본지가 매년 진행하는 ‘정보보안 담당자 대상 설문조사 2017’에서 정보보안 담당자들은 사이버 공격의 심각성에 동의하면서도, 공격의 배후에 ‘북한’이 있다고 단정하는 것은 위험하다고 지적했다. 또한 매번 같은 유형의 공격에 당하는 것이 더 심각한 문제라고 입을 모으며, 보안 정책을 습관적으로 지키지 않는 악습부터 고쳐야 한다고 강조했다. 이번 설문조사는 12월 1일부터 19일까지 진행됐으며, 총 269명이 응답했다.<편집자>
업무 관련 이메일 피해 가장 많아
2016년 보안 시장을 한해를 뜨겁게 달군 것 중 하나가 랜섬웨어이다. 랜섬웨어 공격이 일반 사용자뿐 아니라 기업에까지 막대한 피해를 입혔다. 업무와 연관된 메일로 위장해 유포된 록키 랜섬웨어와 유명 인터넷 커뮤니티의 광고를 통해 유포된 크립트엑스엑스엑스는 국내에 가장 많은 피해를 입힌 공격으로 꼽힌다.
설문에 응답한 보안 담당자의 절반인 50.6%가 자신이 속한 조직이 랜섬웨어 공격으로 피해를 입었다고 답했으며, 24.1%는 공격이 있었지만, 피해는 없었다고 답했고, 공격 시도가 없었다는 응답은 20.3%였다.
공격 시도가 있었다는 응답 중 57.8%는 이메일을 통한 공격이었으며, 15.6%는 웹사이트를 통한 감염, 17.8%는 웹과 메일을 통해 많은 공격이 있었다고 답했다. 8.9%는 어떤 경로로 감염됐는지 파악하지 못했다고 답했다.
이메일을 통한 감염은 주로 업무와 관련된 내용으로 위장한 것이었다. 거래처 계정으로 발송된 메일에 첨부파일을 열었다가 감염됐으며, 내부 사용자가 악성코드에 감염돼 직원들에게 랜섬웨어가 첨부된 악성코드를 발송해 대거 감염된 사례도 있었다.
웹을 통한 공격은 뉴스 사이트에 방문했다가 감염된 사례, 인터넷에서 자료를 다운받았다가 감염된 사례 등이 있었다. 어떤 피해자는 업무에 활용할 자료를 다운받았는데, 백신에서 오탐을 일으킨다며 백신을 비활성화 하라는 안내문을 보고 백신을 껐다가 감염된 사례도 있었다.
랜섬웨어 피해를 입었다는 응답자 중 54.5%는 데이터를 복구하지 못해 포기했다고 답했으며, 30.3%는 백업 데이터가 있어 복구할 수 있었다고 답했다. PC에 중요 데이터가 없었다는 응답이 6.1%였으며, 9.1%는 복구업체를 통해 복구했다고 응답했다.
86.2% “랜섬웨어 피해 입어도 돈 주어서는 안돼”
보안 전문가들은 랜섬웨어 피해를 입었다 해도 공격자에게 돈을 주어서는 안된다고 강조하지만, 비즈니스 크리티컬한 데이터를 유실했다면 어쩔 수 없이 돈을 줄 수밖에 없다. 또한 랜섬웨어 공격이 성행하면서 일부 HDD 복구업체들이 수수료를 받고 공격자에게 비트코인을 대신 송금해주는 방식으로 복구 서비스를 제공한다. 이는 공격자의 수익성을 더욱 높여주는 결과로 랜섬웨어 공격을 더욱 늘으나게 만드는 요인이 된다.
보안 담당자들은 “비용을 지불하면 공격이 더 극성을 부릴 것이므로, 데이터를 포기하더라도 비용을 지불해서는 안된다”고 답했다. 응답자의 86.2%는 돈을 보내주는 것은 테러를 조장하는 행위라는데 의견을 모았으며, 특히 복구업체에 비트코인 송금 대행을 맡기는 것은 신뢰할 수 없다는 의견도제기했다.
13.8%의 응답자는 “비즈니스에 막대한 영향을 준다면 불가피하게 비용을 들여 복구해야 할 것”이라는 의견을 제시해 공격자에게 돈을 주는 것은 극히 제한적인 경우라는 의견을 피력했다.
랜섬웨어가 창궐하면서 랜섬웨어 방어 전용 솔루션도 경쟁적으로 쏟아져나왔지만, 응답 기관 중 랜섬웨어 방어 전용 제품을 구입한 곳은 5.3%에 불과했다. 68.4%는 백신과 APT 방어 솔루션으로 대응한다고 답했으며, 7.0%는 백업 솔루션 도입, 8.8%는 망분리와 문서중앙화 도입을 들었다.
랜섬웨어 방어를 위한 전용 솔루션이 아니라 APT 방어 솔루션을 선호하는 이유는, 랜섬웨어도 악성코드를 통해 진행되기 때문에 악성코드를 탐지·차단하는 제품을 통해 보안 수준을 높이고자 하는 것으로 파악된다. 또한 랜섬웨어가 APT 공격과 마찬가지로 이메일, 웹을 통해 유입되며, 신변종 악성코드를 이용하기 때문에 APT 방어 솔루션이 더 효과적이라고 판단하는 것으로 분석된다.
랜섬웨어 방어를 위해 임직원 보안 교육을 철저히하고, 발견된 공격은 유관기관에 신고하며, 주기적인 백업으로 데이터를 보호하는 등의 일련의 정보보안 프로세스가 마련돼야 한다는 의견도 다수 제시됐다.
