랜섬웨어는 지능형 표적공격(APT)…“주기적 점검·대응하고 반드시 훈련하라”
랜섬웨어 공격이 기승을 부리고 있다. 국내와 해외를 막론하고 최근 공격 건수와 피해가 급증했다.
글로벌 보안업체인 체크포인트의 분석에 따르면, 올해 랜섬웨어 공격은 작년 초에 비해 102% 증가했다. 특히 작년 3분기부터 높은 수치(50% 이상)로 급증했다. 지난 한 해 동안 전세계 랜섬웨어 피해규모는 200억달러(22조원)에 달한다는 추정치도 나왔다.
국내 기업의 랜섬웨어 피해 신고 역시 최근 3년간 급증했다. 지난 2019년 38건에서 지난해 127건으로 3배 넘게 증가했는데, 올해 상반기에만 78건을 기록했다. 한국인터넷진흥원(KISA)에 신고한 건수만 집계한 수치인데도 크게 늘어난 것을 알 수 있다. <관련기사> [상반기 사이버위협 결산①] 랜섬웨어 공격 진화…피해사례 급증
금전을 목적으로 한 랜섬웨어 공격은 개인PC에서 기업으로 최근 주대상이 바뀌었다. 에너지, 식량, IT, 제조, 서비스, 운송 등 산업 분야를 가리지 않고 랜섬웨어 공격이 발생하고 있다. 특히 최근 사회기반시설과 생활필수 산업에서 랜섬웨어 공격이 많이 발생하고 있다.
랜섬웨어 공격이 많이 발생하면서 대비책으로 데이터 백업을 해놓은 곳들이 많아지자 랜섬웨어 공격도 진화했다. 최근 랜섬웨어 공격은 데이터 암호화뿐 아니라 유출, 디도스(DDoS, 분산서비스거부) 공격을 결합해 벌이는 ‘3중 협박’ 형태가 많다.
그리고 요즘에는 별도의 전문지식이 없어도 비용만 지불하면 랜섬웨어를 공격해주는 서비스를 제공하는 ‘서비스형랜섬웨어(RaaS)’가 활성화돼 있는 상태다.
이재광 KISA 사이버침해대응본부 종합분석팀장은 “기업들이 백업을 많이 하면서 협박이 안되다보니 최근에는 해커들이 암호화하기 전에 데이터를 먼저 유출시키고 있다. 백업 데이터로 복구하면 유출된 데이터를 이미 확보하고 있으니 공개하겠다고 협박한다. 기업의 홈페이지 장애를 유발하는 디도스 공격으로 협박하기도 한다. 3중 협박이 결합된 형태가 최근 랜섬웨어 트렌드”라고 설명했다. 이어 “RaaS는 다크웹과 가상자산이 결합된 모델이다. 범죄에 많이 이용되는 다크웹에서 거래되고 RaaS 현금은 추적이 되기 때문에 수익금을 가상자산으로 받는다. 익명성 보장되고 자금세탁에 유용한 다크웹과 가상자산이 활성화되고 있다”고 덧붙였다.
장시간 걸쳐 공격 수행…주로 ‘관리자PC·중앙관리시스템’ 침투·장악
최근 랜섬웨어 공격은 기업 대상 타깃형 공격으로, 내부 침투와 장악이 먼저 이뤄진 후 랜섬웨어 공격이 수행되는 형태로 발생한다. 공격 과정도 1년 이상 소요된 사례가 상당수 발견될만큼 공격에는 장시간 소요되는 공격이다.
이 팀장은 “최근의 랜섬웨어는 기업 타깃형 공격으로, 오랫동안 준비해 어느 날 공격이 발현된다. 공격자가 최초로 내부 침투해 장악한 뒤 내부 이동, 즉 랜섬웨어를 대량 퍼뜨리기 위해 여러 시스템을 거친 후 거점을 확보해 어느 날 랜섬웨어를 실행한다. 실행하면 그 때 대상기업이 인지한다. 해커가 최초 침투하고 발견되기까지 공격 주기가 1년 이상 소요된다. 대부분 오랜시간의 결과물”이라며 “이는 보안 담당자들이 방어할 수 있는 시점이 계속 있다는 의미이기도 하다. 랜섬웨어 공격이 오랜 시간 준비돼 이뤄지기 때문에 일 년의 시간 안에 점검 통해 예방이 가능하다”고 강조했다.
공격자들의 최초 침투 경로나 거점은 관리자PC다. 관리자PC 다양한 시스템과 연결이 돼 있는 중앙관리시스템을 노린다. 사내 계정·접근관리를 수행하는 액티브디렉토리(AD)서버나 백신이나 소프트웨어 업데이트 배포를 위한 중앙관리시스템이 해당된다.
이 팀장에 따르면, 최근 발생한 국내 랜섬웨어 사고에서 많이 발생한 침투 경로는 ▲외부 공개돼 있는 ‘웹서버’의 취약점이나 계정관리가 취약해 탈취된 관리자 계정을 획득해 들어오거나 ▲악성 첨부파일이 있는 스피어피싱 메일로 유인해 ‘관리자 PC’로 침투하거나 ▲관리자가 사용하는 소프트웨어 프로그램(‘공급망’)을 통해 침투해 확산되는 사례가 많다. 관리자PC가 망분리되지 않고 인터넷에 연결돼 있는 경우 해커들의 내부 중요시스템 장악과 피해 확산은 금새 이뤄진다. ▲기업에서 사용하는 ‘테스트서버’도 공격자 침투경로로 악용되고 있다. 테스트서버는 보안관리에 소홀하기 때문이다.
