거세지는 랜섬웨어 공격, 백업으로 대비한다 (1)
상태바
거세지는 랜섬웨어 공격, 백업으로 대비한다 (1)
  • 윤현기 기자
  • 승인 2021.09.24 09:00
  • 댓글 0
이 기사를 공유합니다
기업 평판·재정 피해 갈수록 커져…백업 통해 피해 규모 줄여야

[데이터넷] 데이터의 중요성이 높아짐에 따라 데이터 보호는 기업의 주요 과제로 자리 잡았다. 이제 데이터의 손실은 기업의 생존과 직결될 뿐만 아니라 사회적 위기까지 야기할 수 있다. 하지만 폭발적으로 급증하고 있는 데이터의 양과 클라우드 컴퓨팅 등 한층 복잡해진 IT 인프라는 데이터 보호의 어려움을 가중시키고 있다. 특히 랜섬웨어 등 기업의 데이터를 노린 공격이 빈번해짐에 따라 이에 대응하기 위한 효과적인 백업 전략을 갖춰야만 한다. <편집자>

전 세계 기업들이 디지털 체력 강화에 속도를 내고 있다. 이에 산업 생태계 전반에 걸쳐 디지털 트랜스포메이션을 통한 인프라 업그레이드 바람이 거세다. 그러나 많은 기업들이 인프라 투자에는 적극적이지만 기업의 자산인 데이터 보호를 간과하는 경우가 있다.

시스템이 다운되고 데이터를 이용하지 못할 때 기업은 큰 타격을 입는다. 미국 애널리스트 업체 ESG 조사에서 기업의 57%는 비즈니스가 중단되는 다운타임(downtime)을 1시간 이상 허용할 수 없다고 답했으며, 15%는 다운타임을 전혀 용납할 수 없다고 말했다. 다운타임이 길어지면 기업은 큰 위기에 처한다. 미국 국립문서기록관리청에 따르면 10일 이상 데이터 손실을 경험한 기업의 93%가 이후 1년 내 파산 신청을 했다.

또 데이터 손실, 시스템 고장, 자연재해, 랜섬웨어 같은 우발적 또는 악의적 위협은 비즈니스를 위험에 빠뜨린다. 이 같은 위협을 빠르고 비용 효과적으로 해결하기 위해 데이터 보호에 대한 다양한 접근방식이 요구된다.

피해 커지는 랜섬웨어
랜섬웨어는 파일과 저장소를 찾아 암호화하는 악의적으로 생성된 멀웨어다. 금융기관 등 민감한 데이터를 보관하는 곳은 랜섬웨어 공격에 특히 위험하다. 랜섬웨어 피해는 꾸준히 늘어나고 있는 추세며, 언론을 통해 공개되지 않는 사례들이 많기 때문에 실제 피해는 훨씬 더 많을 것으로 추정된다.

과거 랜섬웨어 공격 유형이 배포형 이었다면 최근의 공격 유형은 해커 침입형이라고 볼 수 있다. 배포형 랜섬웨어는 이메일을 클릭 했을 경우 사용자 PC에 랜섬웨어가 침투하고, 이에 따라 PC에 연결되는 NAS와 같은 스토리지로 감염되는 사례들이 해당된다.

이러한 랜섬웨어 공격으로 인해 입는 피해 규모는 시간이 갈수록 커지고 있다. 미국 최대 송유관 업체인 콜로니얼 파이프라인은 랜섬웨어의 심각성을 알린 대표적인 사례다. 해커들은 랜섬웨어로 시스템을 공격해 콜로니얼사가 송유관 가동을 멈추면서 미국 동남부 일대 석유 공급이 중단되고, 원유 가격이 급등하기도 했다.

또 지난해 4월 미국 IT 서비스 업체 코그니전트가 ‘메이즈(Maze)’ 랜섬웨어 공격을 받아 최대 7000만 달러 대규모 손실을 입은 바 있다. 이 공격은 코그니전트가 코로나19 팬데믹 동안 재택근무를 위해 사용했던 PC와 노트북에서 직원의 작업을 지원하는 코그니전트의 시스템을 공격하면서 진행됐다.

