해킹을 돕는 브로커나 서비스형랜섬웨어(RaaS) 등 다양한 랜섬웨어 공격 트렌드 속에서 여러 탐지 기술을 십분 활용해야 한다는 의견이 제시됐다. 10년 후 전세계 피해 규모가 300조원이 넘을 거란 전망이 나온 가운데 완벽한 예방이 어렵다면 복구에 초점을 맞춰야 한다는 의견도 나왔다.

20일 한국인터넷진흥원(KISA)는 과학기술정보통신부와 함께 서울 양재동 엘타워에서 ‘제1회 랜섬웨어 레질리언스 컨퍼런스’를 열었다. 레질리언스(Resilience)는 회복탄력성, 복원력 등을 뜻하는 말로, 랜섬웨어 피해 회복을 위한 방안을 모으는 게 이날 컨퍼런스의 목적이다.

‘다양한 랜섬웨어 대응 기술 현황’을 주제로 발표한 김의탁 이스트시큐리티 연구소장은 “최근에는 랜섬웨어가 기존 악성코드의 모든 특징을 흡수한 것 같다”며 “랜섬웨어 공격의 추세가 많이 바뀌고 있다”고 강조했다.

그는 사이버 공격 트렌드와 랜섬웨어 방지 기술을 중점적으로 설명했다. 김의탁 소장은 “IAB(Initial Access Broker)와 서비스형랜섬웨어(RaaS)가 최근의 공격 트렌드”라고 말했다.

IAB는 우리말로 초기 액세스 브로커, 풀어 말하면 시스템 액세스 권한을 다른 해커에게 판매하는 이들을 말한다. RaaS는 해킹을 하려는 이들에게 랜섬웨어 실행파일이나 해킹 키트, 인프라를 제공하는 것을 뜻한다. 록빗2.0(Lockbit2.0)과 콘티(Conti), 썬크립트(SunCrypt) 등 여러 해킹 그룹이 Raas를 제공하고 있다.

공격 트렌드가 다각화되는 만큼 탐지 기술도 고도화되고 있다. 로그 파일이나 파일  I/O, 네트워크 트래픽 등을 학습해 활용하는 ‘머신러닝’ 탐지를 비롯해 랜섬웨어가 공격하도록 설치한 미끼파일인 ‘허니팟(HoneyPots)’을 통한 탐지, 협박을 위한 메시지를 남기는 ‘랜섬웨어 노트’ 탐지 등 다양한 기술이 랜섬웨어를 발견하는데 사용된다.

김의탁 이스트시큐리티 소장

만약 이 같은 기술로도 완벽한 탐지와 예방이 어렵다면, 복구에 초점을 맞추는 노력도 필요하다는 주장도 나왔다.

이영주 KISA 선임은 “선제적 예방이 중요하지만 100% 힘들다면 사후 피해복구에도 집중해야 한다”고 강조했다. 피하는 게 가장 좋지만 일단 감염됐을 경우에는 피해 확산을 막기 위한 복구 지원이 필요하다는 것이다.

그가 인용한 ‘사이버크라임매거진 2021’에 따르면 전세계 랜섬웨어 피해규모는 2021년 23조6000억원에서 2026년에는 84조3000억원으로 늘어난다. 약 10년 후인 2031년에는 312조7000억원에 달할 것으로 예상됐다. 천문학적인 피해 규모가 예상되는 만큼 빠른 복구 지원이 해답이라는 이야기다.


이 선임에 따르면 현재의 랜섬웨어 공격기법은 RDP(Remote Desktop Protocol) 공격과 이메일 첨부 문서나 링크를 통한 유포가 대표적이다. 특히 RDP는 원격근무 등에 활용하면 편리하지만, 해커들은 무차별 대입공격으로 권한을 획득, 기업 시스템과 네트워크에 랜섬웨어를 유포하고 있다.

이 선임은 랜섬웨어 파일 안에 암호키 정보가 저장된 경우와, 추측가능한 값으로 암호키가 생성된 경우에는 복구가 가능하다고 설명했다. 단, ‘륙(Ryuk)’ 랜섬웨어처럼 공격자의 개인키가 있어야 해독할 수 있는 랜섬웨어는 복구가 힘들다고 짚었다.

이영주 선임은 “RaaS와 더불어 요즘 코로나19로 비대면 사회에 들어서며 보안 취약점이 많이 발견되고 있다 ”며 “복구도구를 개발하고 배포해 피해를 최소화하는 방향으로 나아갈 것”이라고 랜섬웨어 대응 트렌드를 전망했다.

현재 국제협력 프로젝트인 ‘노모어랜섬(NoMoreRansome)’ 협의체는 156개 랜섬웨어 관련 복구도구를 배포하고 있다. 이 선임은 “KISA는 현재 4개 랜섬웨어에 대한 복구도구와 사용 매뉴얼을 지원하고 있다”고 부연했다.

컨퍼런스에는 이밖에도 ▲랜섬웨어 공격 대응을 위한 인공지능(AI) 기반 자율형 차단 기술(박정수 센티넬원 이사) ▲인터폴 및 한국·우크라이나·미국 등 3국 합동수사 사례(임양현 경찰청 경사)▲최근 랜섬웨어동향 사례 및 대응 방안(임정호 KISA 수석) ▲역공학 기반 랜섬웨어 암호기능 및 복구 가능성 분석(김기윤 국민대 연구원) 등의 발표도 이뤄졌다.

특히 임양현 경사는 클롭 랜섬웨어 해킹 조직을 검거한 일화를 소개해 눈길을 끌었다. 클롭 랜섬웨어를 만든 TA505(Threat Actor 505)라는 조직은 한국과 미국 기업에 큰 피해를 입혔다. 이들은 지난해 6월 우크라이나 현지에서 한국·우크라이나·미국 등 3국의 수사 공조로 검거됐다. 수사당국들은 암호를 대가로 받은 비트코인 거래를 추적해 조직을 잡았다.

정부는 이날 행사를 계기로 랜섬웨어 근절과 피해 복구 지원에 더 힘쏟기로 했다.

이원태 KISA 원장은 “피해를 원천적으로 막을 수는 없지만 확산되지 않도록 복구하는 문화와 총체적인 대응 역량이 필요하다”며 “기관 간 정보공유 체제를 통한 촘촘한 대응 체계를 구축하기 위해 노력하겠다. 오늘 행사가 랜섬웨어 레질리언스의 가능성과 정책 방향을 확보할 좋은 기회가 되길 바란다”고 말했다.

홍진배 과기정통부 네트워크정책실장은 “과기정통부는 기업과 개인이 랜섬웨어 피해를 빠르게 회복할 수 있는 역량을 갖출 수 있도록 예방, 탐지, 차단을 넘어 복구까지의 전 과정에 대한 정책적 지원과 소통을 강화해나가겠다”고 밝혔다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network