 이번 설문조사에서 많은 기업이 랜섬웨어 대응 솔루션에서 백업 기능의 중요성을 인식하고 있었다. 백업은 기업의 주요 데이터 자산이 무단으로 암호화되는 공격을 당해도, 공격을 받기 이전 시점으로 되돌릴 수 있는 만큼 기업의 비즈니스 연속성을 확보할 수 있게 해준다.
다만, 백업 솔루션을 효과적으로 운용하기 위해서는 기업은 백업 절차에 대한 철저한 계획을 세워야 하는것은 물론, 네트워크를 타고 공격자가 침입해 백업 이미지까지 암호화할 경우에 대비해 안전한 저장 매체에 보관해야 할 필요가 있다.
베리타스 솔루션은 보호(PROTECT), 탐지(DETECT), 복구(RECOVER) 세 가지 측면에서 강력한 강점을 제공한다.
(1) 보호: 위치에 관계없이 데이터를 보호
넷백업(NetBackup) 및 플렉스(Flex) 솔루션의 시스템 경화 및 변조 불가능한 스토리지(Immutable Storage)로 모든 위치의 데이터 보호가 가능하다. ID 및 액세스 관리, 데이터 암호화, 불변형 백업 이미지를 사용하여 데이터 무결성을 유지할 수 있다.
- WORM 스토리지 기능을 통한 보호
스토리지 불변성(Immutable Storage): 운영체제와 무관하게 자체적으로 불변기간을 설정할 수 있고 랜섬웨어가 백업 환경을 공격하려고 시도하는 경우에도 데이터 사본을 안전하게 보호할 수 있다.
(2) 탐지: 백업 인프라스트럭처에 대한 종합적인 가시성으로 보안 위협을 탐지해 위협 해소
넷백업, 앱타 IT 애널리틱스(APTARE IT Analytics), 베리타스 데이터 인사이트(Veritas Data Insight)의 통합 기능 활용을 통해 중요 시스템이 백업되고 오프사이트 카피본이 생성되었는지 확인 가능하며, 넷백업을 통해 백업되어 보호된 데이터의 비정상 요소를 탐지함으로써 랜섬웨어 위협에 대한 가시성을 확보 할 수 있다. 관리자가 쉽게 실행할 수 있는 인사이트 정보를 제공해 사용자 환경의 변경 사항을 즉시 처리할 수 있도록 도와주며, 구성 가능한 알림 설정을 통해 사용자 환경의 비정상 요소를 탐지한다.
-앱타 IT 애널리틱스로 통합된 데이터 보호 업무 분석
백업시간의 비정상적인 지연, 예기치 않은 어플리케이션의 성능 지연, 데이터 저장용량의 급격한 변화 등 IT 인프라내에서 발생하는 변화에 가시성을 확보함으로써 랜섬웨어 감염 여부를 빠르게 파악할 수 있다. 관리자가 쉽게 보고할 수 있는 커스터마이징이 가능한 대시보드를 제공한다.
(3) 복구: 확장 가능한 백업 및 재해 복구 시스템을 통한 비즈니스 연속성 유지
제로에 가까운 복구 시간 목표(RTO)와 복구 시점 목표(RPO)를 통한 대규모 재해복구가 가능하며, 모든 환경에 유효한 자동화된 복구 및 프로세스를 통해 위협 상황을 통제해 데이터 유출시 빠르고 안정적으로 복구할 수 있다. 60개 이상의 퍼블릭 클라우드를 지원하는 베리타스 데이터 보호 솔루션은 오케스트레이션 기능을 갖춘 레질리언스 플랫폼을 통해 지속적인 데이터보호(CDP) 및 클라우드 포인트를 지원한다.
-VRP 자동화 오케스트레이션 재해 복구 솔루션
온프레미스, 퍼블릭 혹은 프라이빗 클라우드 등 VM 환경에서 신속하게 서비스 전환을 넷백업에서 제공할 수 있다.
최근 구축 사례를 보면, 간삼건축종합건축사사무소(이하 간삼건축)는 베리타스 백업 솔루션인 넷백업과 넷백업 어플라이언스를 도입해 랜섬웨어 등 외부 위협으로부터 내부 자산을 보호할 수 있는 IT 환경을 갖추고, 빠르고 효율적인 데이터 보호 환경을 구축했다. 간삼건축은 지금까지 스토리지 스냅샷 기능으로 데이터백업본을 생성해 다른 스토리지에 복제하는 방식으로 백업 실행해왔다. 이 경우 랜섬웨어와 같은 외부 공격이나 내부 실수로 인한 데이터 유실 문제에 대비하기 어려운 문제가 있었다.
이러한 이유에서 보다 체계적이고 효율적인 데이터 백업 환경을 수립하면서, 데이터 유실에 대비하고 비용 효율적으로 확장 가능한 솔루션을 찾던 중 베리타스 넷백업과 넷백업 어플라이언스를 도입했다. 넷백업은 IT 환경 전반에서 사용되는 주요 플랫폼을 모두 지원하는 통합 데이터 보호 플랫폼으로 백업 속도 단축, 관리 부담을 경감하고 외부 위협으로부터 데이터를 보호할 수 있는 안전한 환경을 갖추었으며, 신속하게 데이터를 복구할 수 있는 환경을 구축했다.
변조 불가능한 스토리지로 비즈니스 연속성 사수
최근 발견된 랜섬웨어 공격 사례는 이른바 ‘랜섬웨어 없는 랜섬웨어 공격’도 있다. 윈도우 및 윈도우 서버 운영체제에서 데이터 보호를 위해 제공하는 암호화 기능을 권한을 탈취한 공격자가 무단으로 실행한뒤 협박한 사례다. 정상적인 운영체제 기능을 이용한 만큼 랜섬웨어 탐지 솔루션을 회피하면서도 기존 랜섬웨어 공격과 동일한 방식으로 사용자를 협박할 수 있었다.
베리타스 넷백업이 제공하는 스토리지 불변성(WORM) 등 보안 백업 기능은 어떠한 공격도 데이터를 변조하지 못하고 가져가지 못하게 하는 기능들이 추가되어 랜섬웨어가 백업 환경을 공격하려고 시도하는 경우에도 데이터 사본을 안전하게 보호한다. 백업 받은 백업본이 침해 없이 보관될 수 있으므로 구성 및 보존율에 따라 사용자가 몇 달, 또는 몇 년 전에 기록한 시점에서 유효한 데이터 카피를 복구할 수 있으며, 이를 통해 비즈니스 연속성을 확보하는 것이 가능하다.
베리타스는 “완벽한 보안은 없으며 기업은 전반적인 데이터와 인프라스트럭처에 걸쳐 검증되고 안정적인 랜섬웨어 복구 계획과 지속적인 보안 리스크 평가를 수행해야 한다. 이를 통해 항상 문제에 대비하고 문제가 생겼을 때 복구할 수 있는 방안을 마련해두는 것이 필요하다”고 설명했다.
랜섬웨어 공격과 함께 발생하는 데이터 유출 사고는 기업의 기밀 또는 중요 정보가 미승인 시스템, 애플리케이션, 개인 등 권한이 없는 곳에 전송되면서 발생한다. 특히 오늘날 업무 환경이 디지털화되고 비대면 이슈가 가속화하면서 과거보다 더 많은 곳에 데이터를공유하는 만큼 기업이 데이터에 대한 제어 권한도 약화될 수 있다.
베리타스는 “이러한 데이터 유출은 엔드유저 보안 인식 저하, 관리되지 않은 네트워크, 부실한 데이터 정책 구현으로 발생한다. 베리타스의 데이터 관리 솔루션 측면에서 보면, 정보 유출, 특히 개인정보 등 민감한 데이터의 유출을 방지하기 위해서는 근본적으로 기업 내 데이터에 대한 명확한 가시성과 이를 기반으로한 분류 및 처리가 필요하다. 베리타스의 정보 거버넌스 솔루션은 기업 내 데이터에 대한 인사이트를 제공해, 중요한 민감 데이터를 자동 분류하고, 보존 관리를 지원한다”고 말했다.