미국 IT 관리용 솔루션 제공 업체인 ‘카세야(Kaseya)’의 IT 관리용 플랫폼 ‘VSA’ 제품이 랜섬웨어 유포 경로로 악용된 사례가 발견돼 한국인터넷진흥원(KISA) 침해대응단이 위험에 대해 공지하고 악용된 카세야 VSA 사용 중단을 권고한 바 있다.

국내에서도 대형 유통기업인 E사가 주요 시스템이 랜섬웨어에 감염돼 점포 절반이 영업이 중단된 사례가 있다. 해커는 E사에 고객 개인정보 유출을 무기로 약 450억 원을 요구했고, 랜섬웨어 감염으로 대외적인 회사 신뢰도가 크게 하락했다. 또 웹호스팅 N사의 경우 해커가 탈취한 계정 정보를 이용해 웹호스팅 모든 서버에 랜섬웨어를 설치, 랜섬웨어 감염으로 웹호스팅 고객사에도 막대한 피해를 입혔으며, 회사 매출을 상회하는 몸값 요구로 회사가 파산한 사례다.

E사와 N사의 경우 백업 서버까지 감염되어 주요 데이터의 복구가 불가했던 것이 문제가 심각해진 원인이었으며, 이는 백업된 데이터 보호 및 보안에 취약한 백업 서버에 대한 보안 전략의 중요성을 잘 보여주고 있다.

기업 재정·평판 피해
특히 금융 서비스 산업은 랜섬웨어 공격의 매력적인 대상이다. 개인 및 상업 금융, 은행, 거래 및 연금 정보는 오늘날 조직이 보유하고 있는 가장 가치 있는 데이터 중 일부다. 금융 서비스 산업이 시스템을 적절하게 보호하고 보호하기 위한 이해관계가 엄청나게 복잡하고 높다.

그래서 금융업에서의 데이터 보호 실패는 명백한 재정적 영향 외에도, 회사의 기업 평판에 돌이킬 수 없고 측정할 수 없는 피해를 입힐 수 있다. 즉 신뢰를 무너뜨리고 고객 기반을 잠식하며 향후 급격한 성장 하락이 발생할 수 있다.

랜섬웨어에 대한 위협은 비트코인과 같은 암호화폐의 성장 및 활성화에 따라 세계적 대유행처럼 늘어났다. 이러한 증가는 개인 IT 네트워크에 대한 제어가 약하고, 사용자가 코로나19를 주제로 한 랜섬웨어 유인 이메일을 클릭할 가능성이 높아짐에 따라 발생한다.

국내에서도 랜섬웨어에 대한 피해 사례가 급격하고 늘어나고 있어 주의가 필요하다. 주요 운영 시스템이 중단되면 금융기관은 손이 묶이고 대고객 기능을 상실하게 된다. 사이브 시큐리티 벤처스(Cyber Security Ventures)의 보고서에 따르면 2019년에는 14초마다 한 조직이 랜섬웨어의 피해를 입었고, 2021년에는 글로벌 랜섬웨어 피해 비용이 200억 달러에 도달할 것으로 예상된다.

2018년 중반에 평균 랜섬웨어 지불액은 4만1198달러였다. 그러나 2019년 말에 그 가격은 8만4166달러로 1년 새 두 배이상 뛰었다. 이처럼 랜섬웨어를 심각하게 받아들이지 않으면 그 피해를 고스란히 떠안게 된다.

랜섬웨어에 따른 실제 비용(자료: 빔 소프트웨어)
랜섬웨어에 따른 실제 비용(자료: 빔 소프트웨어)

감염 여부 즉시 파악 힘들어
랜섬웨어는 피싱 이메일, 크랙소프트웨어와 같이 비정상적인 경로를 통해 얻은 파일들을 통해 감염되고, 특정 타깃 폴더나 디스크를 즉시 암호화하거나 일정 기간 이후에 암호화하는 형태를 취하고 있기 때문에 즉각적으로 감염 여부를 파악하기가 힘들다. 그렇기에 랜섬웨어에 감염 확률을 최대한 낮추려면 다음과 같은 사안들이 권장된다.

