“랜섬웨어로 인해 기업 내 중요 PC나 서버에 있는 정보 중 기밀성이 높거나 당장 업무에 필요한 파일이 암호화되면 기업은 큰 타격을 입을 수밖에 없습니다. 유출된 데이터가 외부에 공개되면 그 피해는 상상할 수 없을 정도로 막대합니다.”
김병장 팔로알토네트웍스코리아 전무는 지난해 랜섬웨어가 국내 본격 상륙한 이래 크고 작은 피해사례가 증가한다며 선제 방어 중요성을 강조했다. 랜섬웨어는 중요 파일이나 정보를 암호화한 뒤 이를 ‘인질’ 삼아 금품을 요구하는 신종 사이버 공격이다.
김 전무는 “해커들은 추적을 방지하기 위해 익명성을 보장하는 ‘비트코인’ 암호화 해제 대가를 요구한다”고 전했다. 최근 비트코인 가치가 높아지는 상황에서 랜섬웨어 공격도 같은 비율로 급증한다는 것이다. “랜섬웨어가 높은 금전적 수익을 해커에게 안겨주면서 이를 원동력 삼아 더욱 진화된 형태 공격을 감행할 것”으로 내다봤다.
실제 랜섬웨어 공격은 점차 정교해지는 추세다. 심지어 다단계 형태로 잠재 범죄자에게 랜섬웨어 공격용 기술과 파일을 전수·판매하는 ‘서비스형 랜섬웨어(RaaS)’까지 나타난 상황에 이르렀다. 패키지화된 랜섬웨어를 전달받은 공격자가 피해자로부터 비트코인으로 대가를 지불받을 때마다 원조 랜섬웨어 제작자가 25% 커미션을 받는 구조다.
김 전무는 “여러 보안 업체가 감염 파일 복구에 노력을 쏟지만 복호화 키 찾기는 모래사막에서 바늘을 찾는 것과 같다”며 “파일이 암호화되기 전에 위협 방어 시스템 구축으로 랜섬웨어 단계별 연결고리를 끊어야 한다”고 제시했다.
우선 알려지지 않은 위협 공격 요인 패턴을 단 시간 안에 생성해 공고한 방어체제를 구축해야 한다. 이후 감염을 막기 위해 알려진 악성코드와 익스플로잇 공격을 차단한다. 분석을 바탕으로 패턴을 생성해 향후 선제 방어에 활용한다. 랜섬웨어에 감염이 되었더라도 외부 유출 차단을 위해 마지막 단계로 아웃바운드 통신을 차단하는 방법도 동원할 수 있다.
팔로알토네트웍스는 랜섬웨어 대응을 위해 차세대 방화벽과 위협 인텔리전스 클라우드, 지능형 엔드포인트 보안 솔루션 등으로 구성된 통합 보안 플랫폼을 제공한다. 공격 시나리오 자체를 이해하고 이를 기반으로 방어 모델을 구축한다.
김 전무는 “공격 시나리오를 이해하면 어느 지점에서 어떤 방식으로 침투 시도가 있을지 상당부분 예측이 가능하다”며 “공격 라이프사이클 각 단계에서 정확한 대응이 가능하면 보안 사고도 최소화할 수 있다”고 말했다.
박정은기자 jepark@etnews.com
