랜섬웨어는 기업 존립을 위협하는 가장 파괴적인 사이버 공격이다. 데이터를 암호화해 사용하지 못하게 만들고 복구 비용을 요구해 기업을 순식간에 마비시켜 버린다.
2025년 버라이즌(Verizon) 데이터 유출 조사 보고서를 보면 놀라운 사실이 드러난다. 랜섬웨어 공격의 75%가 실제 시스템 침입으로 이어졌고, 침입을 위한 초기 공격의 30% 이상이 이메일이었다. 기업 내부망을 뚫는 초기 방법으로 이메일을 가장 많이 사용했고, 이는 기업의 랜섬웨어 대응을 이메일 보안에서 시작해야 하는 이유다.
공격자는 기업의 보안 게이트웨이를 우회하기 위해 끊임없이 새로운 기법을 개발한다.
HTML 스머글링(Smuggling)은 악성 코드를 파일로 직접 첨부하지 않고 HTML 파일 내 스크립트 코드로 숨긴다. 사용자가 브라우저로 파일을 열면 스크립트가 실행되고 PC 내부에서 악성 코드가 재조합되돼 다운로드된다. 네트워크 단계의 파일 검사를 무력화하는 기법이다.
매크로 차단이 강화되자 공격자들은 OneNote 파일에 악성 스크립트를 첨부하고 버튼 뒤에 숨겨 클릭을 유도한다. 또 PDF 문서 내에 악성 사이트로 연결되는 링크나 QR코드를 심기도 한다.
가장 주목할 만한 기법은 퀴싱(Quishing)이다. 이메일 본문에 QR코드를 심어놓고 사용자가 스마트폰으로 이를 클릭하도록 유도한다. 개인 모바일 기기는 기업의 보안 통제 밖에 있다는 점을 악용한 공격이다.
최근 랜섬웨어 공격은 전문·분업화되고 있다는 것도 특징이다. 초기 이메일 공격으로 기업 내부에 악성코드를 심는데 성공하면 이를 서비스형 랜섬웨어 운영자가 넘겨 받아 다음 단계를 진행한다. 결국 이메일로 침투하는 초기 악성코드를 막는 것이 전체 랜섬웨어 방어의 핵심이다.
랜섬웨어에 대응하기 위해서는 다층 방어 체계가 필요하다.
첫째, 차세대 메일보안시스템으로 SPF, DKIM, DMARC 기술을 보완해 실제 메일서버의 진위를 검증한다. 발송 메일서버가 정상 서버라면 발신 정보를 사칭하거나 악성코드를 첨부하기 어렵다.
둘째, 샌드박스로 악성코드와 신종 악성코드를 탐지한다. 샌드박스는 의심스러운 파일을 격리된 환경에서 실행해 그 행동을 관찰한 후 위험 여부를 판단한다.
셋째, HTML 스머글링, 퀴싱 같은 고급 기법에 대응하기 위한 추가 기술이다. 브라우저 격리 기술은 이메일에 포함된 링크를 클라우드의 격리된 환경에서 열어 사용자의 PC를 보호한다. OCR 기반 QR코드 분석 기능은 이메일 본문의 이미지를 자동으로 분석해 QR코드를 감지하고 그 링크의 안전성을 검사한다.
넷째, 이메일과 PC 보안 솔루션과의 연동이다. 이메일 필터를 우회한 악성코드가 PC에 들어왔다면, PC 보안 솔루션이 실시간으로 그 파일의 실행을 감시하고 비정상적 활동을 차단한다.
마지막으로 기술만큼 중요한 것이 백업이다. 중요 데이터에 대한 오프라인 백업을 별도로 유지하고, 랜섬웨어 감염 시 복구 절차를 정기적으로 훈련해야 한다.
추가로 이메일 보안전문가로서 특히 강조하고 싶은 대책이 발송원 차단이다.
랜섬웨어를 유포하는 서버는 거대한 사이버 범죄 인프라의 일부다. 공격자들은 사설 메일 서버를 만들어 해킹 메일을 보내거나 감염된 PC 봇넷을 이용하거나 익명의 호스팅 업체의 서버를 임대한다. 이런 서버는 짧은 기간만 사용되거나 지리적으로 의심스러운 국가의 인프라를 사용한다는 특징을 갖고 있다.
결국 발송 IP가 알려진 C&C서버나 봇넷 네트워크 대역에 속하는지를 선제적으로 분석하고 차단하면, 이메일 내용과 첨부파일이 무엇이든 상관없이 위험한 발송원 자체를 초기 단계에서 봉쇄할 수 있다.
sky@realsecu.net
