미국 FBI는 2016년 1분기에 발생된 랜섬웨어 피해액이 2억900만 달러에 이른다고 밝혔다. 지난해 총 피해액은 2400만 달러였던 것에 비하면 크게 증가한 규모이다. 랜섬웨어는 위협 전망에서 가장 중요한 이슈가 되고 있으며, 포티넷의 포티가드랩 R&D팀은 매일 새로운 랜섬웨어 유형을 발견하고 있다.
랜섬웨어는 PC의 사용을 차단하는 ‘블로킹 랜섬웨어’와 개인 파일을 암호화해 돈을 요구하는 ‘크립토 랜섬웨어’의 유형이 있다. 최근에는 이 두 가지 방식을 혼합한 하이브리드 방식의 랜섬웨어인 ‘크립토 랜섬웨어’도 있는데, 해커에게 돈을 지불할 때까지 감염된 PC가 특정 인터넷 웹사이트 접속을 차단한다.
IoT 기기 타깃하는 랜섬웨어
타깃 기기도 점차 다양해지고 있다. 일부 모바일 랜섬웨어는 PC와 스마트폰을 모두 공격하며, ‘플로커(FLocker)’ 변종 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면 잠금형 랜섬웨어로, 안드로이드 스마트 TV도 감염시킬 수 있다.
가트너는 전세계 IoT에 연결된 기기가 2016년, 64억개를 넘어 2020년에는 208억개에 이를 것이라고 전망한 바 있다. 이는 그만큼 더 많은 피해가 발생될 수 있다는 것을 의미한다. 멀웨어는 점차 진화하고 있으며, PC에서 스마트 기기로의 랜섬웨어 이동은 진화의 측면에서 너무나 자연스러운 단계라고 할 수 있다. 샘샘(SamSam)과 지크립토(Zcryptor) 등 네트워크를 통한 측면 이동 방식도 점차 증가하고 있다.
이 같이 멀웨어가 진화하는 이유는 간단하다. 공격자의 요구대로 ‘돈’을 벌 수 있기 때문이다. 랜섬웨어 공격자들은 기업들과 마찬가지로 ‘비즈니스’를 하는 것이며, R&D에 상당한 금액을 재투자하고 있다.
“ICS·클라우드도 안심할 수 없다”
아직 랜섬웨어의 침해를 받지 않은 분야가 있다. 바로 산업 제어 시스템(ICS)이다. 화학제조공장, 원자력발전소, 전력발전소와 같은 산업 애플리케이션이 이에 해당된다. 아직까지 ICS 시스템에 대한 랜섬웨어 감염 피해 사례는 공식적으로 보고된 바 없다.
그러나 ICS 시스템도 멀웨어로부터 완벽하게 보호받을 수는 없다. 한 예로 2013년 이란 해커들이 미국 뉴욕 보우만가의 작은 댐의 온라인 통제 시스템에 침투해 시스템 내부를 활보했던 사실이 드러난 바 있다. 미국 최대의 전력회사인 칼파인(Calpine)도 해커들에 의해 엔지니어링 설계 정보를 탈취당한 사례가 있다.
랜섬웨어 변종은 당장은 아니더라도, 향후 몇 달 내 운영기술(OT) 환경으로 위험을 확산시킬 가능성이 높다. 이 시스템들은 잠재적으로 랜섬웨어 공격자들에게 돈을 벌어줄 ‘타깃’이 될 것이다. 원자력발전소에 대한 사고를 막기 위해 정부가 얼마나 많은 비용을 지불할지 상상이 되는가?
ICS 외에 또다른 랜섬웨어의 타깃이 바로 ‘클라우드’이다. 클라우드는 데이터를 저장하고 있기 때문에 공격자들의 ‘타깃’이 되기에 안성맞춤이다. 최근 애플은 무료 아이클라우드 계정을 기존 20Gb에서 150Gb로 업그레이드한다고 발표했다.
향후 몇 달, 몇 년 내 ‘올웨이즈 커넥티드(Always Connected)’ 세상에서 우리의 거의 모든 데이터가 실시간으로 클라우드에 저장될 것이다. API 오용 문제가 대두될 수 있으며 우리의 온라인 데이터를 암호화하여 돈을 요구하는 사이버범죄가 더욱 기승을 부릴 것이다.
“평소 데이터 보안관리 철치히 해야”
향후에도 랜섬웨어는 날로 진화해 많은 피해를 양산할 것이다. 2010년 5월, ‘브리티시 사이언티스’트는 사람 몸에 삽입된 의료 기기가 컴퓨터 바이러스에 감염될 수 있는 위험성에 대해 알린 바 있다. 랜섬웨어가 심박조율기(pacemaker) 중단을 위협하거나 의수 등의 사용을 막는 일이 발생한다면 어떻겠는가?
포티넷은 이러한 위협 상황을 예의주시하면서 감지 및 대응 방안을 향상시키고 새로운 방지 모델을 통한 카운터-메저(counter-measures)를 개발하는 등 최신 위협에 맞서 새로운 접근방식을 찾기 위해 지속적인 연구를 하고 있다.
랜섬웨어의 위협 전망 시나리오에서 데이터 백업의 중요성은 아무리 강조해도 지나치지 않다. 가장 좋은 방법은 정기적으로 데이터를 백업하는 것이며 별도의 기기에 백업을 오프라인으로 유지하는 것이다.
네트워크에 시큐리티 영역을 구분하여 한 영역에서 다른 영역으로의 감염을 차단하고, 페일오버(failover)에 대한 철저한 대비책을 마련해야 한다. 효과적인 데이터 보안 관리를 위해 평상시에 철저히 대비함으로써 데이터 손실의 위협을 최소화할 것을 권한다.