- 외부에서 온 메일이나 링크가 걸려있는 내용은 URL을 확인 후 클릭
- 메일에 첨부된 파일은 직접 열지 않고 메일의 출처와 내용을 정확히 확인 후 열기
- 토렌트와 같은 불법적인 사이트 접근 차단
- 확인되지 않은 압축 파일 및 실행 파일 다운로드 금지
- 주요 관리자 계정에 대한 주기적인 패스워드 변경
- 중요 데이터에 대한 백업이 정상적으로 이뤄지고 있는지 주기적인 확인
- 주기적인 복구 테스트로 백업된 데이터의 정합성 확인
- 백업된 데이터를 격리된 장소에 추가 백업해 보관

정기적인 다중 백업 필요
랜섬웨어 공격은 점점 더 증가하고 피해 규모도 커지고 있다. 올해 들어 더 정교하고 표적화된 공격이 늘어날 것이라는 전문가들의 의견은 일반화되고 있다. 기업과 조직들은 비즈니스에서 랜섬웨어를 방지, 억제, 복구할 수 있도록 IT 보안에 백업 및 복구를 같이 고민해야 한다.

예방 전략을 통해 랜섬웨어 피해를 최소화하고 대비할 수 있다. 방화벽, 이메일 및 스팸 필터, 멀웨어 방지 엔드포인트 보호 소프트웨어, 사용자 교육을 비롯한 여러 레이어가 첫 번째 방어선이 돼야 한다.

특히 최근에는 다양한 클라우드 플랫폼을 채택하고 분산 데이터센터, 하이브리드 클라우드, 여러 스토리지 및 데이터 공급 기업 사용이 증가하면서 IT 복잡성이 증가해 IT 보안을 보장하기 어려워지고 있다. 이에 업계에서는 다음과 같은 백업·복구 전략을 통해 기업들이 랜섬웨어에 대비할 것을 당부한다.

  • 정기적 백업 실행: 랜섬웨어 공격으로 인한 피해를 최소화하고 RPO(복구 시점 목표)를 줄일 수 있다. 이를 통해 비즈니스에 미치는 영향을 최소화하고 잠재적인 데이터 손실을 예방할 수 있다.
  • 여러 위치에 백업 저장: 소위 3-2-1 원칙으로 불리는 최소 두 가지 유형의 미디어(예: 로컬 디스크 및 퍼블릭 클라우드), 3개 이상의 데이터 복사본, 그중 하나는 오프사이트 및 오프라인에 저장하는 것이 좋다. 랜섬웨어는 일반적으로 직접 액세스할 수 있는 파일과 데이터만 암호화할 수 있기 때문에 데이터 백업 복사본을 오프라인 위치에 보관하면 해커가 데이터 복사본을 캡처하기 더 어려워진다.
  • 백업 플랫폼 보호: 랜섬웨어는 종종 백업 플랫폼 운영체제와 데이터 저장소를 목표로 삼고 암호화하는 경우가 있다. 백업본이 공격당하면 피해가 더 커지기 때문에, 멀웨어로부터 보호되고 침입 탐지 시스템이 내장된 백업 솔루션이 필요하다. 강화된 시스템은 다른 백업 환경을 복원하는 데 사용되므로 네트워크 보호를 더욱 향상시키는 효과가 있다.
  • 백업 솔루션 통합: 클라우드 및 SaaS 제공기업은 내장형 데이터 보호를 추가 기능으로 제공하고 있으며 많은 데이터 보호 기업들이 특정 환경이나 특정 워크로드 보호에 특화돼 있다. 그러나 이는 IT 복잡성을 가중시켜 일관적 혹은 포괄적인 백업 정책 시행을 어렵게 만들 수 있다.
  • 데이터 가시성: 베리타스 조사에 따르면 기업은 비즈니스 데이터의 절반 이상(52%)을 파악하지 못하고 있다. 기업에서 보유하고 있는 데이터와 위치를 이해해야 효과적이고 비용 효율적인 백업 및 복구 전략 수립이 가능하다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
윤현기 기자
윤현기 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사