[랜섬 디도스 대응을 위한 아카마이의 노하우 공개]
“돈만 되면 무엇이든 인질로 잡고 몸값 요구한다”
아카마이 강상진 상무, 2021년에는 랜섬 디도스(RDDoS) 공격 성행할 것
랜섬웨어 공격이란 이름 그대로 인질을 잡고 몸값을 요구하는 방식이다. 지금까지 널리 쓰인 방법은 데이터 자산을 암호화한 뒤 몸값을 요구하는 것이었으나, 최근 동향은 데이터 유출을 통한 이중협박으로 바뀌고 있다. 이러한 동향에 따라 2021년 사이버 공격자는 수익성 극대화를 위해 새로운 형태의 인질을 잡을 가능성도 존재한다.
▲아카마이 강상진 상무[사진=아카마이]
랜섬 디도스(RDDoS)가 이러한 대표적인 사례다. 랜섬 디도스는 말 그대로 디도스(DDoS) 공격을 빌미로 몸값을 요구하는 형태다. 파일 암호화 대신 표적이 된 특정 서비스 혹은 전체적인 네트워크를 디도스 공격으로 중단시키겠다고 협박하며 대가를 요구한다. 디도스 공격을 먼저 수행하고 공격 중단을 위해 돈을 요구하거나, 디도스 공격 이전에 먼저 요구하는 식이다.
아카마이에 따르면 공격자는 보통 기업 대표 이메일 혹은 네트워크나 보안 담당자 이메일로 디도스 공격을 감행할 것이라고 연락한다. 그 후 대응하지 않으면 실제로 소규모의 공격을 진행하기도 한다.
아카마이 강상진 상무는 “물론 이 과정에 블러핑(bluffing)이 존재할 수도 있다. 대형 트래픽을 발생시킬 만한 능력이 없는 공격자가 겁만 주는 경우다. 대부분 협박 메일에는 공격자가 과거 어떤 디도스 공격을 유발했는지, 어떤 해커 단체 소속인지를 과시하는 경우가 많지만, 이 것이 단순 블러핑에 해당하는 가벼운 위협인지 아닌지는 명확하게 구분하는 것은 어렵다. 다만 공격자의 협박과 달리 공격이 발생하거나 예상만큼 심각한 공격이 발생하지 않은 사례가 많기 때문에 협박에 순순히 응하는 것은 좋은 대응 방법이 아니다”고 설명했다.
다양한 디지털 서비스에서 몸값 요구하는 디도스 공격 늘어날 것
랜섬 디도스 공격은 특정 분야의 기업만을 표적으로 삼지 않는다. 대부분의 국영기업, 공기업, 금융사, e커머스, 유통 업체 등은 대다수의 일반인을 대상으로 비즈니스를 영위하고 있기 때문에 그러한 기업의 서비스가 디도스 공격으로 인해 멈춘다면 많은 사용자들이 피해를 입는다.
그는 “과거 디도스 목표가 되었던 기업이나 단체는 종교적, 정치적인 이유도 많았지만, 최근에는 ‘몸값’을 요구하는 사례가 증가하는 추세로, 북미, 아시아 태평양, 유럽‧중동‧아프리카 지역 기업이 협박 이메일을 받았다. 금융 서비스가 가장 위협을 많이 받는 분야였으나, 비즈니스 서비스, 첨단 기술, 호텔 및 관광, 리테일, 여행과 같은 산업 분야의 기업을 대상으로 한 협박 이메일이 증가하고 있다”고 말했다.
아카마이에 따르면 최근 아르마다 콜렉티브, 코지베어, 팬시베어, 라자루스 등 조직의 공격이 지속적으로 증가하는 추세다. 최대 2Tbps의 공격을 일으키겠다는 위협을 받은 기업도 있었으며, 지금까지 관측된 공격의 대역폭 범위는 20Gbps에서 300Gbps까지 광범위하게 나타나며 다양한 공격 기법이 사용되었다.
역대 최대규모 공격 대역폭과 신규 공격용 소스 IP 탐지
지난 2020년 6월 21일, 유럽의 대형 은행을 노린 공격은 809Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 최고 기록을 경신했다. 규모뿐 아니라 공격 속도도 최고 수준을 기록했다. 정상 트래픽 수준인 418Gbps 규모에서 약 2분 만에 809Mpps에 도달했고 공격 시간은 약 10분 동안 지속됐다.
공격에 사용된 소스 IP 주소 또한 급증했다. 공격 대상이 된 기업의 평소 접속 IP 수에 비해 소스 IP 수가 1분에 600배 이상 증가했다는 점에서 이번 공격이 고도로 분산된 공격임을 알 수 있다. 새로운 봇넷의 등장도 주목할 만한 점이다. 이번 공격에서는 소스 IP 대다수가 2020년 이전 공격에서는 사용되지 않던 IP로, 전체 소스 IP 중 96.2%가 최초로 관측된 매우 이례적인 공격이다.
강상진 상무는 “올해 대규모 트래픽 공격 건수와 종류가 30개월 만에 최고치를 기록했으며, 특히 코로나19 확산으로 인한 격리 조치가 실행되면서 더욱 증가했다. 국내에서는 2020년 8월에 아르마다 콜렉티브라 주장하는 해킹 그룹이 국내 3개 금융사를 대상으로 디도스 공격과 동시에 공격 예고 협박 메일을 보냈다”고 말했다. 또, “2020년 추석 연휴 기간에는 일부 국내 금융기관에 디도스 공격 시도가 발생한 뒤 팬시베어라 주장하는 해킹그룹이 국내 4개 은행에 비트코인을 입금하지 않으면 대규모 디도스 트래픽 공격을 하겠다고 예고했지만 실제 예상한 만큼의 공격은 감행하지 않은 것으로 확인됐다”고 말했다. 이렇듯 국내에서는 금융권을 대상으로 하는 랜섬 디도스 협박이 늘고 있는 추세며, 향후에는 공격 분야와 규모가 더 커질 전망이다.
기업이 알아채기도 전에 디도스 공격 차단한다
아카마이는 디도스 공격을 포함한 대규모 보안 공격을 선제적으로 차단한다. 실제로 대규모 공격이 발생했다는 사실을 아카마이가 전달하는 경보 시스템을 통해 알게 되는 고객도 많다. 아카마이의 프롤렉식(Prolexic) 서비스는 디도스 공격 규모나 건수에 상관없이 고객을 안전하게 보호하고 공격을 완화한다. 공격 대상에 따라 DNS와 애플리케이션 레이어에서 포괄적인 디도스 방어조치를 구축하는 것 또한 권장하고 있다.
DNS 공격에 대비해 Edge DNS 솔루션으로 보조 DNS 서비스를 확보하는 것은 물론 웹 서비스로의 공격을 방어하기 위해 웹 애플리케이션 방화벽 KSD(Kona Site Defender) 혹은 WAP(Web Application Protector)에서 전송률 제어 설정에 차단 룰을 적용하는 것 역시 모범 사례에 포함된다.
아카마이는 보안운영관제센터, 엣지 기반 웹 애플리케이션 방화벽, DNS 서비스, 디도스 전용 클라우드 스크러빙 센터 등 디도스 관련 플랫폼으로 공격을 효과적으로 방어할 수 있는 최선의 기술을 보유하고 있고 부단히 오탐률과 미탐률을 낮추기 위해 주력하고 있다. 웹 공격에 대해서는 평소에도 웹 서버의 액세스 로그를 분석하여 어떤 형태의 공격이 유입되고 있는지를 확인하고 이에 대한 취약점을 미리 제거하고 방화벽 정책을 최신으로 유지하는 것이 필요하다. 기본적으로 SQL인젝션, 크로스사이트 스크립트, 리모트 파일 인클루전 공격에 대한 방어는 필수다.
공격 트래픽과 서비스 트래픽 구분하는 기술적 프로세스 준비가 필수
디도스 공격 대비를 위해 네트워크 상에서 디도스가 감지되었을 때 공격성 트래픽을 걸러내고 순수하게 서비스 트래픽만 전달할 수 있는 기술과 프로세스를 평소에 준비해 두어야 한다. 무엇보다 방어를 위한 시스템은 디도스의 공격 볼륨을 빠르게 탐지하고 충분히 소화하고 막아낼 수 있는 용량을 보유해야 한다.
아카마이 인텔리전트 엣지 플랫폼은 모든 곳에 분산돼 있으며, 전 세계 인터넷 사용자의 85%가 단 한 번의 ‘네트워크 홉’만 거치면 아카마이 CDN 서버에 접근할 수 있다. 아카마이는 엣지에서 보안 및 애플리케이션 전송 기능을 통해 고객의 앱과 API를 보호하고 가속화한다. 아카마이는 상황별 시그널을 지속적으로 분석하고 이런 시그널을 기반으로 현명한 보안 및 접속 의사결정을 하면 근본적인 신뢰를 구축할 수 있다.
