[데이터넷] 최근 주요 글로벌 제조업체가 랜섬웨어 공격에 피해를 입은 사례가 또 다시 일어났다. 벨기에의 대형 항공기 부품업체인 ASCO는 일주일 넘게 생산이 중단되며 막대한 피해액을 기록하고 있다. ASCO가 악성코드 공격으로 동결된 중요 시스템을 복구하기 위해 고군분투하는 동안 거의 1000여명의 직원들이 유급 휴가를 떠나야만 했다.
세계에서 가장 악명 높은 멀웨어 위협에 제대로 대처하지 못하고 있는 수많은 기업들은 ASCO의 뼈아픈 사례에 주목해야 할 것이다. 이번 사고는 사이버 범죄 조직과 공공 및 민간 영역의 수많은 목표물 간 끝나지 않는 줄다리기를 보여주는 대표적인 사례이다.
버라이즌이 발표한 ‘2019 데이터 침해 보고서’를 비롯한 다양한 연구 보고서에서 나타난 바와 같이 랜섬웨어는 가장 널리 퍼져 있는 악명 높은 멀웨어 중 하나이다. 일반적으로 랜섬웨어는 방화벽으로 보호된 사용자가 무방비한 상태로 피싱 메일의 악성 링크나 첨부 파일을 클릭할 때 대상 시스템의 모든 파일을 몰래 암호화하고, 이를 다시 해제하는 것에 대한 대가를 요구하는 방식으로 이뤄진다.
기업 위협 최대 요인으로 등극
상당수의 변종 랜섬웨어는 네트워크 전반으로 확산돼 백업 서버를 포함한 다른 시스템을 감염시킬 수 있으며, 공격으로부터 회복할 수 있는 능력을 떨어뜨리고 더 높은 몸값을 요구한다.
제조 산업은 랜섬웨어 공격자들에게 인기 있는 표적이 됐다. 생산라인이 중단되는 경우 상당한 비용 손실이 발생하므로 운영을 정상화하기 위해 몸값을 신속하게 지불하는 경향이 있기 때문이다.
포네몬(Ponemon) 연구에 따르면 생산라인이 중단될 경우 시간당 평균 2만2000달러의 손실이 발생하며, 이 외에도 다운타임, 정상화, 계약 관련 금액, 주가 하락 등의 제반 비용 또한 막대하다.
랜섬웨어 피해를 입은 것으로 알려진 유명 기업으로는 화학/의약 거대 기업 머크(손실 금액 8억7000만달러), 미국 화학 기업 헥시온, 자동차 제조업체 르노-닛산, 미국 식음료 기업 몬델레즈(손실 금액 1억8800만달러), 대만 반도체 제조업체 TSMC(손실금액 2억5000만달러), 노르웨이 알루미늄 제조회사 노르스크 하이드로 등이 있으며, 지금 이 순간에도 새로운 희생자는 계속해서 생겨나고 있다.
랜섬웨어 공격으로 인한 다운타임은 하나 이상의 요인에 의해 더욱 확대된다.
첫째, 많은 경우에 희생자들은 그 공격에서 살아남은 파일에 대한 최신의 완전한 백업을 가지고 있지 않다.
둘째, 법 집행 당국은 일반적으로 피해자들에게 몸값을 지불하지 말 것을 권고하는데, 이는 약속한 치료법이 실현되지 않거나 절반 이상은 효과가 없어 결국 복잡하고 수동적인 복구 노력을 피할 수 없기 때문이다.
낮은 진입장벽…범죄자 수익 모델로 각광
랜섬웨어가 계속 늘어나는 이유는 랜섬웨어를 얼마나 쉽게 사용할 수 있는지를 살펴보면 알 수 있다. 기술력이 거의 없는 범죄자도 다크웹(Dark Web)에서 다양한 랜섬웨어 제품을 구입하고 임대할 수 있으며, 피싱 이메일이나 다른 전술을 통해 빠르고 싸게 배포할 수 있다.
이러한 랜섬웨어의 서비스화(as-a-Service)로 인해 피해자들은 24시간 언제나 채팅을 통해 몸값 지불을 위한 비트코인을 조달하기 위한 결제 시스템에 접속할 수 있고, 범죄 유통을 돕는 조직에서는 랜섬웨어 운영 상황과 수익을 모니터링 해주기도 한다.
시그니처 기반 안티바이러스 솔루션과 같은 기존의 멀웨어 방지 대책은 랜섬웨어의 진화 속도를 따라잡기 어려운 상황이다. 랜섬웨어 개발자들이 새로운 변형을 만들어 내는 속도와 빈도는 필연적으로 제로데이 위협을 만들어 내는데, 이러한 위협은 AV 스캐너에 일치하는 지문이 존재하지 않는다. 새롭게 생겨나는 랜섬웨어들에 대응하기 위해서는 시그니처 매칭 방식이 아닌 행동 분석을 통해 악성 프로세스를 식별하고 정지시킬 수 있어야 한다.
머신러닝과 인공지능은 이러한 특정 분야에서 도움이 되는 새로운 기술로 입증되어 엔드포인트 방어를 보다 민첩하고 빠르게 대응할 수 있게 만들고 새로운 랜섬웨어 변종에 대한 방어력 또한 향상시켰다.
사이버 범죄자들은 계속해서 랜섬웨어로 제조, 의료, 정부 등 다양한 분야를 공격할 것으로 전망된다. 이에 따른 다운타임은 수익, 주가, 일상생활에서부터 정치적 명성에 이르기까지 다양한 영역에 높은 비용 손실을 발생시킨다. 일반인들을 노리던 공격자들은 더 탐스러운 먹잇감, 즉 더 많은 자본을 가지고 있으며, 복구에 대한 압력이 높은 기업과 기관을 노리고 있다.
공격 시작 전 중지시켜야
사이버 보안의 5가지 요소(SAPAS)를 모두 충족시키는 아크로니스의 경우 ASCO를 무력화시킨 문제의 랜섬웨어로부터 이미 3년 넘게 고객을 방어해 왔다. 사이버 보안의 5가지 요소란 안전성(Safety), 접근성(Accessibility), 프라이버시(Privacy), 진본성(Authenticity), 데이터 보안성(Security of data)으로, 아크로니스는 이를 위해 AI 기반의 멀웨어 방어 시스템을 갖추고 있다.
사용하기 쉽고 효과적이며 안전한 사이버 보안 솔루션에 투자하는 것은 랜섬웨어의 위협에 대처하는 데 큰 도움이 되지만, 공격을 막기 위해 취할 수 있는 다른 조치들이 있다. 가장 간단한 단계 중 하나는 알려진 취약성이 개선되도록 운영 체제와 애플리케이션을 정기적으로 패치하는 것이다.
다른 간단한 방법은 모든 시스템을 여러 위치와 다른 유형의 스토리지에 자주 백업하는 것이다. 공격이 성공하더라도 시스템을 복구하는 데 사용할 수 있는 안전하고 신뢰할 수 있는 복사본을 확보하기 위함이다.
