계속 진화하는 랜섬웨어…데이터 유출·백업 무력화에 AI까지
랜섬웨어 공격이 파일 암호화를 넘어 대규모 데이터 유출과 백업 무력화, 인공지능(AI)을 활용한 환경 맞춤형 공격으로 확장되고 있다. 한국인터넷진흥원(KISA)은 13일 서울 서초구 양재 엘타워에서 ‘랜섬웨어 전주기 대응 추진단 중간워크숍’을 열고, 보안 전문가들과 함께 최근 랜섬웨어 공격 기술의 동향과 피해 사례, 대응 정책 방향을 논의했다.
암호화 없이 데이터만 탈취…탐지 기준도 바뀌어야
최근에는 파일을 암호화하지 않고 데이터를 빼낸 뒤 공개하거나 판매하겠다고 협박하는 ‘노웨어 랜섬웨어’가 늘고 있다. 암호화 행위를 생략하기 때문에 랜섬웨어 방지 제품이나 엔드포인트 탐지·대응(EDR) 솔루션의 감시를 피할 가능성도 커진다.
고보승 누리랩 부장은 “백업으로 시스템을 복구하더라도 이미 외부로 나간 데이터는 되돌릴 수 없다”며 “암호화 탐지보다 데이터 유출 경로를 함께 봐야 한다”고 설명했다.
공격자는 데이터를 한꺼번에 전송하지 않고 여러 프로세스와 외부 주소를 이용해 조금씩 반출할 수 있다. 따라서 순간적인 트래픽보다 일정 시간 동안 쌓인 전송량과 목적지, 데이터를 보낸 프로세스를 함께 분석해야 한다. 고 부장은 “내부 정찰과 다른 시스템으로 이동하는 과정도 유출 전에 포착해야 한다”고 강조했다.
AI 활용한 최적화 공격 가능성 커져
대형언어모델(LLM)이 피해 시스템을 분석하고 공격 코드를 실시간으로 만드는 ‘랜섬웨어 3.0’ 가능성도 제기됐다.
박명서 한성대 교수는 프롬프트락(PromptLock) 사례를 들어, 실행파일에 완성된 악성코드 대신 자연어 명령만 넣는 공격 방식을 설명했다. 프롬프트락은 AI가 운영체제와 파일을 조사한 뒤 데이터 유출이나 암호화에 필요한 스크립트를 생성하고, 피해 기업의 환경에 맞는 협박문까지 작성하는 방식이다.
같은 명령을 내려도 매번 다른 코드가 나올 수 있어 고정된 악성코드의 특징을 찾는 탐지 방식으로는 대응이 어려워질 수 있다. 다만 박 교수는 “기존 랜섬웨어만으로도 공격자가 수익을 얻을 수 있어 AI가 전체 공격을 자율적으로 수행하는 단계로 넘어가는 과정은 아직 과도기”라고 진단했다.
손주환 스틸리언 연구소장은 “서비스형 랜섬웨어(RaaS)와 AI가 공격자의 기술 장벽을 낮추고 있다”며 ”RaaS로 공격자가 직접 악성코드를 개발하지 않아도 다크웹에서 제작과 배포, 몸값 협상 서비스를 이용할 수 있게 됐다”고 설명했다.
실제 초기 침투에는 고난도 제로데이 취약점보다 피싱과 유출된 계정, 다중요소 인증(MFA)이 없는 원격 접속 환경이 주로 쓰인다. 손 연구소장은 “암호화는 공격의 결과”라며 “공격자가 내부에 침투하고 권한을 확대하는 단계에서 차단해야 한다”고 강조했다.
공격자는 백업부터 무력화…복구 가능성 검증해야
백업 인프라도 주요 공격 대상이 됐다. 박철한 코헤시티 이사는 공격자가 백업 제품의 정상 관리 명령과 ‘애플리케이션 프로그래밍 인터페이스(API)’를 이용해 백업 보호를 해제하거나 데이터를 삭제한다고 설명했다. 정상적인 관리 작업처럼 보이기 때문에 기존 보안관제에서 공격으로 구분하기도 어렵다.
백업 데이터 안에 악성코드가 남아 있으면 복구 직후 다시 감염되는 ‘재주입 공격’도 발생할 수 있다. 백업을 보유하는 데 그치지 않고 데이터를 별도 공간에서 검사한 뒤 복구해야 하는 이유다.
박 이사는 “정해진 기간 동안 수정과 삭제를 막는 이뮤터블 백업(Immutable Backup)과 오프라인 사본, 관리자 계정의 다중요소 인증을 적용해야 한다”고 제안했다. 아울러 “평소 복구 훈련을 통해 필요한 데이터가 정상적으로 저장됐는지, 정해진 시간 안에 서비스를 되살릴 수 있는지도 확인해야 한다”고 덧붙였다. 이뮤터블 백업은 공격자가 관리자 계정을 탈취하더라도 백업 파일을 덮어쓰거나 지우지 못하게 만드는 백업 방식을 말한다.
정영석 루시드엑스 대표는 중소기업의 랜섬웨어 지원사업의 성과 평가 장식과 관련해 “백업 보유율과 실제 복구 가능성은 다르다”고 지적했다. 그는 지원 기업 수나 교육 인원보다 복구 훈련 성공률, 모의 피싱 클릭률의 개선 폭, 지원 이후 재감염률 등 기업의 실질적인 대응력 변화를 지원사업의 성과지표로 삼아야 한다고 제안했다.
KISA, 예방보다 ‘회복력’에 무게…9월 최종 대응 전략 공개
KISA는 이날 랜섬웨어 전주기 대응 전략의 초안을 공유하고 참석자들의 의견을 들었다. 초안은 피해 예방, 분석·대응, 복구 지원, 면역 강화, 범죄조직 검거 지원 5단계로 구성됐다.
KISA는 보안 투자가 어려운 중소·영세기업을 우선 지원 대상으로 두고, 모든 공격을 사전에 막는 방식에서 사고 뒤 신속히 서비스를 복구하는 ‘회복력’ 중심으로 대응 전략의 무게를 옮기는 방안을 검토하고 있다.
초안에는 랜섬웨어 샘플과 공격자 정보, 침해지표를 모은 지식기반 구축과 AI·대형언어모델을 활용한 분석체계가 포함됐다. 감염된 랜섬웨어의 복구 가능성을 확인하고 복구 도구를 제공하는 포털, 재감염을 막는 클린존, 백업·복구 훈련의 사후 점검, 국제 공조 확대 방안도 검토 대상에 올랐다.
참석자들은 “랜섬웨어 대응에 AI를 활용한다”는 이론적 대응책보다는, 필요한 데이터와 분석 범위, 오류를 통제할 방법을 구체화해야 한다고 입을 모았다. 기업이 백업 솔루션을 구매했더라도 제대로 설정했는지, 담당자가 실제 사고 때 복구에 활용할 수 있는지는 별개의 문제다. 특히 교육에 그치지 않고 전문가가 기업별 환경을 점검해 설정과 사용법, 복구 절차까지 안내해야 한다고 제안했다.
KISA는 이날 나온 의견과 추가 검토 내용을 반영해 초안을 보완한 뒤, 오는 9월 16일 랜섬웨어 전주기 대응 전략 최종안을 발표할 예정이다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



