“상시 점검으로 진화하는 랜섬웨어 대응”
상태바
“상시 점검으로 진화하는 랜섬웨어 대응”
  • 김선애 기자
  • 승인 2021.08.02 08:00
  • 댓글 0
이 기사를 공유합니다

KISA “랜섬웨어 공격자, 침투부터 공격 실행까지 1년여 시간 걸려”
“중요 서버·PC 상시점검으로 진행중인 공격 지능적으로 차단해야”
공격 당했을 때 KISA 신고해 랜섬웨어 추가 공격 대응해야

[데이터넷] 카세야 랜섬웨어 공격은 공급망을 이용해 더 쉽게, 더 대규모로 공격이 진행될 수 있었다. 이 처럼 공급망을 이용한 랜섬웨어 공격 빈도가 높아지고 있다.

한국인터넷진흥원(KISA)이 설명한 공급망 침투를 통한 랜섬웨어 확산 시나리오를 소개하면 공격자가 업데이트 서버 파일을 변조하고, 관리자 PC에 변조된 파일을 다운로드시켜 악성코드에 감염시킨다. 그리고 패치와 업데이트를 관리하는 중앙관리 솔루션으로 침투해 랜섬웨어를 배포·실행한다.

관리자 PC를 침투해 랜섬웨어를 유포하는 사례도 자주 발생한다. 악성메일을 이용해 관리자를 감염시킨 후 AD 서버에 침투해 AD 서버를 통해 랜섬웨어가 배포되도록 하는 사례다.

웹서버를 통한 랜섬웨어도 대규모 유포가 가능하다. 취약점이 있는 공개된 웹 게시판이나 취약한 OS를 사용하는 경우, 혹은 공용 패스워드를 사용하는 서버들의 ID·PW를 침 경우 랜섬웨어 감염과 유포가 쉽게 이뤄질 수 있다.

▲공급망을 이용해 유포되는 랜섬웨어(자료: KISA)
▲공급망을 이용해 유포되는 랜섬웨어(자료: KISA)

랜섬웨어 공격 전 발견할 시간 충분

랜섬웨어 공격이 쉽게, 대규모로 진행되는 것처럼 보이지만, 실제 공격자가 침투를 시도하고 공격을 실행하기까지 꽤 오랜 시간이 걸린다. 공격자들은 목표 조직을 오랜 기간 탐색한 후 공격 효과를 극대화할 수 있는 시나리오를 짜고, 조심스럽게 침투한다. 중요 서버를 장악하고 데이터를 충분히 확보하기 전까지 보안 탐지에 걸리지 않도록 조심스럽게 행동하다가 공격 시점에 맞춰 일제히 장악한 시스템을 중단시키고 데이터를 암호화한다.

즉 내부 시스템에서 랜섬웨어 공격 행위를 발견하기까지 시간의 여유가 있다는 뜻이다. KISA는 이 점을 강조하며 “상시 점검 체계를 갖추는 것이 무엇보다 중요하다”고 역설했다.

이재광 KISA 종합분석팀장은 “최근 랜섬웨어는 침투 즉시 공격하지 않고, 대규모 확산을 위해 상당한 시간과 노력을 들인다. 한 기업의 경우 공격자가 최초 침투 후 내부이동을 하면서 거점을 확보하고 공격을 실행하기까지 1년 이상 걸린 경우도 있었다”며 “상시적인 점검과 예방, 보안 수칙 준수, 모의해킹 및 훈련과 교육 등의 노력을 통해 랜섬웨어 피해를 예방할 수 있다”고 강조했다.

다중 협박 일삼는 랜섬웨어

랜섬웨어가 대규모화·지능화되고 있으며, 피해 시 높은 몸값을 지불할 수 있는 제조업에 집중되고 있다. 올해 상반기 발생한 랜섬웨어 중 34%가 제조업을 대상으로 한 것이었으며, 지난해 28% 보다 훨씬 증가한 수치다. 제조업 뿐 아니라 해운업, 서비스업 등 업종을 불문하고 다양한 피해를 일으키고 있으며, 사회기반시설, 생활 필수 시설로 확대되고 있다.

