“랜섬웨어, 몸값의 딜레마”
상태바
“랜섬웨어, 몸값의 딜레마”
  • 김선애 기자
  • 승인 2021.05.29 09:00
  • 댓글 0
이 기사를 공유합니다

몸값 지불하면 지하세계 성장 시켜 vs 지불 안하면 비즈니스 어려워
사이버 복원력 확보해 비즈니스 연속성 지키며 랜섬웨어 회복해야

[데이터넷] 랜섬웨어 대응의 상반된 사례가 등장했다. 미국 송유관 기업 콜로니얼 파이프라인이 500만달러를 지급하고 공격자와 타협한 반면, 보험회사 악사는 범죄자에게 돈을 주지 않겠다고 선언했다. 악사는 5월 초 프랑스 기업이 랜섬웨어 공격을 당해 범죄자에게 돈을 지불했을 때 보상해주지 않겠다고 밝혔다. 그 후 악사는 랜섬웨어 공격을 받아 아시아 사무소들이 마비됐지만 자신들의 원칙을 지키기로 한 것으로 알려진다.

악사가 공격자에게 돈을 주지 않기로 결정한 것은 보험사로서 당연한 결정이라고 생각할 수 있다. 미국 사이버 보험으로 인해 보험업계가 지불한 금액이 지난 한 해 22% 증가했다. 사이버 공격 피해에 대비하기 위해 사이버 보험 상품을 가입해야 한다고 영업해 왔던 보험사들은 사이버 보험에 대해 다시 한 번 생각해 봐야 할 상황이 된 것이다.

악사의 결정으로 과연 기업들이 랜섬웨어 공격자들에게 돈을 지불하는 것을 중단하게 될 지 아직은 모르지만, 공격을 당하면 돈을 지불하고 해결하려는 피해자를 완전히 막을 수는 없을 것으로 보인다. 랜섬웨어 공격자들은 자신들과 타협하지 않고 피해 기업이 스스로 해결 할 때 드는 금액보다 낮은 금액을 몸값으로 요구한다. 피해 기업은 복구에 드는 시간과 비용, 그 동안 비즈니스 중단에 따른 피해, 기업 신뢰도와 주가 영향 등을 고려해 돈을 지불하게 된다. 불행히도 돈을 받고 복구 툴을 받지만 이 툴이 온전히 작동한다는 보장은 없으며, 한 번 취약점에 노출된 기업은 언제든 다시 공격 당할 수 있다.

천문학적 규모 랜섬웨어 시장

최근 랜섬웨어는 지하시장에서 서비스 모델인 RaaS로 자리잡고 있다. 랜섬웨어를 개발하고 배포하는 운영자, 공격하려는 자, 공격자와 운영자를 연결해주는 브로커들이 이해관계를 같이한다. 운영자들은 랜섬웨어 공격도구를 판매하고 공격을 대행해주기도 하며, 랜섬웨어 공격 전 데이터를 훔치고 이를 공개할 블로그도 관리한다. 카스퍼스키에 따르면 랜섬웨어 운영자는 수익의 20~40%를 받고 있으며, 랜섬웨어 소스코드는 300달러에서 5000달러까지 다양하다.

랜섬웨어 생태계에 취업난을 겪는 사람들이나 은퇴자들도 참여한다는 주장도 있다. 파이어아이는 코로나19로 취업을 하지 못하는 사람들이나 퇴직한 IT 전문가가 생계 수단으로 해킹을 선택할 수 있다고 설명한다.

다크웹은 일감을 구하기 쉬우며, 악성코드 작성, 경쟁 서비스 디도스 공격 의뢰까지 다양하다. 서비스형 범죄(CaaS)가 일상화되면서 해킹 전문 지식 없이도 사이버 범죄에 가담할 수 있으며, 검색으로 필요한 공격 도구와 노하우를 찾을 수 있고 저렴한 비용으로 이용할 수 있다.

성공한 랜섬웨어 공격 집단은 천문학적인 수익을 얻고 있으며, 자신들의 공격 방식이 공개돼 성공률이 떨어지면 해체하고, 다른 전술·전략 및 공격도구를 이용해 또 다시 공격을 이어간다. 이들은 더 많은 수익을 얻을 수 있는 타깃 맞춤형 공 격을 진행하며, 특히 국가 주요 시설과 제조기업, 의료 기관이 중요한 목표가 된다.

