“랜섬웨어”… 사이버 범죄 어떻게 대응해야 하는가

랜섬웨어란 사이버 범죄자가 데이터를 암호화하거나 훔쳐낸 다음 데이터 복구에 대한 대가를 요구하는 온라인 공격 유형이다.

지난 10년간 랜섬웨어 범주에 해당하는 공격의 양상은 소비자를 대상으로 안티바이러스 제품인 것처럼 속이는 수준에 머무르지 않고 이제는 공공 기관 및 민간 기업을 주요 표적으로 삼으면서 첨단 암호화 기능을 활용하는 고도로 지능화된 악성 코드로 발전했습니다.

위협 인텔리전스가 어느 시점에 어떤 조직이 주요 표적이 될 수 있는지를 밝히는 데 도움이 되기는 하나, 업종, 지역, 규모에 관계없이 누구도 안전하지 않다. 랜섬웨어의 침투 범위가 점점 확대되면서 데이터 복구를 위해 지불해야 하는 금액도 증가하고 있습니다.

예전에는 총액이 두 자릿수였다면, 지금은 수백만, 수천만 달러에 달한다. 기업을 겨냥한 공격자들이 데이터를 풀어주는 대가로 무려 4천만 ~ 8천만 달러를 요구하는 경우도 있다. 랜섬웨어의 제3의 축이라 할 수 있는 갈취 수법도 진화했다.

공격자들이 비즈니스 모델까지 동원하여 피해자들에게 몸값 지불을 강요하고다. 피해자가 주어진 기한 내에 지불하지 않으면, 범죄자는 공격의 수위를 높이고 기밀 데이터를 공개하겠다고 위협한다. 심지어 다크 웹에서 경매에 부쳐 최고가에 낙찰하는 경우도 있다. 또 다른 한편에서는 랜섬웨어가 파괴형 공격과 융합하는 형태로 발전하고 있다.

랜섬웨어 변종 대부분에서 흔히 보여주는 또 다른 활동은 파일 암호화에 방해가 될 만한 각종 하드 코딩 프로세스 및 서비스, 이를테면 데이터베이스, 보안 애플리케이션, 백업 서비스를 종료하는 것입니다. 알려진 안티 바이러스 프로그램 또는 기타 보안 애플리케이션을 찾아낸 다음 제거를 시도하는 변종도 있다.

운영 체제가 실행하는 시스템 복원 기능을 차단하고 비활성화하는 것도 대표적인 활동이다. 많은 변종들이 볼륨 섀도 복사본 삭제, 빈 공간 지우기, 이벤트 로그 지우기, 시스템 복원 기능 비활성화 등의 태스크를 하나 이상 수행하는 명령을 실행한다.

랜섬웨어 변종 대부분은 주로 개별 사용자 디바이스에 침투하므로, 운영 체제에서 컴퓨터를 정상적으로 작동하기 위해 사용하는 파일이 아니라 사용자가 흔히 생성하고 사용하는 파일을 암호화 대상으로 선택한다. 피해자가 몸값 지불을 선택하게끔 컴퓨터가 계속 작동하게 하는 데 목적이 있습니다.

따라서 몸값을 지불하면 데이터를 돌려주겠다고 주장하지만, 진짜 목적은 파괴 및 가동 중단에 있는 것이다.

랜섬웨어는 뱅킹 트로이 목마, 피싱, DDoS, 크립토재킹 등 오랜 역사를 자랑하는 쟁쟁한 라이벌들을 제치고 오늘날 최강의 사이버 범죄 비즈니스 모델로 자리잡고 있다. 세계 각지의 기업이 랜섬웨어의 공격을 받으면서 총 피해 규모도 수십억 달러에 육박한다. 설상가상으로, 랜섬웨어는 우리의 삶 자체를 위협하기 시작했다.

정보에 근거한 현명한 대응이 절실하다. 랜섬웨어 공격이 발견되면 일분일초가 중요하다. 아무런 조치도 하지 않으면, 시간은 공격자의 편이다. 점차 더 많은 데이터와 파일이 암호화되고 더 많은 디바이스가 감염되어 결국 막대한 비용과 피해가 발생하게 된다.

기본적인 대응 전략으로는 첫째 기본 비밀번호를 바꾸는 것이 극히 초보적인 방법으로 보일 수 있으나, 중요 자산, 시스템, 인터페이스에서도 지켜지지 않을 때가 많습니다.

이 허점을 간과해서는 안 된다. 공격자가 손쉽게 침투하여 거점을 확보할 수 있기 때문이다. 기본 비밀번호는 반드시 변경하고, 인프라 전 범위를 대상으로 정기 점검을 통해 누락되거나 방치된 것이 없음을 확인한다.

둘째 가급적 다단계 인증 사용한다. 비밀번호는 가장 쉽게 훔칠 수 있는 기밀 정보 중 하나이다. 온라인에 유출된 데이터에서도 흔히 볼 수 있다.

비밀번호만 사용하는 보안은 안전하지 않다. 가급적 모든 로그인 시스템에 다단계 인증(multi-factor authentication, MFA)을 구축하여 유출된 비밀번호 또는 도용된 기본 로그인 자격증명 정보가 공격에 쓰이지 않게 한다.

◇사고 대응

탐지는 기업에서 랜섬웨어 감염 사실을 처음 발견하는 경로는 실제 상황에 따라 달라질 수 있으나, 대개는 어떤 직원이 파일에 접근할 수 없음을 깨달은 후 몸값 요구 메시지를 받거나, 특정 서비스 이용이 불가하다는 알림을 받으면서 시작한다.

공격 초기 단계에는 이미 감염된 시스템, 그리고 감염될 위험성이 큰 시스템을 모두 찾아내는 데 가장 많은 시간이 걸린다.

일차적 목표는 감염 확산을 최대한 빨리 억제하고, 감염된 시스템을 격리하여 전사적 차원의 위험 부담을 최소화하는 것이다.

이러한 노력을 통해 어쩌면 공격자가 진행 중인 암호화 프로세스를 중단시켜 해당 기업이 입을 피해를 최소화하고 데이터, 시스템, 비즈니스 운영 복원에 드는 수고도 줄일 수 있다.

또한 즉각적이면서도 정보에 근거한 체계적인 조치가 이루어져야 한다. IT 보안 팀에 알려 랜섬웨어에 맞서기 위해 마련한 사고 대응 프로세스를 시작하게 하는 것이 급선무이다.

외부 업체와 리테이너 계약을 체결했다면 이 업체도 참여시키는 것이 좋다. 그 밖에도, 회사가 영업 중인 지역의 요건에 따라, 중앙 정부 내 법 집행 기관 및 감독 기관에 연락하는 것도 고려해야 한다.