강상진 상무는 “가트너를 인용하자면 ‘네트워킹 및 네트워크 보안 패턴이 변화하면서 향후 10년간 경쟁 구도가 변할 것이며, 기업이 복잡성을 줄이고 IT 직원이 네트워크 및 네트워크 보안 운영의 일상적인 측면을 제거할 수 있는 중요한 기회가 창출될 것’으로 보인다. 이런 측면에서 아카마이의 보안 솔루션군은 현재와 미래의 보안 위협에 대한 가장 확실한 대비책이 될 것”이라고 말했다.
마지막으로 그는 “비단 보안담당자뿐만 아니라 모든 직원의 보안의식 고취가 필요하다. 보안을 위한 기술뿐만 아니라 프로세스, 사람이 모두 기술과 어우러지는 행동 규칙에 평소 훈련이 되어 있어야 한다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]
효과적인 협박 위해 파일 암호화 외에도 랜섬 디도스 형태의 공격도 감행할 것
[설문조사] 국내 기업의 랜섬웨어 피해 사례와 대응 인식도 조사결과 살펴보니
[구축사례] 베리타스의 백업 솔루션 구축사례와 아카마이의 랜섬 디도스 대응사례
[보안뉴스 이상우 기자] 랜섬웨어 공격은 더 이상 낯선 사이버 공격 유형이 아니다. 랜섬(Ransom)이란 납치나 유괴를 당한 사람의 몸값을 의미한다. 즉, 사용자의 주요 데이터 자산을 인질로 잡고 기업이나 기관에 몸값을 요구하는 사이버 공격이다. 영화 테이큰에서 리암 니슨의 명대사처럼 “몸값을 원한다면 나는 그런 돈이 없다. 하지만 내 특별한 기술로 너를 찾아낼 것이다”라고 말해주고 싶지만, 당장 눈앞에 있는 데이터가 암호화돼 업무가 마비된 상황에서 보안 담당자뿐만 아니라 모든 직원이 패닉에 빠질 것이다. 심지어 일부 랜섬웨어 공격은 협상에 응하는 제한시간을 두고 피해 기업을 더 초조하게 만든다. 결국 피해자는 ‘울며 겨자 먹기’식으로 공격자의 요구를 들어줄 수밖에 없다.
[이미지=utoimage]
최근 랜섬웨어 공격 사례를 살펴보면, 지난 2020년 11월 22일에는 NC백화점, 뉴코아아울렛 등 이랜드그룹의 주요 매장이 클롭 랜섬웨어 조직의 공격으로 영업을 중단하는 사태가 발생했다. 이랜드그룹 관계자에 따르면 22일 새벽에 사내 네트워크 시스템이 랜섬웨어 공격을 받았으며, 복구 작업에 차질이 생겨 NC백화점과 뉴코아아울렛의 매장 50여개 중 23개의 정상 영업이 어려워졌다. 랜섬웨어에 감염된 시스템은 일부 매장의 포스(POS) 단말기 등과 연동돼 NC백화점과 뉴코아아울렛 매장 23곳에 영향을 미친 것으로 드러났다. 이로 인해 일부 매장을 찾은 손님들이 영문도 모른 채 발길을 돌리기도 했다. 이 사건은 사이버 공격으로 인해 온라인 서비스가 정지되는 상황을 넘어, 오프라 인 매장까지 영업을 멈추게 할 수 있다는 사실을 다시 한 번 체감할 수 있었던 사례다.
뿐만 아니라 랜섬웨어가 사람의 목숨까지 위협할 수 있다. 지난 2017년 5월 영국의 ‘국민건강서비스(NHS)’가 워너크라이 공격을 당해 당시 16개 병원이 폐쇄됐으며, 최소 6,900건에 달하는 국민건강서비스 진료예약이 취소된 바 있다. 금전을 노리고 랜섬웨어를 퍼뜨린 공격자 때문에 애꿎은 환자들이 고통을 당한 것이다. 또, 지난 2020년 9월에는 독일 뒤셀도르프대 병원 서버 30대가 랜섬웨어 공격으로 인해 마비됐으며, 주요 병원 IT 서비스 운용이 불가능하게 됐다. 이 과정에서 병원은 한 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망했다. 사이버 공격으로 인해 실제 생명을 잃은 사례다. 향후 디지털 헬스케어 분야에서 인슐린펌프나 인공심장박동기 등 인체 삽입형 디지털 의료기기가 랜섬웨어 대상이 될 경우 사람의 생명을 인질로 잡고 협박하는 사례까지 등장할 수 있다.
이처럼 2020년 한 해 유독 눈에 띄는 사이버 공격 유형은 랜섬웨어다. 최근 랜섬웨어와 관련해서 들은 이름만 해도 메이즈, 클롭, 락빗, 비너스락커, 갠드크랩, 블랙킹덤 등으로 다양하다. 실제로 컨설팅 업체 크롤(Kroll)이 발표한 자료에 따르면 지난 2020년 9월까지 발생한 사이버 공격 중 1/3이 랜섬웨어에 해당하는 것으로 나타났다. 이스트시큐리티 역시 자사의 일반 사용자용 안티 바이러스 ‘알약’을 통해 무단 암호화 호스트를 차단한 건수가 15만 4,801 건에 이른다고 발표했다. 이를 일 단위로 환산하면 하루에 약 1,720건의 랜섬웨어 공격이 차단된 셈이다.
주요 보안 기업과 유관기관, 2021년 표적형 랜섬웨어 성행할 것으로 예상
이러한 동향은 2021년까지 이어져 주요 보안 기업과 기관 등에서도 주의해야 할 공격으로 랜섬웨어를 첫손에 꼽았다. 특히, 불특정 다수를 대상으로 하는 기존 랜섬웨어 공격에서 특정 목표를 겨냥하고 장기간 공격을 수행하는 등 APT와 결합한 랜섬웨어 공격을 통해 수익성을 극대화하려는 조직이 꾸준히 증가할 것으로 보인다.
한국인터넷진흥원(KISA)은 ‘2021 글로벌 사이버 위협 시그널’을 통해 표적형 공격과 결합한 랜섬웨어와 이를 통한 피해 규모가 증가할 것으로 내다봤다. 2020년 주요 사례로는 국내 유통 기업이 영업을 중단한 사례, 일본 자동차 기업 세계 11곳의 공장 시스템 마비로 출하가 중단된 사건, 랜섬웨어로 병원 시스템이 마비돼 긴급 이송하던 환자가 사망한 사건이 발생했다. 이렇듯 분야를 가리지 않고 표적 공격을 수행할 것으로 예상했으며, 이 과정에서 기업의 중요 정보, 고객 개인정보 및 결제정보를 가지고 협박하는 수단 또한 다양해질 것으로 내다봤다.
▲2021 글로벌 사이버 위협 시그널[자료=한국인터넷진흥원]
금융보안원은 ‘2021년 디지털금융 및 사이버보안 이슈 전망’을 통해 랜섬웨어와 랜섬 디도스 공격이 금융권을 노릴 것으로 내다봤다. 특히, 랜섬웨어의 경우 이를 제작 및 판매하는 서비스형 랜섬웨어(RaaS)가 등장해 개발조직과 침투 및 공격조직의 분업화가 이뤄질 것으로 내다봤다. 랜섬 디도스 공격의 경우 공격에 동원할 수 있는 IoT 기기가 늘어나는 등 과거보다 파급력이 더욱 가중될 것으로 보인다.
이스트시큐리티는 2020년 보안 이슈 결산과 2021년 전망 TOP5에서 모두 랜섬웨어를 꼽았다. 특히, 암호화폐 가격 상승세에 힘입어 랜섬웨어를 통한 사이버 공격이 더욱 활발해질 것으로 내다봤다. 여기에 데이터 탈취 기능까지 탑재하는 등 기존보다 진화된 형태의 랜섬웨어 사용이 증가할 것이며, 2020년 하반기와 마찬가지로 ‘몸값’ 지불 여력이 있는 특정 기업을 대상으로 선별적인 공격이 이뤄질 것으로 보인다. 랜섬웨어 공격으로 인한 금전 갈취 규모가 점점 커지고 가속화될 것으로 관측되기 때문에 이제는 개인 사용자뿐만 아니라 기업과 국가 차원에서의 철저한 예방과 대응책이 필요하다는 지적이다.
