Photo Image
<이재광 한국인터넷진흥원(KISA) 종합분석팀장이 최근 랜섬웨어 공격 특징과 대응 전략에 대해 발표하고 있다. KISA 제공>

“랜섬웨어 공격에는 상당한 시간이 소요됩니다. 최초 침투부터 발현까지 대부분 1년 이상 준비가 필요합니다.”

한국인터넷진흥원(KISA)은 1일 랜섬웨어 공격 추세와 대응 전략을 밝히면서 기업의 선제적인 보안 점검 등 대책 마련을 당부했다.

이재광 KISA 종합분석팀장은 “기업이 랜섬웨어 공격을 방어할 수 있는 시점이 보통 1년 정도 있다”면서 즉시 보안을 점검하라고 기업에 촉구했다. 공격자가 랜섬웨어 감염을 준비하는 동안 기업은 보안 점검으로 이를 저지할 수 있기 때문이다.

KISA 조사에 따르면 최근 랜섬웨어 공격은 특정 기업을 겨냥한 지능형지속위협(APT)으로 감행되는 경우가 대다수다. 공격자는 랜섬웨어를 대량으로 유포하기 위해 우선 액티브 디렉토리(AD)나 중앙관리 솔루션 등 거점을 확보하며, 준비가 끝났을 때 랜섬웨어를 실행한다. 전체 주기가 짧은 사례도 있지만 대부분이 오랜 시간 준비된 결과물로 감행됐다.

대량 감염을 초래하는 '공격 거점'에 대한 점검이 우선이다. 웹 서버나 관리자 PC, 공급망 침투를 통한 확산 등 공격자는 단 한 번의 랜섬웨어 실행으로 최대한 피해를 일으키기 위해 거점을 찾는다. 다른 서버에 비해 보안이 상대적으로 허술한 테스트 서버 역시 최근 공격자 거점으로 활용되는 것으로 나타났다.

랜섬웨어 협박 수준은 지속 고도화하고 있다. 과거에는 백업 데이터만 잘 관리하면 복구를 통해 대응이 가능했지만, 현재 랜섬웨어 공격은 데이터를 암호화 전에 유출하고 백업 데이터로 복구할 경우 해당 데이터를 외부에 공개하겠다고 협박하는 수법으로 진화했다. 이에 대해 이 팀장은 “데이터 암호화, 내부 데이터 유출, 디도스 공격 등 '3중 협박'이 랜섬웨어 공격자 사이에 유행하고 있다”고 설명했다.

다크웹과 가상자산이 결합된 '서비스형 랜섬웨어(RaaS)'는 전문 지식이 없어도 비용만 지불하면 랜섬웨어 공격을 할 수 있는 서비스다. 랜섬웨어 제작자와 공격자 간 분업화, 전문화가 진행되면서 공격 문턱도 낮아졌다. 랜섬웨어는 에너지, 식량, 정보기술(IT), 제조, 서비스, 운송 등 특정 산업에 국한되지 않고 발생하는 추세다. 감염 대상 역시 개인에서 기업, 영세·중소기업, 사회기반시설, 생활 필수 산업 등으로 확대되고 있다.

랜섬웨어 대응 방안으로는 보안 점검과 대응, 훈련을 제시했다. 점검 일환으로 관리자 PC에 악성코드가 탐지된 이력이 있는지 살펴보라고 제안했다. 공격자는 악성코드가 탐지되면 또 다른 악성코드를 유포한다. 기업에서는 백신이 특정 악성코드를 막아냈다고 안심하기 보다 관리자 PC가 공격 타깃이 되고 있다는 의미로 해석해야 한다.

백업만으로는 충분하지 않다. 백업 데이터 감염 사례도 다수 존재하며 백업 기반 복구 과정에서 많은 시간이 걸려서다. 랜섬웨어에 감염되더라도 시스템을 포맷하기보다 원인을 분석하는 것이 중요하다. 복구 이후에도 공격자의 침투 경로는 존재하기 때문이다. 위험을 제거하고 재발을 방지하려면 공격자 침투 경로와 활동 범위를 식별해야 한다. 랜섬웨어 리스크는 기업 연속성 관점에서 고민하고 대응 전략을 수립해야 한다.

신고 중요성과 몸값 협상 위험성도 언급했다. 이 팀장은 “기업이 해킹을 당하면 이 기업을 이용하는 국민으로 피해가 이어진다”면서 “기업 침해사고가 기업 자체만의 문제가 아닌 만큼 해킹 시 반드시 신고하고 기업 고객이나 국민이 피해를 입지 않도록 피해 확산 방지 활동을 해야 한다”고 당부했다. 그러면서 “공격자에게 몸값을 지불하는 등 협상에 응하는 것은 전체 사이버 안전을 해치는 치명적인 문제”라고 덧붙였다.

KISA는 랜섬웨어 침해대응을 위해 국내 백신업체를 비롯해 세계 23개국 33개 기관과 정보를 공유하고 있다. 국내 기업 대상으로 '내PC 돌보미 서비스'와 전국 원스톱 대응 체계를 운영하며 사이버 위기대응 모의훈련, 중소·영세기업 대상 맞춤형 컨설팅과 보안솔루션 도입 등을 지원하고 있다.

오다인기자 ohdain@etnews.com