랜섬웨어 피해가 끊이지 않고 있다. 지난 5월 웜 형태로 퍼져나가는 워너크라이 랜섬웨어로 전 세계가 공포에 떨었으며, 우리나라에서는 웹 호스팅 기업 인터넷나야나가 랜섬웨어 피해를 입고 공격자와 13억원을 주기로 합의했다.

지능형 지속위협(APT)도 줄어들지 않고 있다. 타깃 시스템의 취약점을 찾아 집요하게 파곧는 APT는 랜섬웨어와 결합하면서 더 큰 피해를 입히고 있다. 취약점은 사람일 수도 있고, 시스템이 가진 취약점일 수도 있다.

미국 신용정보회사 에퀴팩스는 지난 3월 발견된 취약점을 이용해 공격을 당했다. 포티넷의 조사에 따르면 90%의 기업이 3년 이상 된 취약점을 갖고 있으며, 60%는 무려 10년 이상된 취약점을 갖고 있다.

포티넷이 발표한 타깃 공격 중 하나는, 무료 클라우드 서비스를 C&C 서버로 활용해 추적을 어렵게 만드는 한편, 원전 등 국내에서 뜨거운 관심을 받고 있는 내용을 위장한 HWP 문서를 이용했다.

비 멀웨어 방식 공격 증가

사이버 공격은 신변종 악성코드를 이용했지만, 2017년부터는 악성코드 형태가 아닌 방식으로 다양해지고 있다. 카본블랙이 조사한 바에 따르면 90일 동안 조직의 약 1/3이 비 멀웨어 방식 공격을 한 번 이상 당했으며, 파워쉘, WMI를 활용한 공격은 지난해 2분기 90% 이상 증가한 후 단계적으로 늘어나 4분기에는 1분기보다 33% 증가했다.

공격자들이 노리는 것은 ‘돈’이지만, 최근 발생하는 공격 중에서는 사회혼란을 일으키기 위해 진행되는 사이버테러의 성격을 갖는 것도 있으며, 정치자금을 모으기 위해 세계 금융기관을 노리기도 한다.

2016년 발생한 방글라데시 중앙은행 해킹 사고를 일으킨 라자루스 그룹이 대표적으로, 전 세계 금융기관을 해킹해 자금을 모으는 것으로 보인다. 가상화폐 거래소를 해킹하는 것도 같은 목적일 것이라는 분석이 나오며, 가상화폐 금액이 비정상적으로 치솟는 것도 사이버 공격 조직이 개입했을 가능성이 있다는 추정도 있다.

공격자들이 활동하는 지하세계는 개발조직, 공격조직, 유통조직으로 나뉘어 발전하고 있으며, 개발조직은 악성코드와 바이러스를 범죄자에게 판매하고, 고객(공격자)의 요구에 따라 수정된 버전을 고객에게 판매한다.

공격 툴과 방식을 서비스로 제공하는 비즈니스 모델(Crime as a Service)도 등장하고 있는데, 랜섬웨어 서비스(RaaS), 디도스 서비스 등이 대표적인 예이다. 이 서비스를 이용하면 사이버 공격 전문 지식이 없어도 공격을 할 수 있다.

다단계 보안으로 공격 어렵게 만들어야

타깃 공격의 정밀성은 더욱 정교해지고 다양해지고 있다. 우리나라 사용자를 타깃으로 하는 공격은 유려한 한국어로 작성되며, 특정 시기에 맞춰 제작되기 때문에 정상 여부를 판단하기 어렵다. 연말정산 시기에는 연말정산 관련 안내문으로, 인사이동 시기에는 인사 관련 메일을 보내는 등 한국 맞춤형 공격을 전개한다.

IoT 기기를 이용하는 대규모 공격도 성행하고 있다. 미라이 봇넷이 대표적인 예이며, 2017년 초에는 미라이 봇넷과 유사한 ‘브리커봇’이 발견됐다. 라드웨어에 따르면 이 봇은 IoT 기기를 영구적으로 망가뜨리는 악성 봇넷이며, IoT 기기를 이용해 대용량의 공격 트래픽을 유발시키고, 랜섬을 요구하는 한편, 공격 영향을 받는 기기를 못쓰게 만든다.