이셋(ESET)은 2021년 사이버 보안 동향 보고서를 통해 랜섬웨어 공격과 이중협박이 늘어날 것이라 내다봤다. 최근 랜섬웨어 공격조직은 피해자에게 돈을 지불하도록 강요하기 위해 이러한 이중협박 전략을 펼치고 있으며, 내년에도 꾸준히 늘어날 전망이다. 이셋은 기업이 랜섬웨어를 탐지하고 차단하는 기술을 배치하고 있으며, 백업 및 복구 프로세스를 만드는 등 능동적으로 발전하고 있다고 설명했다. 이에 따라 사이버 공격자는 단순히 데이터를 암호화하는 단일 형태 공격에 의존하지 않고, 수익을 위해 ‘플랜B’를 준비할 것이라고 예상했다. 이 때문에 기업이 철저한 백업으로 랜섬웨어에 대응하려 해도 돈을 벌려는 사이버 범죄자의 공격에 완전히 대응하기는 어렵다고 덧붙였다.
[설문조사] 국내 기업의 랜섬웨어 피해 사례와 대응 인식은?
<보안뉴스>와 <시큐리티월드>에서 진행한 설문조사 결과, 랜섬웨어 공격에 대해 철저히 대비하고 있다고 응답한 비율은 전체의 14.4%, 어느 정도 대비하고 있다고 응답한 비율은 70.4% 등으로 상당수의 기업이 랜섬웨어에 대해 인식하고 이러한 공격에 대응하고 있는 것으로 나타났다. 다만, 13.9%는 아무런 대비가 없다고 응답했으며, 그 이유로 위험성은 인지하고 있으나 예산이 부족하다는 답변이 38.3%나 나왔다.
▲보안뉴스가 실시한 랜섬웨어 인식 및 대응 설문조사[자료=보안뉴스]
2020년 한 해 동안 랜섬웨어 공격을 경험했고 실제 피해로 이어졌다는 응답자는 전체의 31.1%였다. 특히, 피해 유형 중에는 복구가 불가능해 자료를 폐기한 경우가 있는가 하면, 공격자에게 비용을 지불했다는 응답도 전체의 2.6%(피해를 입은 기업 중에는 8.2%)를 차지했다.
이와 달리 27.8%는 공격 시도가 있었으나 피해를 입지 않았다고 답했다. 그 이유로는 중요한 시스템이 아니었기 때문에 시스템 자체를 포맷하고 다시 설치한 경우도 있었으나, 많은 경우 자체적으로 주기적인 백업을 실행해 공격을 당하더라도 이를 이용해 공격 당하기 이전 상태로 복구할 수 있었다.
전체 응답자의 64.8%는 백업을 랜섬웨어 공격에 대응하는 주요 솔루션으로 인식하고 있으며, 특히 전체 응답자의 57.3%는 이미 백업 솔루션을 구축해 운영하고 있다. 백업의 경우 이미 발생한 공격에 대해 피해를 최소화하고 기업 비즈니스 연속성을 회복하는 주요 수단이다. 이에 기업은 정기적인 백업을 통해 복구할 수 있는 시점을 많이 확보하고, 백업 이미지를 다른 저장매체에 안전하게 보관할 수 있어야 한다.
기업이 다음으로 중시하는 대응 솔루션의 주요 기능은 네트워크 침입 차단(56.6%, 복수 응답)과 암호화 행위 탐지(55%, 복수 응답)이다. 이밖에 웹 서버 취약점 제거는 44%(복수 응답) 등을 차지했다. 또한, 실제 랜섬웨어 공격에 대비하고 있는 방식으로는 백업 이외에 네트워크 침입 차단 솔루션(51.2%, 복수 응답), 엔드포인트 보안 솔루션(37.5%, 복수 응답), 웹 서버 보호 솔루션(37.3%, 복수 응답), 암호화 탐지 및 차단(22.1%,복수 응답) 등으로 나타났다.
네트워크 침입 차단, 엔드포인트 보안 솔루션, 웹 서버 보호 솔루션 등은 공격자가 서버에 들어오는 경로를 차단하기 위한 솔루션이다. 결국 랜섬웨어 공격 역시 공격자가 서버에 침투해 이를 실행해야 하기 때문에 침입 경로를 차단하고 침입을 감지해 공격에 대응할 수 있다. 이밖에 암호화 탐지 및 차단은 공격 자체를 방지하는 수단이다. 암호화 행위를 감지하고, 이를 차단하면 데이터 자산 암호화로 인한 피해를 예방할수 있다. 특히, 향후에는 호스트 기반 행위 탐지를 넘어 운영체제 커널단에서 암호화 프로세스를 탐지 및 차단하고, 암호화 시도가 일어난 파일에 대해 자동으로 백업하는 등 종합적인 랜섬웨어 대응 솔루션까지 등장할 전망이다.
이렇듯 기업이 다양한 대비를 하고 있음에도 불구하고 랜섬웨어 공격이 발생하는 이유는 무엇일까? 많은 응답자가 임직원의 부주의(65.8%, 복수 응답)를 꼽았으며, 랜섬웨어 대응방안으로 임직원의 보안인식 교육을 시행한다는 응답자도 전체의 56%(복수 응답)나 됐다. 아무리 보안 솔루션을 강화해 공격에 대비한다고 해도, 결국 사람의 실수나 고의에 의한 구멍이 가장 허술하다고 느끼는 셈이다. 실제로 사이버 공격에 있어서 공격 대상을 찾고 침투하는 과정에는 이메일을 통한 스피어피싱, 워터링 홀 등의 공격기법이 많이 쓰이고 있다. 이메일을 통해 내려 받은 악성 파일로 인해 주요 계정정보가 탈취되고, 공격자는 이 정보를 바탕으로 관리자 권한을 획득해 서버 및 네트워크에 연결된 PC에서 랜섬웨어를 실행한다. 특히, 최근 코로나19로 인한 비대면 이슈가 증가하면서 많은 직장인이 직장이 아닌 곳에서 자신의 기기를 활용해 업무를 수행하고 있다. 이에 따라 사이버 공격자가 기업에 침투할 수 있는 접점은 더 늘어나게 됐다. 상대적으로 보안에 취약한 임직원 개인 PC에서 시작해 기업의 중앙 네트워크까지 침투할 수 있는 경로가 생긴 만큼 개별 사용자의 보안의식 제고 역시 필수적이다.
APT와 결합해 정교해지는 랜섬웨어 공격...특정 기업을 노린다
최근 국내에서 발생한 클롭 랜섬웨어 조직의 공격은 몇 가지 시사점을 준다. 우선 오랜 기간 특정 표적을 노린 지능형 지속 위협(APT)이라는 점이다. 클롭 랜섬웨어 조직은 공격 과정에서 파일 암호화와 동시에 200만 건의 고객 신용카드 정보를 유출했다고 주장하고 있다. 또한, 협상에 응하지 않으면 이 정보를 공개해 법적인 피해를 입도록 하겠다며 협박하고 있는 상황이다. 주목할 부분은 이들이 해외 매체와의 인터뷰를 통해 약 1년에 걸쳐 포스(POS) 시스템을 악성코드에 감염시키고 지속적으로 카드 정보를 유출해 왔다고 주장한 점이다.
▲클롭 랜섬웨어 조직은 유출한 카드 정보라고 주장하는 데이터를 다크웹을 통해 공개 중이다[사진=utoimage]
국내에서는 여신전문금융업법에 따라 카드 내역을 POS 단말기에 저장할 수 없으며, 기업 서버를 통해 결제승인대행업체(VAN)로 전송할 때도 암호화해야 한다. 이러한 사정을 알고 있는지, 이들은 결제가 일어나는 POS 단말기 자체에 악성코드를 심어 신용카드 결제정보를 유출했다. 1년에 걸친 유출 이후 랜섬웨어 공격을 통해 기업의 업무를 마비시키고, 해당 정보를 이용한 이중협박을 시도한 만큼, 하루이틀 사이에 일어난 공격은 아닌 셈이다.
