회사원 A씨는 중요한 의사결정을 위한 보고서 준비를 위해 평소보다 일찍 출근해서 컴퓨터를 켰다. 전날 퇴근까지만 해도 이상이 없던 컴퓨터에 문제가 생겼다. 검은색 바탕화면에 깨알 같은 영문과 함께 모든 파일의 확장자가 일률적으로 바뀐 채 파일이 열리지 않는다. 이러한 상황을 처음 경험하는 터여서 당황스러운 나머지 인터넷으로 검색한 뒤에야 랜섬웨어에 감염됐다는 사실을 알게 됐다.
랜섬웨어에 감염된 컴퓨터를 복구한다는 전문 업체를 인터넷 광고나 블로그를 통해 어렵지 않게 찾을 수 있다. 과거에는 복구툴을 통해 복호화하는 경우도 간혹 있었지만 랜섬웨어 유포자의 복호화 키를 적용하지 않는다면 대부분 기술적 복호화는 불가능한 것으로 알려져 있다. 그럼에도 이들이 복구 업체라고 표방하고 있는 것은 중간 협상자 역할이라고 봐도 무방하다.
어렵게 협상에 성공해도 막대한 비용이 발생하고, 파일 복호화에 많은 시일이 걸린다. 간혹 합의금만 지불하고 복호화가 안 되는 경우도 있다.
다양한 경로를 통한 랜섬웨어와 악성코드의 위협은 일상화됐다. 사무실에 출근하면 이메일, 인터넷, 사내의 다양한 시스템 등을 접속하면서 업무를 진행한다. 눈에 보이지 않는 네트워크를 통해 업무를 수행하기 때문에 어느 순간, 어디에서 외부의 위협에 노출되는지 알 수가 없다.
시간이 갈수록 사회공학적 기법을 동원한 공격은 지능화하고 있다. 최고경영자(CEO)의 인터넷 이메일 계정을 탈취해서 임직원에게 CEO가 보내는 메일로 가장해 접근하기도 한다.
최근 2년간 코로나19 팬데믹 관련 정보에 대한 갈증을 해소하려는 사용자의 심리를 이용해 코로나19 또는 COVID-19와 관련한 자료나 기사 링크 등을 배포하면서 랜섬웨어 감염을 유도하고, 공격 성공 사례 또한 폭증했다. 해커는 사용자의 정보 갈증 또는 익숙함에 대한 틈새와 함께 업무 패턴을 분석하고 관련된 문서(이력서, 견적서, 발주서 등)를 첨부하거나 링크를 삽입, 별다른 의심 없이 접근할 수 있도록 지능화하고 있는 것이다.
과연 회사원 A씨의 컴퓨터엔 어떤 일이 있었을까. 정확히 어떠한 경로를 통해 랜섬웨어에 감염되었는지 알 수는 없지만 랜섬웨어에 감염되는 순간 컴퓨터에 저장되어 있는 폴더 구조와 파일 목록이 공격자에 의해 분석된다. 분석이 끝나면 순식간에 모든 파일이 암호화된다. 회사원 A씨는 전일 업무 마감까지 이러한 사실을 전혀 인지하지 못했다. 이튿날 출근해서 컴퓨터를 켰을 때는 일련의 과정이 모두 끝난 뒤였다.
이런 상황이 닥치면 어떻게 대응해야 할까.
랜섬웨어 방어를 위한 개인방역 수칙의 생활화가 필수다. △컴퓨터에 기본적으로 최신 OS 업데이트 설치(자동 업데이트 설정 권장) △필수 백신을 설치하고 주기적인 패턴 업데이트 △스팸으로 의심되는 메일은 읽지 않고 바로 삭제 △웹에서 불명확한 링크는 실행 시 주의 △업무용 파일 주기적 백업(클라우드 저장소 or 외장하드) 등이 여기에 해당한다.
기업은 어떠한 준비를 해야 할까. 사회공학적 기법으로 무장하고 지능적이면서 정교해지는 공격을 개인방역 차원에서 방지하는 것은 불가능에 가깝다. 최근 랜섬웨어에 대응하기 위해 안티 랜섬웨어 소프트웨어가 등장하고 있는데 이는 기존에 보고된 악성코드 분류와 행위 분석을 기반으로 대응하는 기술로서 보고되지 않은 변종 랜섬웨어, 제로데이 및 우회 악성코드에는 취약할 수밖에 없는 구조다.
이런 상황을 감안해 출현한 기술이 CDR(Content Disarm & Reconstruction)이다. 근래 발생한 보안 사고 대다수가 문서형 파일(MS Office, HWP, PDF 등)과 이미지 파일에 포함되는 액티브 콘텐츠(Macro, JavaScription, OLE 객체, Link 등)를 이용해 교묘하게 배포된 악성코드에 의한 것이다. CDR는 이메일, 망연계, 웹 등을 통해 유입되는 모든 문서의 액티브 콘텐츠를 사전에 제거하고 파일을 재조합해서 안전한 파일로 만드는 기술로, 문서를 통한 악성코드나 랜섬웨어 유입을 원천적으로 차단할 수 있다. 이러한 CDR 기술을 탑재한 제품은 개인용 및 기업용 등 다양한 형태로 제공되고 있으며, 글로벌 시장조사업체 가트너도 안티바이러스/샌드박스 솔루션을 대비해 더욱 안전한 차세대 멀웨어 대응 기술로 CDR를 지목했다.
랜섬웨어도 안전한 이 같은 백업 앞에서는 힘을 쓰지 못한다. 이런 관점에서 문서중앙화 솔루션이 안전한 문서관리를 위한 종합 대책의 하나로 급부상하고 있다. 시중에 출시된 문서중앙화 제품은 화이트리스트(허용 프로세스만 등록) 기반으로 모든 프로세스를 제어한다. 따라서 랜섬웨어에 감염돼 파일 암호화를 시도하는 경우는 등록되지 않은 프로세스에 해당하기 때문에 암호화 자체가 불가능하도록 원천 차단이 가능한 것이다.
문서중앙화 솔루션은 문서의 중앙관리를 통해 사내의 중요 자산을 안전하고 효율적으로 관리할 수 있다. 다양한 사용자 편의 기능을 제공해 허가된 임직원은 어떤 컴퓨터를 사용하더라도 간단한 인증만 거치면 본인의 업무 문서에 편리하게 접근, 편집·저장이 가능하다. 이를 통해 최근 화두가 되고 있는 재택 및 원격근무 환경에서도 별도의 추가적인 시스템 도입 없이 더욱 안전한 업무환경을 구축할 수 있을 것이다.
임직원 개개인은 개인방역수칙을 잊지 않고 실천하며 보안 습관을 생활화해야 한다. 기업 보안담당자는 우리 회사의 실정에 맞는 효율적인 보안 체계 구축을 위한 고민과 그에 맞는 시스템을 제공해 안전한 환경에서 근무할 수 있도록 다 함께 노력해야 할 것이다.
이상준 지란지교시큐리티 연구소장 sjunee@jiran.com