“백업만으론 충분치 않다…감염됐다고 포맷하면 안된다”
백업 데이터가 감염되는 사례도 많이 발생하고 있다. 데이터 백업 저장공간을 인터넷으로 연결해놓는 것이 문제다. 이 팀장은 “백업이 중요하지만 백업을 한 것만으로는 충분치 않다”며 “백업 서버를 인터넷에 연결해놓으면 해커가 침투해 감염되는 사례가 있다. 또 일반 서버와 동일한 계정과 패스워드를 사용할 경우에도 백업 데이터가 감염되는 사례가 있어 유의해야 한다. 랜섬웨어에 감염되면 백업 데이터로 복구하는데, 원상태로 복구하는데 20일에서 30일 정도로 많은 시간이 걸린다. 서비스가 정상화되는데 많은 시간이 소요되는 점에서 기업들은 랜섬웨어 리스크를 사업 연속성 유지 관점에서 고민하고 대응해야 한다”고 지적했다.
또한 이 팀장은 “랜섬웨어 사고 사례가 발생하면 원인 분석이 무엇보다 중요하다”고도 강조했다. 데이터 복구를 해 서비스를 정상화하더라도 그동안 공격자가 장시간 만들어놓은 공격 거점과 침투 경로가 그대로 남아있게 되기 때문이다.
이 팀장은 “랜섬웨어에 감염되게 되면 포맷하는 경우가 있는데 그러면 안된다. 왜 해킹이 됐는지 원인을 분석하는데 있어 KISA가 도와줄 수가 없다”며 “포맷을 할 경우 원인 분석을 위한 로그가 사라진다. 재발 방지를 위해서는 반드시 해커의 침투 경로와 활동 범위 어떻게 기업에 침투했는지. 그리고 해커가 어디까지 장악하고 있고 거점은 어디인지 등을 명확하게 식별해 대응하고 복구를 해야 재발을 방지할 수 있다”고 강조했다.
기업 대응전략은 ‘점검하라, 대응하라, 훈련하라’
KISA가 제시하는 기업의 랜섬웨어 공격 대응전략은 세 가지다. 바로 ‘점검하라, 대응하라, 훈련하라’이다.
공격에 상당시간 소요되고, 공격 거점을 구축하기 때문에 반드시 보안 점검을 통해 공격이 진행되는 단계를 단지해 선제적으로 대응해야 한다는 것이다. 이 팀장은 “선제적으로 탐지하고 대응할 수 있는 시간적인 여유가 기업들에게 있다”며 “관리자PC나 주요 서버 등 공격 거점으로 악용될 수 있는 핵심 지점들을 점검하면 된다. PC나 서버에 악성코드가 있는지 점검해야 한다”고 제안했다.
점검 단계에서 특이사항이 발견됐을 때는 후속 대응조치를 제대로 수행해야 한다. 이 팀장은 “KISA에 반드시 신고를 하고 기술 지원을 받아야 한다. 또는 그 기업의 정보보호를 담당하는 업체들을 통해 반드시 상세 점검을 해 해커가 어떻게 들어왔는지, 그리고 어디까지 해커가 침투는지 반드시 밝혀내야 한다”고 했다.
랜섬웨어 감염 사고를 가정하고 데이터를 복구하는 훈련도 반드시 해야 한다. 이 팀장은 “사고가 나면 백업 데이터가 있더라도 복구하는데 굉장히 많은 시간이 걸린다. 실제 복구 훈련을 해보면 의외로 백업이 제대로 안 돼 있거나 백업 데이터가 복구가 안되는 경우가 존재한다. 때문에 반드시 훈련해야 한다. 백업 데이터도 감염시키는 사례가 있기 때문에 우리 회사의 백업이 정말로 안전하게 관리되고 있는지 점검해야 한다”고 말했다.
과학기술정보통신부와 KISA는 기업들이 이같은 대응전략을 이행하기 위한 다양한 지원을 제공하고 있다. 영세기업을 위한 내PC 돌보미 서비스를 제공하고, 홈페이지 보안 강화를 위한 무료 보안 솔루션 제공과 취약점 점검을 지원한다. 기업 스스로 점검에 활용할 수 있는 보안 공지와 기술문서도 배포하고 있다.
과기정통부 ‘K-사이버방역’ 체계 일환으로 전국 단위의 원스톱 대응체계 운영도 준비하고 있다. 기업 디도스 공격 발생시 트래픽을 방어해주는 사이버대피소를 운영하는 것은 물론 피해기업이 신속하게 대응할 수 있도록 랜섬웨어 대응 지원반을 지난 5월부터 운영하고 있다.
이밖에도 랜섬웨어 예방수칙·대응가이드도 홍보하는 한편, 중소·영세기업 대상 맞춤형 컨설팅과 보안 솔루션 도입을 지원하는 사업도 진행 중이다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