기기를 사용하지 못하게 하는 랜섬웨어 형태의 공격은 일반 사용자에게도 큰 피해를 입힐 수 있다. 값비싼 스마트 가전기기, 스마트카, 도어락을 인질로 잡거나 가정용 CCTV를 이용해 사생활을 유출하는 등의 사고가 발생할 수 있다. IoT는 기기의 종류가 많은 만큼 취약점도 많고 관리도 되지 않기 때문에 더 빠르게 웜이 전파될 수 있다.

이렇게 지능화되는 공격을 막기 위해서는 보호되지 않은 지점이 없도록 완벽한 보안 체계를 구축해야 한다. 그러나 보안에 있어서 ‘완벽’은 없다. 공격자는 교묘하게 사람을 속이고 취약점을 찾아낸다. 웜 형태의 공격은 사용자가 아무것도 하지 않아도 인터넷에 연결돼 있기만 해도 피해를 입는다.

공격 방어를 위한 최적의 방법은 다단계 보안이다. 기업이나 일반 사용자 모두 마찬가지로 여러단계의 보안 절차를 두어 공격을 어렵게 만들어야 한다. 공격을 통해 얻을 수 있는 수익보다 공격에 필요한 비용이 더 많아지면 공격은 자연스럽게 줄어들 것이다.

가장 먼저 해야 할 일은 보안 절차를 지키는 것이다. 소프트웨어, OS 보안 패치를 최신으로 유지하고, 백신을 활성화하고 실시간 감시 기능을 켜둔다. 신뢰할 수 없는 사람이 보낸 메일을 열어볼 때 주의해야 하며, 신뢰할 수 없는 웹사이트는 방문하지 않는 것이 좋다.

토렌트나 불법 P2P 사이트에서 파일을 공유하지 말아야 하며, 개인적으로 사용하는 계정과 업무에 사용하는 계정을 다르게 해야 한다. 비밀번호는 유추할 수 없는 문자·숫자 조합으로 복잡하게 만들며 정기적으로 바꾸는 것이 필요하다. 웹사이트에 무분별하게 가입하고 개인정보를 제공하는 것은 개인정보 탈취 공격에 당할 수 있으므로 조심해야 한다.

글로벌 위협 인텔리전스 공유 노력 활발

주요 사이버 범죄자들은 동유럽, 러시아, 중국 등에서 활동하고 있다고 알려졌으나 최근에는 동남아시아로 근거지를 옮겨간 조직도 늘어나고 있는 것으로 파악된다. 그러나 사이버 세계에서 국가나 지역의 경계는 그리 큰 의미가 없다.

전 세계에 흩어져있는 사이버 범죄 조직의 공격 패턴을 파악하고, 공격 정보를 공유해 방어하기 위한 노력이 글로벌하게 전개되고 있다. 가장 대표적인 조직이 FIRST로, 1990년 설립돼 전 세계 61개국 300여개 조직이 참여하고 있다.

미국에서는 오바마 대통령이 주도해 제정한 사이버보안법에 따라 민간기관도 위협정보를 공유하게 됐으며, 이 법 시행을 계기로 민간 기업이 주도하는 사이버 위협 얼라이언스(CTA)가 발족하게 됐다. CTA는 2017년 비영리법인으로 전환됐으며, 오바마 행정부에서 사이버 안보 조정관을 담당했던 마이클 다니엘을 최고관리자로 영입했다. SK인포섹이 아시아 보안기업 최초로 CTA에 제휴멤버로 가입햇으며, CTA의 주요 위원회에 참여할 수 있다.

랜섬웨어 방어를 위한 노모어랜섬은 세계 수사기관과 보안 기업들이 참여해 랜섬웨어 정보를 공유하고 수사를 통해 확보한 암호화 키를 피해자에게 무료로 제공한다. 우리나라에서는 경찰청 사이버안전국, 한국인터넷진흥원(KISA) 등이 참여하고 있다. 민간기업 중에서는 이스트시큐리티가 최초로 가입했다.

우리나라 정부가 주도하는 위협 인텔리전스도 활발하게 진행된다. KISA는국내 보안 기업들이 참여하는 C-TAS를 구성하고 국내에서 발생하는 주요 위협에 공동대응한다. 또한 시만텍, 맥아피, 시스코, IBM 등 글로벌기업도 참여하는 CAMP를 통해 글로벌 위협정보도 공유하고 있다.