제조·생산망은 특히 랜섬웨어 공격에 취약하다. 보안보다 가용성이 우선인 생산망은 잘 알려진 보안 취약점 패치조차 소극적이다. 생산망 내에 어떤 설비가 어떻게 연결 돼있는지 알지 못하며, 외부와 알려지지 않은 불법 통 신을 하는 기기도 수없이 발견되는데도 이를 차단했을 때 어떤 문제가 발생할지 몰라 즉시 조치하지 못한다.

생산시설은 최근 스마트팩토리 전환 붐이 불면서 IoT·클라우드·엣지를 도입하고 외부와 통신을 적극적으로 벌이고 있는데, 보안에는 충분한 투자를 하지 못하는 상황이다. 공격을 당하고 있는데도 모르고 있을 가능성이 매우 높으며, 한 번 공격당한 후 반복적으로 다시 당할 가능성도 높다.

한 회사에서 발생한 피해가 다른 회사까지 이어질 수 도 있다. ‘마케토’라는 공격조직은 일본 건설기계 제조 업체 코마츠에 대한 랜섬웨어 공격을 감행한 후 기밀정 보, 직원 개인정보, 고객과 파트너사 관련 정보를 경쟁 사에게 보냈다. 이로 인해 코마츠 뿐 아니라 파트너사· 관계사의 정보까지 유출되는 피해를 입게 됐다.

▲레빌(REvil) 랜섬웨어 공격 빈도(자료: 카스퍼스키)
▲레빌(REvil) 랜섬웨어 공격 빈도(자료: 카스퍼스키)

피해 조직 보안 수준 파악하며 공격 이어가

랜섬웨어 공격자들이 높은 몸값을 얻을 수 있는 조직 만을 노리는 것은 물론 아니다 보안에 소홀한 중견·중 소기업과 개인·소호 사업자도 언제든 먹잇감이 된다. 특히 보안 조직이 충분히 준비되지 않았거나 보안관리가 소홀한 기업들, 보안담당자가 근무하지 않는 퇴근 후 혹은 주말 등이 위험하다.

국내에서 자주 발생하는 랜섬웨어 공격 사례는 AD서버를 감염시켜 AD에 연결된 기기를 몰래 감염시키고, 보안 담당자가 근무하지 않는 주말 저녁 혹은 새벽 시간 에 일시에 공격을 시작해 대응을 어렵게 했다. AD 서버 한 대만 감염시킨 것이 아니라 여러 대를 감염시켜 서로 공격하게 했기 때문에 시스템 전체를 다운시키고 치료 하지 않으면 안 되도록 설계한 경우도 있다. 공유폴더를 감염시키면 한 번에 전체 시스템을 다운시킬 수 있다.

랜섬웨어는 주로 손상된 RDP 액세스, 피싱, 취약점 공격으로 배포되며, 위험도가 낮은 시스템부터 침투해 들어가며 해당 조직의 대응 속도와 방법을 파악한다. 위험도가 낮은 시스템으로 잠입한 후 공격도구를 즉시 드롭하지 않고 공격 행위가 차단되는지 살펴본다. 차단되지 않으면 보안 수준이 높지 않은 시스템이라고 판단하고 이 시스템에서 더 높은 권한을 획득할 수 있는 방법을 찾아 이동한다.

이동한 시스템에서도 공격 행위가 차단되지 않으면 더 높은 권한을 획득하고 더 중요한 시스템 혹은 더 중 요한 데이터를 가진 관계사·파트너로 확장해나간다. 공격을 진행하면서 해당 기업의 보안 상태를 평가하고, 공격을 당했을 때 조직이 어떻게 대응할지 예측하면서 몸값의 수준을 판단한다.

이들은 난독화하거나 파일 없는 멀웨어를 이용해 보 안 솔루션을 우회하며, 서로 다른 기기의 데이터를 침해 해 공격이 탐지된다 해도 해당 기기에 설치된 보안 솔루션으로는 침해 시도를 차단하지 못하도록 해 공격을 이 어갈 수 있는 시간을 벌어가기도 한다.

파이어아이가 분석한 UNC2529그룹의 공격 사례는 50여개의 도메인을 이용해 다단계 위협 공격을 진행했으며, 이들이 난독화와 파일 없는 멀웨어를 광범위하게 사용해 탐지를 어렵게 한다.