랜섬웨어는 데이터를 유출한 후 시스템과 데이터를 중단·암호화하고 디도스 공격까지 병행하는 다중협박을 일삼으며, 돈을 주고 복구했다 해도 복호화 키가 제대로 작동한다는 보장이 없다. 또 한 번 침투한 공격자는 네트워크 내 여러 곳에 공격거점을 확보한 상태이므로 반복적으로 공격할 가능성이 매우 높다.

랜섬웨어 공격 사레별 피해 원인을 살펴보면 첫번째 침투에 가장 많이 사용되는 악성메일을 거르지 못했다는 것이다. 그러나 악성메일은 정상적인 내용으로, 업무와 연관된 것으로 위장하기 때문에 악성 여부를 쉽게 판단하지 못한다.

중요한 관리자 PC와 서버가 망분리 되어있지 않거나 망분리 정책을 제대로 지키지 않은 경우, 동일한 관리자 계정으로 여러 서버에 동시에 사용하는 경우, 취약한 OS·소프트웨어를 사용하고 패치하지 않은 경우, 중요 서버, 관리자 PC 등의 보안 점검을 상시 진행하지 않는 경우 등을 들 수 있다.

특히 대규모 랜섬웨어 공격이 진행되는 AD 서버, 업데이트 서버, 중앙관리 서버와 관리자 PC는 철저한 보안 정책에 따라 보호해야 하는데, 인터넷에 무단으로 연결돼 있거나 취약한 SW를 사용하는 경우가 많다.

정확한 원인 분석으로 추가 공격 막아야

랜섬웨어 피해 예방을 위해 백업을 하는 것도 중요하지만, 공격자들은 백업 데이터를 삭제하거나 백업 서버를 파괴한 후 공격을 시작하기 때문에 백업에만 의지하는 것은 안전하지 않다. 안전하게 백업했다 해도 복구에 상당한 시간이 걸리고, 완벽하게 복구되지 않는 경우도 있다.

무엇보다 중요한 사항이 랜섬웨어 원인을 분석하는 것이다. 어떤 경로로 침투해서 어떤 데이터와 시스템을 가져갔고, 향후 다시 공격을 한다면 어떻게 진행될 것인지 파악하고 미리 대응해야 한다. 이를 위해 피해입은 서버와 PC를 포맷하거나 제거하지 말고 네트워크에서 격리해 보존해 대응조직이 분석할 수 있는 충분한 증거를 마련해야 한다.

이재광 팀장은 “랜섬웨어 피해 입은 PC를 포맷하면 공격에 대한 증거가 모두 사라지기 때문에 향후 대응 전략을 마련할 수 없다. 반드시 피해 입은 기기를 격리해 두어야 향후 공격에 대응할 수 있다”며 “한 번 공격을 당하면 공격자가 네트워크를 모두 파악하고 취약점을 알고 있는 상태라고 봐야 한다. 다른 공격을 진행하기도 쉽다는 뜻이므로, 추가 공격에 대응하기 위해 반드시 공격받은 시스템을 보존해야 한다”고 설명했다.

한편 정부는 랜섬웨어 피해 예방을 위해 개인 대상 내PC 돌보미 서비스를 제공하고 있으며, 중소기업을 위한 홈페이지 보안 솔루션과 백신을 무료로 제공하고 있다. 또 기업에서 쉽게 활용할 수 있는 보안 공지와 기술문서를 배포하고, 유관기관 및 민간 기업과 협력해 사이버 위협에 즉시 대응할 수 있는 체계를 갖추고 있다.

더불어 전 세계 침해대응조직과 연대해 랜섬웨어 공격 동향 파악, 대응책 마련에 나서고 있으며, 랜섬웨어 공격조직을 추적·검거할 수 있도록 수사공조에도 적극 나서고 있다.

이재광 팀장은 “랜섬웨어 피해를 입었을 때 KISA 등 관계기관에 연락하는 것이 전 사회적으로, 전 세계적으로 확산되는 랜섬웨어 피해 예방에 도움을 주는 일이다. 관계기관에서 랜섬웨어 공격 정보를 분석하고 인텔리전스를 확보할 수 있어 한층 더 확실한 랜섬웨어 대응이 가능하다”고 강조했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.