[상반기 사이버위협 결산①] 랜섬웨어 공격 진화…피해사례 급증

By이유지

코로나19 대유행 상황이 지속된 올해에도 사이버위협은 기승을 부렸다. 국내외에서 대규모 랜섬웨어 공격와 공급망공격, 특정 국가의 후원을 받는 것으로 추정되는 공격그룹에 의한 보안사고 소식들이 이어졌다. 사이버위협 예방과 정보보호 생활화를 위해 국민 인식을 제고하고자 지난 2012년 정부가 법정기념일로 지정한 ‘정보보호의 날(매년 7월 둘째 주 수요일)’이 속해있는 7월 ‘정보보호의 달’에, 올 상반기에 나타났던 주요 사이버위협 사례와 동향을 정리해본다.

<목차>
①랜섬웨어 공격 진화…피해사례 급증(이번호)
②공급망공격 등 국가 지원 해킹그룹 정교한 공격 지속
③코로나 대유행 이후 커진 위협들

지난 5월 미국에서 올해 상반기 국가핵심기반시설에 대한 최악의 사이버공격으로 기록될만한 사고가 터졌다. 미국 남동부지역에서 소비되는 가솔린, 디젤 등 연료의 45%를 나르는 콜로니얼 파이프라인의 송유관이 랜섬웨어 공격으로 일주일 가까이 가동이 중단되는 사태가 벌어졌다. 이에 따라 이들 지역 주유소에는 휘발유가 동나 운전자들이 큰 불편을 겪는 것을 비롯해 유가가 폭등하는 등 큰 사회적 혼란이 발생했다.

동유럽에 근거를 둔 사이버범죄집단인 다크사이드(DarkSide)가 이 공격의 주범으로 지목됐다. 범죄자들은 외부에서 회사 내부에 접속할 수 있는 가상사설망(VPN)의 비밀번호를 획득한 뒤 침입한 것으로 분석됐다. 콜로니얼 파이프라인은 VPN 접속에 복잡하게 구성한 비밀번호만 사용했을 뿐 문자메시지나 일회용 비밀번호와 같은 2단계 인증(이중인증)을 적용하지 않은 것으로 나타났다.

국내에서도 지난 5월 14일 새벽, 배달 대행 플랫폼 업체 슈퍼히어로가 중국발 랜섬웨어 공격을 받아 3만5000곳의 점포와 1만5000명의 라이더가 피해를 당했다. 회사측은 서버 두 대가 랜섬웨어 공격을 받은 뒤 범죄자들이 요구한 비트코인을 송금해 35시간만에 데이터를 복구해 서비스를 재개했다.

랜섬웨어 공격은 사이버범죄자들에게 막대한 돈벌이 수단이 됐다. 그러다보니 점점 개인 보다는 돈을 낼 여력이 있는 대기업, 금융회사, 병원 등 기업과 사회기반시설을 공격하는 형태로 대형화되며 변화되고 있다. 단순 랜섬웨어 악성코드 유포가 아니라 표적형 지능형지속위협(APT) 공격 방식이 활용되고 있다. 공격 유형도 다양한 방식으로 결합되며 금전요구에 대한 협상력을 높이는 형태로 진화하고 있다. 예를 들어 1차로 데이터 암호화를 통한 금전요구를 수행하고, 다크웹에 개인정보 등 데이터 유출, 디도스(DDoS) 등 추가 공격을 벌이며 협박을 계속 하는 방식이다. 또한 해킹에 대한 전문지식이 없어도 비용만 지급하면 손쉽게 랜섬웨어 공격을 해주는 ‘서비스형 랜섬웨어(RaaS, Ransomware as a Service)’가 등장해 많이 이용되고 있는 상황이다.

국내에서도 랜섬웨어 피해 사례는 매년 급증하는 추세다. 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면, 올해 신고된 침해사고 가운데 랜섬웨어 신고 건수는 6월 4일 기준 65건으로 집계됐다. 올 상반기까지 신고건수는 78건 접수됐다. 작년보다 많은 수준이다. 국내 랜섬웨어 신고 건수는 2018년 22건, 2019년 39건에 불과했지만 2020년 127건으로 크게 증가했다. 2019년 대비 2020년 증가율은 325%에 달한다.

출처: KISA, 2021년 상반기 사이버위협 동향 보고서

이처럼 랜섬웨어 공격이 증가하면서 과학기술정보통신부는 지난 5월 랜섬웨어 예방과 사고 발생시 신속한 대응을 위해 ‘랜섬웨어 대응 지원반’을 설치해 운영에 들어갔다. 지원반은 과기정통부 정보보호네트워크정책관을 총괄로 해 KISA 내 인터넷침해대응센터(KISC)에 설치했으며, 24시간 신고 접수·분석 및 피해 복구를 지원한다.

정부는 랜섬웨어 공격 관련 범정부 대응책도 준비하고 있다.

과기정통부는 “랜섬웨어 공격자가 데이터 복구를 미끼로 해 금전을 요구할 때 복구키를 제대로 제공하지 않은 채 금전만 갈취하고 잠적하는 사례가 존재하며, 협상에 응하면 또 다른 피해자가 발생하는 등 악영향이 발생할 수 있어, 금전을 요구하는 협상에 응하지 말고 침해사고 신고를 통해 시스템 복구 등의 기술지원을 받아야 한다”고 권고했다.

안랩은 ‘올 상반기 주요 보안위협 트렌드 톱(Top) 5’ 가운데 하나로 타깃형 랜섬웨어 공격 증가를 꼽으면서 “한 번 랜섬웨어 공격을 당하거나 내부 정보를 탈취 당하면 또다시 협박의 대상이 될 수 있기 때문에 조직은 보안 솔루션 활용뿐만 아니라 내부 임직원 보안교육을 강화하는 등 랜섬웨어 공격에 상시 대응해야 한다”고 강조했다.

구성원들이 랜섬웨어 공격 피해를 예방하려면 최신 소프트웨어 사용과 보안 업데이트를 적용하고, 출처가 불명확한 이메일과 URL 링크 클릭은 가급적 삼가야 하는 기초적인 보안수칙을 생활화해야 한다. 또한 중요한 자료는 정기적으로 백업하는 것이 중요하다.

KISA는 최근 발간한 2021년 상반기 사이버위협 동향 보고서에서 “표적 랜섬웨어 공격, 서비스형 랜섬웨어 등 랜섬웨어 공격을 위한 문턱이 낮아지고 있고, 사이버범죄자들의 ‘가성비’ 높은 비즈니스 모델로 정착하고 있어 랜섬웨어 공격 증가세가 쉽사리 꺾이지 않을 것으로 보인다”고 전망하면서 “기업 내에서 랜섬웨어에 대응하기 위해 정보보안부서와 IT부서에서 중요 데이터를 백업하는 기존 방식의 한계가 드러남에 따라 비즈니스 연속성 관점에서 핵심적인 사업과 업무를 선정하고 그 주관부서를 중심으로 전사적인 협업을 통한 백업, 복구 및 그에 대한 훈련이 필요하다”고 지적했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다