이들이 사용한 랜섬노트 역시 기존과는 다르다. 과거 랜섬웨어 공격은 불특정 다수를 대상으로 이뤄졌다. 예를 들어, 국내에서 대량의 감염 사태를 낳았던 크립토XXX(CryptoXXX) 랜섬웨어는 대형 커뮤니티 사이트의 플래시 광고 취약점을 악용해 회원을 대상으로 랜섬웨어 공격을 수행한 뒤 개인에게 복구를 대가로 비트코인 등 암호화폐를 요구했다. 해당 커뮤니티는 ‘최저가 휴대폰’이라는 공통 관심사가 있기는 하지만, 누구든 쉽게 접속할 수 있는 대형 커뮤니티인 만큼 불특정 다수를 노려 누구든 무작위로 감염되도록 유도한 뒤 ‘푼돈’을 뜯어내는 형태의 공격이다.
이와 달리 최근 국내에서 발생한 클롭 랜섬웨어 조직의 공격은 파일 암호화 후 협상 조건을 남기는 문서 파일(일명 랜섬노트)에 ‘Hello Dear K Mall’이라는 문장을 남겼다. 불특정 다수를 노린 랜섬노트는 ‘당신의 네트워크가 뚫렸습니다’ 등의 문장으로 시작하는 반면, 이번 공격에서 발견된 랜섬노트는 한국 유통 기업을 노렸다는 것을 유추할 수 있다.
협상 과정에서도 피해자에 대해 잘 아는 듯한 모습을 보였다. 다크웹 페이지에 클롭 랜섬웨어 조직이 구축한 채팅 페이지에서는 약 445억 원의 협상 비용을 요구하면서 ‘블랙 프라이데이부터 크리스마스, 신년까지 이어지는 쇼핑 기간에 협사에 지불한 돈을 다시 벌 수 있을 것이다’며 언급하는 등 피해를 입은 유통기업과 협상을 시도하는 모습도 보였다. 향후에도 랜섬웨어 공격자들은 장기간에 걸친 노력이 허사가 되지 않도록 협상 비용을 충분히 지불할 수 있는 기업을 노릴 것으로 보인다.
돈이 되면 무엇이든 인질로 잡는다! 이중협박을 넘어 랜섬 디도스까지
사실 과거 랜섬웨어 공격에서 인질로 잡고 몸값을 요구하는 대상은 데이터다. 기업의 주요 파일은 물론, 일반 사용자의 추억이 담긴 사진 등이 주요 표적이다. 하지만, 2020년 가장 활발히 활동한 랜섬웨어 조직 ‘메이즈’에 의해 이러한 추세도 조금씩 바뀌기 시작했다.
메이즈가 선보인 공격 방식은 ‘이중협박’이다. 파일을 암호화해 이를 풀어주는 대가로 돈을 요구하는 방식에서 한 단계 진화해 공격 과정 중 기업의 주요 데이터 자산을 유출한 뒤 협상에 응하지 않으면 이를 공개하겠다고 협박하는 사례다. 즉, 암호화는 부수적인 수단이며 데이터 유출이 피해자가 협박에 순응하도록 만드는 주요 수단이다. 뿐만 아니라 메이즈 랜섬웨어 조직은 자사가 운영하는 웹 사이트를 통해 협상에 응하지 않은 기업 250여개에서 유출한 자료를 모두 공개하기도 했다.
이러한 방식은 실제로 큰 성과를 거둔 것으로 보인다. 실제로 국내 기업을 공격한 것으로 알려진 클롭 랜섬 웨어 조직 역시 협상에 응하지 않으면 유출한 고객 카드 정보를 공개하겠다고 협박했으며, 락빗 랜섬웨어 조직도 다크웹에 개설한 페이지를 통해 유출한 정보를 공개하겠다며 카운트다운을 걸기도 했다. 최근 잇따른 랜섬웨어 공격으로 많은 기업의 암호화 공격에 대한 인식이 개선됐으며, 이에 대응하는 솔루션까지 갖춰가고 있는 추세다. 파일 암호화만 시도할 경우 백업 솔루션을 이용해 기업이 비즈니스 연속성을 회복할 수 있으며, 자동화되고 있는 암호화 탐지 및 차단 솔루션은 이러한 공격을 원천적으로 예방할 수 있다. 즉, 단순한 암호화 공격만으로는 더 이상 기업이 협상에 응하도록 하기 어렵게 됐다.
이러한 상황에서 이중협박 전술은 사이버 공격자가 그동안 들인 노력에 대해 충분한 보상을 받기 위한 수단이다. 핵심 정보를 탈취하는 데 성공할 경우 이를 이용해 피해자가 돈을 지불할 수 있도록 유도할 수 있으며, 특히 피해 기업이 완고하게 나오더라도 다크웹을 통해 유출 정보를 거래할 수 있는 만큼 최소한의 수익은 얻을 수 있다. 뿐만 아니라 공격자는 수단과 방법을 가리지 않고 기업을 협박해 금품을 갈취할 것으로 보인다. 여기에는 파일 암호화나 기업 자료 유출 외에도 다양한 전략이 동원될 수 있다. 대표적인 사례가 랜섬 디도스(RDDoS)다.
랜섬 디도스란 기업에게 협박성 메일을 보내거나 실제 디도스(DDoS) 공격을 감행한 뒤, 공격자가 요구하는 수준의 금품을 제공하지 않으면 대규모 트래픽을 동원한 디도스 공격을 하겠다고 협박하는 방식으로 이뤄진다.
아카마이에 따르면 국내에서는 2020년 8월에 ‘아르마다 콜렉티브’라 주장하는 사이버 공격 조직이 국내 3개 금융사를 대상으로 디도스 공격과 동시에 더 큰 공격을 예고하는 협박 메일을 보냈다. 2020년 추석 연휴 기간에는 일부 국내 금융기관에 디도스 공격 시도가 발생한 뒤 팬시베어라 주장하는 해킹그룹이 국내 4개 은행에 비트코인을 입금하지 않으면 대규모 디도스 트래픽 공격을 하겠다고 예고하기도 했다. 특히, 금융권이 디지털화되고 있는 오늘날 상황에서 이러한 위협은 단순한 위협으로 끝나지 않고 생각보다 큰 규모의 피해를 낳을 수 있다.
이러한 사례가 시사하는 바는 한두 가지 솔루션만으로는 기업을 협박하는 사이버 위협에 대응하기 어렵다는 점이다. 랜섬웨어는 지능형 지속 위협의 일환이 됐으며, ‘성공적인 범죄’를 위해 가능한 모든 수단을 동원할 수 있다. 이에 기업은 기존 지능형 지속 위협 대응 위에 랜섬웨어 대응 솔루션, 디도스 대응 솔루션 등 종합적인 대책을 쌓아올려야 한다.
주요 보안 기업은 어떤 솔루션을 제공하고 있을까?
안랩은 자사의 주요 보안 솔루션에 랜섬웨어 자체를 탐지 및 차단하는 기능을 적용하고 있다. 안랩 V3는 악성코드 통합 분석 및 대응 시스템인 ‘다차원 분석 플랫폼’을 통해 다양한 보안 위협에 대응한다. 특히, 클라우드 기반 악성코드 위협 분석 및 대응기술인 ‘ASD(AhnLab Smart Defense)’, 악성코드 고유의 특성을 파악해 다양한 신·변종 악성코드를 진단하는 ‘TS(Total Security)엔진’ 등 자체 개발한 탐지·분석 엔진으로 랜섬웨어 대응 기능을 제공한다. 또한, ASD로 분류한 랜섬웨어 의심파일을 별도의 가상 공간에 격리해 한 차례 더 검사하는 ‘랜섬웨어 정밀검사’ 기능을 제공하며, 함정 파일로 랜섬웨어를 유인하는 ‘디코이(Decoy)’ 기술, 랜섬웨어 감염 시 특정 폴더를 보호하는 ‘랜섬웨어 보안폴더’ 등 랜섬웨어 대응 특화 기능을 제공 중이다.
안랩은 앞으로도 공격자는 수익 극대화를 위해 영역을 가리지 않고 공격을 전개할 것으로 예상되므로 각별한 주의가 필요하다고 강조했다. 기업 보안관리자는 현재 운영하고 있는 보안 인프라 및 방어 체계를 꼼꼼히 점검해야 한다. 이와 함께 임직원 역시 출처가 불분명한 메일의 첨부파일 실행 자제, 폴더 설정에서 확장자 표시하기, 알 수 없는 웹 사이트 방문 자제, 운영체제 및 소프트웨어 최신 버전 유지 및 백신 사용, 중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다고 강조했다.