이들은 미국 냉난방 서비스 회사 도메인을 탈취해 피싱 공격에 사용했으며, 전자제품 회사, 금융기관, 보험 회사, IT 서비스 조직 등 기업별로 각기 다른 회신 또는 승인 등의 피싱 이메일을 이용해 맞춤형 피싱 공격을 진 행한다. 이 공격이 데이터 탈취, 시스템 장애와 파괴, 랜섬웨어, 디도스 등의 피해로 이어질 수 있으며, 피해 기관을 발판으로 협력하는 다른 대기업, 주요 시설로 공격 범위를 확장해 갈 수 있다.

협상의 달인, 랜섬웨어 공격자

랜섬웨어 공격을 당했을 때 절대 돈을 주어서는 안된다고 정부와 보안 전문가들은 강조한다. 공격자에게 돈을 주면 이것이 다시 지하시장의 랜섬웨어 비즈니스를 강화하는데 사용되고 더 많은 공격자와 공격그룹을 양 성하며, 더 많은 공격이 일어나는 악순환이 이어진다.

그러나 신속하게 사업을 재개하지 않으면 생존이 위태로운 기업은 빠르게 몸값을 주고 복구하려고 한다. 실제로 랜섬웨어 공격으로 사업이 중단되고 고객과 파 트너에게 큰 피해를 입히며, GDPR 등 규제준수 위반으로 벌금을 내는 모든 비용을 계산하면, 몸값이 훨씬 싸다. 공격자들도 이를 파악하고 있다.

가장 완벽한 방법은 공격을 당하지 않는 것인데, 완벽한 사이버 방어는 불가능한 일이다. 공격자들은 어떻게 해서든 침투 지점을 찾아내며, 긴 시간에 걸쳐 공격 인프라를 구축하고 적당한 시기에 공격을 진행한다. 보안 시스템과 정책을 우회하고, 사용자를 속이며, 한 번 탐지되면 다른 시스템에서 다시 시도하는 것을 반복한다. ‘인디언 기우제’처럼 성공할 때까지 공격 한다.

사이버 복원력으로 랜섬웨어 피해 최소화

이러한 공격으로부터 비즈니스를 보호하기 위해서는 사이버 복원력을 갖춰야 한다. 공격 전 발생가능한 위협을 파악하고 대응책을 마련하며, 침투를 시도하는 공격자를 신속하게 탐지해 차단하고, 전사 시스템과 애플리케이션에서 진행되고 있는 이상행위를 감지해 차단·격리한다.

공격 당했을 때 피해를 최소화할 수 있는 방법을 찾아 빠르게 결단하고 조치해 신속하게 비즈니스를 복구할 수 있도록 하면서 다른 시스템으로 감염이 번지는지 찾아본다. 공격 대응 완료 후 공격 전 과정을 꼼꼼하게 분 석해 대응책을 마련하고 추가·확장 가능성을 낮춘다.

자신의 조직에 맞는 보안 전략을 수립하고 이행하 며, 필요한 보안 시스템을 구축하고 보안조직의 책임 과 권한을 강화하는 한편, 전 임직원에 대한 보안인식 교육과 모의훈련을 진행한다. 보안 전문조직을 통한 매니지드 보안 서비스를 이용하는 것도 좋은 대안이 될 수 있다.

랜섬웨어 대응을 위한 정부와 민간 전문기업들의 협력도 필요하다. 한국정보보호산업협회는 ‘민‧관 합동 랜섬웨어대응 협의체’를 구성하고 랜섬웨어 대응에 필요한 인식 제고, 관련 대응 기술 개발과 홍보, 대국민 캠페인 등의 노력을 진행하고 있다. 특히 이들은 랜섬웨어 대응 서비스 모델 개발을 통해 중소기업도 랜섬웨어와 지능적인 공격에 효과적으로 대응할 수 있는 대안을 제안한다.

한편 과학기술정보통신부는 랜섬웨어 대응 지원반을 설치·운영한다. 정보보호네트워크정책관을 총괄로 해 24시간 신고 접수·분석 및 피해 복구를 위한 지원반으로 한국인터넷진흥원 내 인터넷침해대응센터(KISC)에 설치한다.

과기정통부는 랜섬웨어 피해예방을 위한 주요 대응방안으로 ▲최신버전 소프트웨어(SW) 사용 및 보안 업데이트 적용 ▲출처가 불명확한 이메일과 URL 링크 클릭 주의 ▲파일 공유 사이트 등에서 파일 다운로드 주의 ▲중요한 자료는 정기적으로 백업 등을 권고한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.