늘어나는 랜섬웨어, 어떻게 방어하나

“최근 랜섬웨어의 가장 큰 특징은 ‘실시간성’이다. 피해를 최소화할 수 있게 얼마나 빨리 대응하느냐가 중요하다. 보안의 ‘자동화’와 ‘최신화’가 핵심이다.”

서종렬 시만텍코리아 상무는 지난달 30일 서울 코엑스 인터컨티넨탈 호텔에서 열린 ‘시만텍 시큐리티 포럼’에서 실시간 다단계 보안의 중요성을 강조하면서 랜섬웨어에 가장 효과적으로 대응할 수 있는 방안을 발표했다.

사이버보안에서 기업이 최근 가장 신경 쓰는 부분은 역시 랜섬웨어다. 지난해 기준 전반적인 악성코드 증가율은 둔화된 반면, 새로 발견된 랜섬웨어는 36%가 늘었다. 랜섬웨어 패밀리의 증가율은 237%나 된다.

공격량만 늘어난 것이 아니다. 랜섬웨어 자체도 기술적으로 진화하고 있다. 최근 빈번하게 등장하는 크립토 계열 랜섬웨어는 고도화된 암호화 기법을 사용해 기업이나 사용자가 가장 중요하게 여기는 데이터를 인질로 잡는다. 개인이 쓰는 모바일, 사물인터넷(IoT) 기기도 공격 대상이 된다. 공격 범위도 리눅스는 물론, iOS나 안드로이드, 유닉스 등으로 확장됐다.

이 과정에서 해커들이 노리는 타깃도 ‘기업 내 중요 데이터’로 좁혀지고 있다. 다시 말해 해커들이 어느 것이 돈이 되는지 정확히 짚어내고 있다는 말이다.

서 상무는 “지난 2015년 랜섬웨어 공격자가 피해자에 요구한 평균 금액이 300달러 수준이었다면 1년만인 2016년에는 1000달러로 세 배나 뛰었다”며 “최근에는 현금대신 비트코인이나 다양한 은닉 트랜젝션 거래를 피해자에게 요청하는 등 해커들이 경제적 이익에 집중하고 있다”고 말했다.

그렇다면, 중요 데이터를 지키기 위해서 기업과 개인은 어떤 점에 유의해야 할까. 서 상무는 랜섬웨어가 유입되과 확산되는 각 단계의 ‘킬링 파트’별 보안에 중점을 둬야 한다고 강조했다. 랜섬웨어가 알려진 취약점을 찾아서 사용자 간섭 없이 스스로 전파하는 형태로 발전하고 있는 만큼, 각 유입 단계에서 실시간으로 철저한 차단이 필요하다.

첫 단계는 이메일이다. 지난해 기준, 전체 이메일 131통 중 1통이 악성 이메일이었다. 이메일에 의해 최초 감염자가 생기는 경우가 많은데, 이 단계에서 막지 못하면 랜섬웨어가 자가 증식을 통해 취약점을 찾아 공격한다. 최초 감염자를 방어할 수 있는 실시간 경호 방어체계가 구축되어 있느냐를 점검해야 한다.

웹을 통한 감염도 마찬가지다. 하루에도 1억개 이상의 웹사이트가 생기는데, 수동 필터링 만으로는 모든 위험을 통제할 수 없다. 이 때문에 사용자가 웹에 접속함으로써 랜섬웨어에 감염되는 사태를 막을 수 있는 인프라가 만들어져야 한다. 패치 관리와 이를 유지하는 자동화 포인트를 만들어야 한다. 자동화와 최신화를 통한 실시간 다단계 방어 시스템이 필요하다는 뜻이다.

그는 “랜섬웨어가 기업 내 네트워크에 확산될 때, 공격 단계 중 하나의 체인만 끊어져도 기업 보안에 큰 영향을 미치지 못할 것”이라며 “이메일로 인한 1차 감염, 랜섬웨어가 스스로 취약점 찾아 전파되는 시점에서의 차단, 그리고 암호화를 통해 가장 중요한 데이터를 보호하는 것 등 각 단계별로 랜섬웨어 확산을 끊어주는 킬체인 전략이 중요하다”고 강조했다.