베리타스는 랜섬웨어 공격에 대해 최적화한 백업 솔루션과 사이버 보안 기술을 통합하는 포괄적인 접근 방식을 제공한다. 백업은 랜섬웨어 공격에서 기업이 회복 탄력성을 갖출 수 있는 주요 수단이다. 베리타스 넷백업 솔루션은 퍼블릭 및 하이브리드 클라우드를 막론하고 복사본 생성 및 무결성을 검증할 수 있다. 베리타스는 IT 의존도가 크게 증가한 오늘날 환경에서 IT는 비즈니스 연속성을 위한 필수 조건이며, 데이터가 곧 기업의 가치라고 설명했다.
국내의 경우 한 호스팅 업체가 랜섬웨어 공격을 당했으며, 백업 서버까지 감염돼 복구할 수 없는 상황이 발생한 사례도 있다. 이렇듯 변종된 랜섬웨어가 외부망 통해서도 유입된 사례가 있기 때문에 망 분리된 회사라도 안심할 수 없다. 특히, 피해가 발생하면 기업의 존폐 문제가 될 수 있는 만큼 강력한 데이터 보호 방안이 필요한 상황이며, 백업 데이터를 공격하거나 파기하는 사례 역시 늘고 있는 만큼 보안성을 강화한 백업이 필수적이라고 강조했다.
누리랩 NAR(Nuri Anti-Ransom) 솔루션은 암호화 행위 탐지 및 차단 솔루션을 제공한다. 암호화 행위 분석을 기반으로 작동하기 때문에 신종 혹은 변종 랜섬웨어가 등장하더라도 기존과 유사한 행위에 대하 탐지 및 차단이 가능하다. 특히, 행위 분석 시점에서 암호화가 시도된 파일을 실시간으로 백업해 안전한 매체에 보관할 수 있다. 또한, 접근 통제를 바탕으로 대용량 파일 및 기업의 주요 데이터를 보호하며, 서버에서 공유된 파일이나 폴더까지 보호할 수 있다는 설명이다. 여기에 기본 다운로드 폴더의 파일 및 문서에 대한 악성 콘텐츠 제거 및 무해화 기능을 통해 위협 요소를 제거하는 기능도 갖췄다.
노태호 누리랩 보안사업부 부장은 최근 증가하는 표적형 랜섬웨어 공격에 대해 공격자의 기본적인 침투경로가 되는 ‘이메일’ 보호가 선행돼야 한다고 조언했다. 표적형 공격을 위한 악성 파일은 대부분 공공기관 사칭, 이력서, 거래 명세서 등으로 위장한 악성 이메일 첨부파일을 통해 침투하는 경우가 많기 때문이다. 특히, 알려지지 않은 신종‧변종 랜섬웨어에 대응하기 위해서는 엔드포인트를 통해 시스템으로 유입되는 악성 파일에서 매크로, 자바 스크립트, OLE 개체, CVE 익스플로잇 등의 위협 요소를 제거할 수 있는 콘텐츠 무해화(CDR) 기술이 필요하다고 덧붙였다.
위젯누리는 화이트리스트 기반 소프트웨어 인증 차단 및 암호화 행위 탐지·차단 솔루션을 제공하고 있다. 행위 기반이 아닌 소프트웨어 인증을 통해 랜섬웨어를 탐지한다는 것이 특징이다. 인증을 통해 운영체제에서 소프트웨어가 실행될 때 이를 분석하고 신뢰도를 평가한 뒤 해당 소프트웨어가 중요 자료에 접근할 수 있도록 허용한다. 이에 따라 알 수 없는 소프트웨어와 악성 소프트웨어는 중요 자료에 접근할 수 없다. 신뢰성 분석을 통해 수집된 화이트리스트는 중앙관리 매니저를 통해 효율적으로 관리 및 배포할 수 있으며, 인증된 프로세스만 감시하기 때문에 PC의 리소스가 적게 소모되는 것 역시 장점이다.
위젯누리 최승환 대표는 다계층 방어를 통해 표적형 랜섬웨어 공격에 대응할 수 있다고 설명했다. 1단계인 소프트웨어 인증은 소프트웨어 실행 시 자동으로 신뢰성을 검증해, 중요 자료 접근을 허용 또는 거부하며, 화이트리스트를 기반으로 파일이 감염되기 전 사전 차단한다. 2단계인 함정 파일 탐지는 랜섬웨어와 같은 악성 소프트웨어만 접근할 수 있는 함정 파일을 생성해 악성 소프트웨어가 이에 접근할 경우 즉시 차단한다. 3단계인 행위 감시는 파일 변조 및 암호화 행위를 감시하며, 불법적인 파일 삭제 및 파일명 변경, 시작프로그램 및 스케줄 등록을 감시한다.
[랜섬웨어 대응을 위한 최적의 백업 솔루션 전문업체: 베리타스]
‘보호, 탐지, 복구에서 강점 갖춘 백업 솔루션’
베리타스, 랜섬웨어 공격에서 기업 비즈니스 연속성 사수 지원한다
베리타스는 최근 빠르게 증가하는 표적형 공격에 대해 비즈니스 연속성 확보가 필수적이며, 이를 위해 철저한 정책에 기반한 백업의 중요성을 강조했다. 최근 랜섬웨어 공격 동향은 무차별적인 공격이 아니라 기업이나 공공기관을 등을 목표로 하는 공격이 늘어나고 있다. 특히, 대부분의 랜섬웨어 공격이 야간이나 주말 등 관리자 부재 시 발생하는 등 대응을 어렵게 하고 있다.
최근 피해 사례를 살펴보면, 공격자가 탈취한 계정정보로 웹 호스팅 모든 서버에 랜섬웨어를 설치하고, 최후의 보루인 백업 서버도 감염시켜 백업 데이터를 사용할 수 없게 만든 뒤 지속적으로 금전을 요구해 파산한 호스팅 회사 사례가 있다. 특히, 변종된 랜섬웨어가 외부망을 통해서도 유입된 사례가 있기 때문에 망 분리된 회사라도 안심할 수 없다. 이렇듯 많은 기업이 IT에 대한 의존도가 크게 증가하는 상황에서 IT는 비즈니스 연속성을 위한 필수 조건이 되었고 데이터가 곧 기업의 가치가 되었다. 피해가 발생하면 곧 기업의 존폐 문제가 되기 때문에 강력한 데이터 보호 방안이 필요한 상황이다. 백업 데이터를 공격하거나 파기하는 사례 역시 늘고 있으며, 백업 소프트웨어 및 시스템을 유지해도 랜섬웨어 감염되기 때문에 보안성을 강화한 백업이 필수적이다.
▲베리타스 넷백업이 제공하는 대시보드[자료=베리타스]
또한, 최근 랜섬웨어 공격 동향을 살펴보면, 주요 데이터 자산을 암호화함과 동시에 공격 과정에서 데이터를 유출해 협상에 응하지 않으면 이를 유포하겠다는 이중협박 전술을 구사하고 있다. 이 때문에 기업은 무단 암호화 공격으로부터 피해를 줄이는 것은 물론, 데이터 자체가 유출되지 않도록 보호해야 할 필요성도 커진다. 베리타스는 랜섬웨어 공격에 ‘보안 백업’이라는 대응법으로 접근하고 있다. 백업 솔루션 최적화를 통해 사이버 보안기술과 통합하고, 백업 데이터 및 시스템을 보호하는 방법에 대한 지침을 제공하는 기술과 함께 이러한 프로세스에 대해 포괄적인 통합 접근 방식을 지원한다. 실제로 이번 설문조사에서 많은 기업이 랜섬웨어 대응 솔루션에서 백업 기능의 중요성을 인식하고 있었다. 백업은 기업의 주요 데이터 자산이 무단으로 암호화되는 공격을 당해도, 공격을 받기 이전 시점으로 되돌릴 수 있는 만큼 기업의 비즈니스 연속성을 확보할 수 있게 해준다.
다만, 백업 솔루션을 효과적으로 운용하기 위해서는 기업은 백업 절차에 대한 철저한 계획을 세워야 하는것은 물론, 네트워크를 타고 공격자가 침입해 백업 이미지까지 암호화할 경우에 대비해 안전한 저장 매체에 보관해야 할 필요가 있다.
베리타스 솔루션은 보호(PROTECT), 탐지(DETECT), 복구(RECOVER) 세 가지 측면에서 강력한 강점을 제공한다.
