침해사고/위협동향

‘잠복기’만 1년인 랜섬웨어 공격··· KISA “주기적인 점검과 대응이 필수”

이종현
[디지털데일리 이종현기자] “점검하고, 대응하고, 훈련하는 것. 기업의 필수 보안수칙입니다.”(이재광 KISA 종합분석팀장)

코로나19 이후 디지털 전환이 가속화되면서 랜섬웨어 피해 규모도 나날이 커지고 있다. 보안기업 체크포인트에 따르면 2020년 초 대비 2021년 랜섬웨어 공격은 102% 늘었는데, 작년 3분기부터 50% 이상 급증한 것으로 분석했다. 올해 랜섬웨어 피해 규모는 22조원가량으로 예측된다.

국내 기업을 대상으로 하는 랜섬웨어 공격도 증가세를 보이고 있다. 2018년 신고된 랜섬웨어 공격은 22건에 불과했지만 2019년 39건, 2020년 127건으로 증가했다. 올해 상반기에는 78건의 랜섬웨어 공격이 신고됐다.

◆산업화되는 랜섬웨어 공격, 다크웹·암호화폐 이용한 RaaS 기승

이재광 한국인터넷진흥원(KISA) 종합분석팀장은 최근 랜섬웨어 공격의 트렌드가 변하고 있다고 지적했다. 과거 개인 PC를 대상으로 이뤄지던 공격이 기업 시스템과 에너지와 같은 사회기반시설을 겨냥하기 시작했다는 것.

이 팀장은 “예전부터 있어왔던 유형의 공격인 랜섬웨어가 최근 주목받기 시작한 것은 공격 대상의 변화와 협방 방법의 고도화 때문”이라며 “데이터를 암호화하고 이를 빌미로 협박하던 것에 그치지 않고 내부 데이터를 훔친 뒤 유출하거나 디도스(DDoS) 공격을 병행하는 등의 2중, 3중 협박으로 진화했다”고 말했다.

공격 트렌드의 변화를 이끌어낸 것은 서비스형 랜섬웨어(RaaS)의 영향이 크다. RaaS는 서비스형 소프트웨어(SaaS)의 특징을 랜섬웨어에 대입한 것으로, 별도 전문지식 없이도 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 한다.

다크웹 및 암호화폐 시장의 활성화로 이와 같은 유형의 공격 증가에 영향을 끼쳤다. 보안기업 그룹-IB에 따르면 작년 발생한 랜섬웨어 공격의 64%는 RaaS에 의한 것이다.

이 팀장은 “RaaS는 다크웹과 암호화폐가 결합된 모델이라고 보면 된다. RaaS 제작자는 서비스 개발에만 집중하고, 공격자는 이미 완성돼 있는 RaaS로 공격을 수행한다”며 “추적이 어려운 다크웹을 통해 서비스를 주고받고, 익명성이 보장되는 암호화폐로 돈을 주고받는다. 랜섬웨어 공격이 산업화되고 있는 상황”이라고 전했다.

◆공격자들의 타깃은 관리자 PC··· 망분리, 보안점검 필수

이 팀장은 “기업을 대상으로 하는 랜섬웨어 공격은 지능형지속위협(APT)의 결과물이다. 최초에 악성파일을 침투시킨 뒤 내부에서 대규모로 랜섬웨어를 유포할 수 있는 거점을 확보한다. 관리자 및 개발자 PC나 중앙관리 서버, 테스트 서버가 대표적”이라고 피력했다.

일련의 과정은 상당한 시간이 소요된다. 최초 침투부터 랜섬웨어 실행까지 1년 이상인 경우도 드물지 않다는 것이 이 팀장의 설명이다.

랜섬웨어 공격의 실제 사고사례를 바탕으로 한 대응방안도 소개했다. 운영체제(OS) 및 소프트웨어(SW)의 최신 보안패치를 적용하고 계정별 권한을 부여할 것, 악성 이메일 대응 체계 강화를 위한 훈련 및 교육이 중요하다고 말했다.

특히 중요 관리자 PC 등 중요도가 높은 PC·서버에 대한 보안점검의 필요성을 강조했다. 높은 권한을 가진 PC나 서버가 랜섬웨어에 감염된다면 대규모 확산을 피하기 어렵다. 이에 이 팀장은 중요 PC·서버는 망분리를 통해 인터넷 접속을 차단하고 주기적으로 보안점검을 실시해야 한다고 전했다.

그는 “긴 시간에 걸쳐 공격이 이뤄진다는 것은, 그만큼 공격을 막을 기회도 많다는 것”이라며 “지속적인 점검, 점검 단계에서 특이사항의 발견 후 대응, 랜섬웨어 공격을 가정한 데이터 복구 훈련 등으로 랜섬웨어 공격의 피해를 최소화할 수 있다”고 강조했다.

◆‘포맷’이 능사는 아니다··· 재발방지 위한 원인분석 이뤄져야

데이터가 백업 돼 있다면 암호화된 데이터를 복호화할 필요 없이 PC 데이터를 포맷한 뒤 데이터를 복구하는 것만으로도 랜섬웨어에 대한 일차적인 대응이 가능하다. 실제로 백업은 랜섬웨어 대응을 위한 가장 기본적인 조치로 꼽힌다.

하지만 이 팀장은 “백업이 있는 것만으로는 충분하지 않다”고 경고했다. 인터넷 연결, 동일 계정으로 관리 등 백업 데이터 역시 랜섬웨어에 감염되는 사례도 다수 있다. 또 데이터의 양이 많은 기업의 경우 백업까지 20일, 30일 상당의 시간이 걸리는데, 이는 사업 연속성 측면에서 큰 부담이 될 수 있다는 것이 이 팀장의 주장이다.

또 시스템을 포맷한다면 해커가 어떤 루트를 통해 공격을 수행했는지 확인할 수 있는 로그 역시도 유실된다. 데이터는 복구되더라도 침투 경로는 여전하기 때문에 다시 랜섬웨어에 감염되는 일이 반복될 수 있다.

이 팀장은 “KISA는 랜섬웨어 공격에 당한 기업들을 위한 원인조사 및 피해복구나 재발방지를 위한 기술지원부터 사전 예방을 위한 무료 보안 솔루션 제공, 취약점 점검 등 다양한 사업을 진행 중”이라며 “랜섬웨어 대응을 위해 고민하는 기업이 있다면 정부 지원을 적극적으로 이용하라”고 권했다.

한편 이 팀장은 기업 사이버보안을 위해 꼭 도입해야 할 제품으로 백신과 서버 내 로그를 저장하고 관리할 수 있는 솔루션을 꼽았다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널