(1) 보호: 위치에 관계없이 데이터를 보호
넷백업(NetBackup) 및 플렉스(Flex) 솔루션의 시스템 경화 및 변조 불가능한 스토리지(Immutable Storage)로 모든 위치의 데이터 보호가 가능하다. ID 및 액세스 관리, 데이터 암호화, 불변형 백업 이미지를 사용하여 데이터 무결성을 유지할 수 있다.
- WORM 스토리지 기능을 통한 보호
스토리지 불변성(Immutable Storage): 운영체제와 무관하게 자체적으로 불변기간을 설정할 수 있고 랜섬웨어가 백업 환경을 공격하려고 시도하는 경우에도 데이터 사본을 안전하게 보호할 수 있다.
(2) 탐지: 백업 인프라스트럭처에 대한 종합적인 가시성으로 보안 위협을 탐지해 위협 해소
넷백업, 앱타 IT 애널리틱스(APTARE IT Analytics), 베리타스 데이터 인사이트(Veritas Data Insight)의 통합 기능 활용을 통해 중요 시스템이 백업되고 오프사이트 카피본이 생성되었는지 확인 가능하며, 넷백업을 통해 백업되어 보호된 데이터의 비정상 요소를 탐지함으로써 랜섬웨어 위협에 대한 가시성을 확보 할 수 있다. 관리자가 쉽게 실행할 수 있는 인사이트 정보를 제공해 사용자 환경의 변경 사항을 즉시 처리할 수 있도록 도와주며, 구성 가능한 알림 설정을 통해 사용자 환경의 비정상 요소를 탐지한다.
-앱타 IT 애널리틱스로 통합된 데이터 보호 업무 분석
백업시간의 비정상적인 지연, 예기치 않은 어플리케이션의 성능 지연, 데이터 저장용량의 급격한 변화 등 IT 인프라내에서 발생하는 변화에 가시성을 확보함으로써 랜섬웨어 감염 여부를 빠르게 파악할 수 있다. 관리자가 쉽게 보고할 수 있는 커스터마이징이 가능한 대시보드를 제공한다.
(3) 복구: 확장 가능한 백업 및 재해 복구 시스템을 통한 비즈니스 연속성 유지
제로에 가까운 복구 시간 목표(RTO)와 복구 시점 목표(RPO)를 통한 대규모 재해복구가 가능하며, 모든 환경에 유효한 자동화된 복구 및 프로세스를 통해 위협 상황을 통제해 데이터 유출시 빠르고 안정적으로 복구할 수 있다. 60개 이상의 퍼블릭 클라우드를 지원하는 베리타스 데이터 보호 솔루션은 오케스트레이션 기능을 갖춘 레질리언스 플랫폼을 통해 지속적인 데이터보호(CDP) 및 클라우드 포인트를 지원한다.
-VRP 자동화 오케스트레이션 재해 복구 솔루션
온프레미스, 퍼블릭 혹은 프라이빗 클라우드 등 VM 환경에서 신속하게 서비스 전환을 넷백업에서 제공할 수 있다.
최근 구축 사례를 보면, 간삼건축종합건축사사무소(이하 간삼건축)는 베리타스 백업 솔루션인 넷백업과 넷백업 어플라이언스를 도입해 랜섬웨어 등 외부 위협으로부터 내부 자산을 보호할 수 있는 IT 환경을 갖추고, 빠르고 효율적인 데이터 보호 환경을 구축했다. 간삼건축은 지금까지 스토리지 스냅샷 기능으로 데이터백업본을 생성해 다른 스토리지에 복제하는 방식으로 백업 실행해왔다. 이 경우 랜섬웨어와 같은 외부 공격이나 내부 실수로 인한 데이터 유실 문제에 대비하기 어려운 문제가 있었다.
이러한 이유에서 보다 체계적이고 효율적인 데이터 백업 환경을 수립하면서, 데이터 유실에 대비하고 비용 효율적으로 확장 가능한 솔루션을 찾던 중 베리타스 넷백업과 넷백업 어플라이언스를 도입했다. 넷백업은 IT 환경 전반에서 사용되는 주요 플랫폼을 모두 지원하는 통합 데이터 보호 플랫폼으로 백업 속도 단축, 관리 부담을 경감하고 외부 위협으로부터 데이터를 보호할 수 있는 안전한 환경을 갖추었으며, 신속하게 데이터를 복구할 수 있는 환경을 구축했다.
변조 불가능한 스토리지로 비즈니스 연속성 사수
최근 발견된 랜섬웨어 공격 사례는 이른바 ‘랜섬웨어 없는 랜섬웨어 공격’도 있다. 윈도우 및 윈도우 서버 운영체제에서 데이터 보호를 위해 제공하는 암호화 기능을 권한을 탈취한 공격자가 무단으로 실행한뒤 협박한 사례다. 정상적인 운영체제 기능을 이용한 만큼 랜섬웨어 탐지 솔루션을 회피하면서도 기존 랜섬웨어 공격과 동일한 방식으로 사용자를 협박할 수 있었다.
베리타스 넷백업이 제공하는 스토리지 불변성(WORM) 등 보안 백업 기능은 어떠한 공격도 데이터를 변조하지 못하고 가져가지 못하게 하는 기능들이 추가되어 랜섬웨어가 백업 환경을 공격하려고 시도하는 경우에도 데이터 사본을 안전하게 보호한다. 백업 받은 백업본이 침해 없이 보관될 수 있으므로 구성 및 보존율에 따라 사용자가 몇 달, 또는 몇 년 전에 기록한 시점에서 유효한 데이터 카피를 복구할 수 있으며, 이를 통해 비즈니스 연속성을 확보하는 것이 가능하다.
베리타스는 “완벽한 보안은 없으며 기업은 전반적인 데이터와 인프라스트럭처에 걸쳐 검증되고 안정적인 랜섬웨어 복구 계획과 지속적인 보안 리스크 평가를 수행해야 한다. 이를 통해 항상 문제에 대비하고 문제가 생겼을 때 복구할 수 있는 방안을 마련해두는 것이 필요하다”고 설명했다.
랜섬웨어 공격과 함께 발생하는 데이터 유출 사고는 기업의 기밀 또는 중요 정보가 미승인 시스템, 애플리케이션, 개인 등 권한이 없는 곳에 전송되면서 발생한다. 특히 오늘날 업무 환경이 디지털화되고 비대면 이슈가 가속화하면서 과거보다 더 많은 곳에 데이터를공유하는 만큼 기업이 데이터에 대한 제어 권한도 약화될 수 있다.
베리타스는 “이러한 데이터 유출은 엔드유저 보안 인식 저하, 관리되지 않은 네트워크, 부실한 데이터 정책 구현으로 발생한다. 베리타스의 데이터 관리 솔루션 측면에서 보면, 정보 유출, 특히 개인정보 등 민감한 데이터의 유출을 방지하기 위해서는 근본적으로 기업 내 데이터에 대한 명확한 가시성과 이를 기반으로한 분류 및 처리가 필요하다. 베리타스의 정보 거버넌스 솔루션은 기업 내 데이터에 대한 인사이트를 제공해, 중요한 민감 데이터를 자동 분류하고, 보존 관리를 지원한다”고 말했다.
[랜섬 디도스 대응을 위한 아카마이의 노하우 공개]
“돈만 되면 무엇이든 인질로 잡고 몸값 요구한다”
아카마이 강상진 상무, 2021년에는 랜섬 디도스(RDDoS) 공격 성행할 것
랜섬웨어 공격이란 이름 그대로 인질을 잡고 몸값을 요구하는 방식이다. 지금까지 널리 쓰인 방법은 데이터 자산을 암호화한 뒤 몸값을 요구하는 것이었으나, 최근 동향은 데이터 유출을 통한 이중협박으로 바뀌고 있다. 이러한 동향에 따라 2021년 사이버 공격자는 수익성 극대화를 위해 새로운 형태의 인질을 잡을 가능성도 존재한다.
▲아카마이 강상진 상무[사진=아카마이]
랜섬 디도스(RDDoS)가 이러한 대표적인 사례다. 랜섬 디도스는 말 그대로 디도스(DDoS) 공격을 빌미로 몸값을 요구하는 형태다. 파일 암호화 대신 표적이 된 특정 서비스 혹은 전체적인 네트워크를 디도스 공격으로 중단시키겠다고 협박하며 대가를 요구한다. 디도스 공격을 먼저 수행하고 공격 중단을 위해 돈을 요구하거나, 디도스 공격 이전에 먼저 요구하는 식이다.
아카마이에 따르면 공격자는 보통 기업 대표 이메일 혹은 네트워크나 보안 담당자 이메일로 디도스 공격을 감행할 것이라고 연락한다. 그 후 대응하지 않으면 실제로 소규모의 공격을 진행하기도 한다.
아카마이 강상진 상무는 “물론 이 과정에 블러핑(bluffing)이 존재할 수도 있다. 대형 트래픽을 발생시킬 만한 능력이 없는 공격자가 겁만 주는 경우다. 대부분 협박 메일에는 공격자가 과거 어떤 디도스 공격을 유발했는지, 어떤 해커 단체 소속인지를 과시하는 경우가 많지만, 이 것이 단순 블러핑에 해당하는 가벼운 위협인지 아닌지는 명확하게 구분하는 것은 어렵다. 다만 공격자의 협박과 달리 공격이 발생하거나 예상만큼 심각한 공격이 발생하지 않은 사례가 많기 때문에 협박에 순순히 응하는 것은 좋은 대응 방법이 아니다”고 설명했다.
다양한 디지털 서비스에서 몸값 요구하는 디도스 공격 늘어날 것
랜섬 디도스 공격은 특정 분야의 기업만을 표적으로 삼지 않는다. 대부분의 국영기업, 공기업, 금융사, e커머스, 유통 업체 등은 대다수의 일반인을 대상으로 비즈니스를 영위하고 있기 때문에 그러한 기업의 서비스가 디도스 공격으로 인해 멈춘다면 많은 사용자들이 피해를 입는다.
그는 “과거 디도스 목표가 되었던 기업이나 단체는 종교적, 정치적인 이유도 많았지만, 최근에는 ‘몸값’을 요구하는 사례가 증가하는 추세로, 북미, 아시아 태평양, 유럽‧중동‧아프리카 지역 기업이 협박 이메일을 받았다. 금융 서비스가 가장 위협을 많이 받는 분야였으나, 비즈니스 서비스, 첨단 기술, 호텔 및 관광, 리테일, 여행과 같은 산업 분야의 기업을 대상으로 한 협박 이메일이 증가하고 있다”고 말했다.
아카마이에 따르면 최근 아르마다 콜렉티브, 코지베어, 팬시베어, 라자루스 등 조직의 공격이 지속적으로 증가하는 추세다. 최대 2Tbps의 공격을 일으키겠다는 위협을 받은 기업도 있었으며, 지금까지 관측된 공격의 대역폭 범위는 20Gbps에서 300Gbps까지 광범위하게 나타나며 다양한 공격 기법이 사용되었다.
역대 최대규모 공격 대역폭과 신규 공격용 소스 IP 탐지
지난 2020년 6월 21일, 유럽의 대형 은행을 노린 공격은 809Mpps(Million Packets Per Second)에 달하는 초당 패킷을 기록하며 최고 기록을 경신했다. 규모뿐 아니라 공격 속도도 최고 수준을 기록했다. 정상 트래픽 수준인 418Gbps 규모에서 약 2분 만에 809Mpps에 도달했고 공격 시간은 약 10분 동안 지속됐다.
공격에 사용된 소스 IP 주소 또한 급증했다. 공격 대상이 된 기업의 평소 접속 IP 수에 비해 소스 IP 수가 1분에 600배 이상 증가했다는 점에서 이번 공격이 고도로 분산된 공격임을 알 수 있다. 새로운 봇넷의 등장도 주목할 만한 점이다. 이번 공격에서는 소스 IP 대다수가 2020년 이전 공격에서는 사용되지 않던 IP로, 전체 소스 IP 중 96.2%가 최초로 관측된 매우 이례적인 공격이다.
강상진 상무는 “올해 대규모 트래픽 공격 건수와 종류가 30개월 만에 최고치를 기록했으며, 특히 코로나19 확산으로 인한 격리 조치가 실행되면서 더욱 증가했다. 국내에서는 2020년 8월에 아르마다 콜렉티브라 주장하는 해킹 그룹이 국내 3개 금융사를 대상으로 디도스 공격과 동시에 공격 예고 협박 메일을 보냈다”고 말했다. 또, “2020년 추석 연휴 기간에는 일부 국내 금융기관에 디도스 공격 시도가 발생한 뒤 팬시베어라 주장하는 해킹그룹이 국내 4개 은행에 비트코인을 입금하지 않으면 대규모 디도스 트래픽 공격을 하겠다고 예고했지만 실제 예상한 만큼의 공격은 감행하지 않은 것으로 확인됐다”고 말했다. 이렇듯 국내에서는 금융권을 대상으로 하는 랜섬 디도스 협박이 늘고 있는 추세며, 향후에는 공격 분야와 규모가 더 커질 전망이다.
기업이 알아채기도 전에 디도스 공격 차단한다
아카마이는 디도스 공격을 포함한 대규모 보안 공격을 선제적으로 차단한다. 실제로 대규모 공격이 발생했다는 사실을 아카마이가 전달하는 경보 시스템을 통해 알게 되는 고객도 많다. 아카마이의 프롤렉식(Prolexic) 서비스는 디도스 공격 규모나 건수에 상관없이 고객을 안전하게 보호하고 공격을 완화한다. 공격 대상에 따라 DNS와 애플리케이션 레이어에서 포괄적인 디도스 방어조치를 구축하는 것 또한 권장하고 있다.
DNS 공격에 대비해 Edge DNS 솔루션으로 보조 DNS 서비스를 확보하는 것은 물론 웹 서비스로의 공격을 방어하기 위해 웹 애플리케이션 방화벽 KSD(Kona Site Defender) 혹은 WAP(Web Application Protector)에서 전송률 제어 설정에 차단 룰을 적용하는 것 역시 모범 사례에 포함된다.
아카마이는 보안운영관제센터, 엣지 기반 웹 애플리케이션 방화벽, DNS 서비스, 디도스 전용 클라우드 스크러빙 센터 등 디도스 관련 플랫폼으로 공격을 효과적으로 방어할 수 있는 최선의 기술을 보유하고 있고 부단히 오탐률과 미탐률을 낮추기 위해 주력하고 있다. 웹 공격에 대해서는 평소에도 웹 서버의 액세스 로그를 분석하여 어떤 형태의 공격이 유입되고 있는지를 확인하고 이에 대한 취약점을 미리 제거하고 방화벽 정책을 최신으로 유지하는 것이 필요하다. 기본적으로 SQL인젝션, 크로스사이트 스크립트, 리모트 파일 인클루전 공격에 대한 방어는 필수다.
공격 트래픽과 서비스 트래픽 구분하는 기술적 프로세스 준비가 필수
디도스 공격 대비를 위해 네트워크 상에서 디도스가 감지되었을 때 공격성 트래픽을 걸러내고 순수하게 서비스 트래픽만 전달할 수 있는 기술과 프로세스를 평소에 준비해 두어야 한다. 무엇보다 방어를 위한 시스템은 디도스의 공격 볼륨을 빠르게 탐지하고 충분히 소화하고 막아낼 수 있는 용량을 보유해야 한다.
아카마이 인텔리전트 엣지 플랫폼은 모든 곳에 분산돼 있으며, 전 세계 인터넷 사용자의 85%가 단 한 번의 ‘네트워크 홉’만 거치면 아카마이 CDN 서버에 접근할 수 있다. 아카마이는 엣지에서 보안 및 애플리케이션 전송 기능을 통해 고객의 앱과 API를 보호하고 가속화한다. 아카마이는 상황별 시그널을 지속적으로 분석하고 이런 시그널을 기반으로 현명한 보안 및 접속 의사결정을 하면 근본적인 신뢰를 구축할 수 있다.
강상진 상무는 “가트너를 인용하자면 ‘네트워킹 및 네트워크 보안 패턴이 변화하면서 향후 10년간 경쟁 구도가 변할 것이며, 기업이 복잡성을 줄이고 IT 직원이 네트워크 및 네트워크 보안 운영의 일상적인 측면을 제거할 수 있는 중요한 기회가 창출될 것’으로 보인다. 이런 측면에서 아카마이의 보안 솔루션군은 현재와 미래의 보안 위협에 대한 가장 확실한 대비책이 될 것”이라고 말했다.
마지막으로 그는 “비단 보안담당자뿐만 아니라 모든 직원의 보안의식 고취가 필요하다. 보안을 위한 기술뿐만 아니라 프로세스, 사람이 모두 기술과 어우러지는 행동 규칙에 평소 훈련이 되어 있어야 한다”고 덧붙였다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
