[데이터넷] 지난해 발생한 ‘사상 최악의 사이버 공격’은 올해 발생할 피해에 비하면 아무것도 아닐 것으로 보인다. 사이버 공격은 늘 진화했고, 늘 역대급 피해를 발생시켰다. 사이버 공격 동향 분석을 통해 향후 발생할 공격에 미리 대응할 수 있는 방안을 생각해본다.<편집자>

2021년은 ‘랜섬웨어의 해’라고 해도 과언이 아닐 만큼 대규모 피해가 잇달아 발생했다. 특히 데이터 유출 후 랜섬웨어 공격을 하고, 유출한 데이터를 공개하겠다고 협박하면서 디도스 공격까지 벌이는 다중탈취 공격으로 전 세계 기업·기관을 괴롭혔다.

랜섬웨어 공격 건수와 피해금액은 전 세계, 전 산업군에서 모두 증가하고 있다. 사이버크라임 매거진은 2020년 전 세계에서 발생한 랜섬웨어 공격이 3억400만건에 이를 것으로 추산했으며, 이는 2019년 보다 61.8% 증가한 수치다. 2021년에는 매주 950개 기업이 피해를 입었는데, 이는 2020년에 비해 2배 증가한 수준이다. 이 매체는 2031년 전 세계 피해액이 304조원을 넘을 것으로 예상했다.

우리나라 기업들도 랜섬웨어 피해를 호소하고 있는데, 한국침해사고대응협의회가 국내 기업 CISO를 대상으로 조사한 결과, 40%의 응답자가 랜섬웨어 피해를 입었으며, 7.4%는 공격자에게 비용을 지불했다고 답했다. 응답자의 94.8%가 랜섬웨어가 비즈니스 위협이 된다고 설명하면서도 44.9%는 랜섬웨어 대응 방안을 수립하지 못했다고 털어놨다.

높아지는 랜섬웨어 위협은 기업·기관의 IT 의사결정권자와 CISO들이 모두 동의하는 바다. 사이버크라임 매거진 조사에서는 2021년 랜섬웨어 공격을 받지 않았다고 응답한 기업은 20%에 불과했으며, 2020년에는 32%였다. PwC 조사에서는 IT 담당 임원의 61%가 2022년 랜섬웨어 공격이 증가할 것으로 예상했다.

천정부지로 올라가는 랜섬머니

랜섬웨어 공격이 늘어나면서 몸값도 천정부지로 올라가고 있다. 가트너는 2021년 1분기 평균 랜섬웨어 결제액이 22만300달러였다고 분석했는데, 트렌드마이크로가 2021년 11월 발표한 보고서에서 랜섬웨어 평균 침해비용이 420만달러에 이른다. 5월 발생한 콜로니얼 파이프라인 랜섬웨어가 랜섬웨어 평균 몸값을 크게 올린 것으로 보이며, 이후 공격자들이 요구하는 랜섬머니는 엄청나게 높아졌다.

크라우드스트라이크 조사에서 몸값 상승 추세는 더 분명히 나타나는데, 2020년 평균 랜섬웨어 지불액이 110만달러에서 2021년 179만달러로 2배 가까이 뛰었다. 심지어 몸값을 지불한 조직의 96%가 추가 착취를 당해 80만달러의 피해를 추가로 입었다고 답했다. 이 조사에서 공격자들이 처음 요구한 평균 몸값은 600만 달러였다.

공격자들은 처음 요구한 몸값을 그대로 받지 못한다는 것을 알기 때문에 처음부터 몸값을 높게 부른다. 팔로알토 네트웍스 조사에 따르면 2015년부터 2019년까지 가장 높은 랜섬웨어 요구는 1500만달러였는데, 2020년에는 3000만달러로 2배 올랐다.

공격자들이 과감하게 몸값을 올리는 이유는 많은 기업들이 비즈니스 중단과 데이터 공개로 입게 되는 피해 금액보다 몸값을 주고 빠르게 복구하는게 낫다고 생각하기 때문이다. 포티넷 조사에 따르면 피해 기업의 49%가 공격을 받았을 경우 몸값을 즉시 지불한다고 답했으며, 25%는 몸값이 얼마인가에 달려있다고 답했다. 몸값을 지불한 1/4의 기업들은 전체 데이터는 아니지만 대부분의 데이터를 되찾았다고 답했다.

몸값 높은 제조시설 집중 공격

초기 랜섬웨어는 쉽게 감염시킬 수 있는 개인과 소규모 조직을 대상으로 했으나, 점차 대형 기업, 그룹사, 제조·생산시설 타깃으로 진화했으며, 특히 코로나19 이후 제조·생산시설에 가장 많은 공격이 집중됐다. SK쉴더스 조사에 따르면 2020년과 2021년 국내에서 가장 많은 공격이 발생한 산업은 2년 연속 제조업이었다.

보안에 취약해 공격이 쉬운 중소기업도 여전히 중요한 공격 대상이다. 이들은 보안투자가 약하고 보안 전문가도 충분하지 않기 때문에 사고 시 돈을 주고 해결할 가능성이 높다. 대규모 제조사에 비해 지불할 수 있는 금액은 매우 적지만, 공격자는 쉽고 빠르게, 큰 노력을 들이지 않고 수익을 얻을 수 있다.

코로나19 기간 동안 의료기관과 헬스케어 기업을 노리는 공격도 크게 늘었다. 센티넬원에 따르면 병·의원, 의료 연구시설, 헬스케어 기업 등이 공격대상이 되면서 사람들의 생명을 위협하고 있다. 많은 랜섬웨어 범죄자들은 생명을 담보로 공격활동을 하지 않는다고 공공연하게 밝히고 있지만, 실제로는 보안이 허술한 이 기관을 노리는 활동이 증가하고 있다.

2022년 랜섬웨어는 한층 더 악질적으로 진화할 것이라는 점은 모든 전문가들이 인정하는 바다. 다크트레이스는 랜섬웨어 공격자들이 클라우드 서비스 공급업체, 백업·아카이빙 공급업체를 노려 피해를 극대화할 것으로 예상했다. 아크로니스는 매니지드 서비스 기업도 중요한 타깃이라고 주목하는 한편, 그동안 공격 빈 도가 낮았던 리눅스, 맥OS를 노리는 공격도 증가하고 있다고 설명했다.

이에 대응하기 위해 해외에서는 사이버 보안 보험 상품이 다양하게 등장하고 있지만, 보험으로 해결할 수 있는 수준은 이미 넘어섰다. 공격자들은 비즈니스 중단과 데이터 유출로 인한 피해 금액, 보험이 보장할 수 있는 보상금과 향후 보험료 상승 예상액을 계산해 몸값을 주는 것이 더 나은 수준으로 협상을 이끌어가기 때문에 보험에만 의지하는 것은 대안이 될 수 없다.

APT 공격 방식 따르는 랜섬웨어

랜섬웨어 공격 방법은 APT와 크게 다르지 않다. 한국인터넷진흥원(KISA)의 랜섬웨어 동향 분석 보고서에 따르면 랜섬웨어 주요 전파 경로는 악성코드를 삽입한 웹사이트, 이메일과 SNS, 시스템과 소프트웨어의 보안 취약점을 통해 전파된다.

그룹IB는 ▲RDP·VPN 등 원격접속 시스템의 취약점과 탈취한 계정 ▲피싱 ▲공개된 애플리케이션 취약점 ▲봇넷 ▲윈도우 커맨드, 자바스크립트 등이 초기 침투를 위해 사용되며, 공격의 71%가 네트워크 스캐너를 사용해 취약점을 파악했고, 57%는 코발트 스트라이크 비콘을 사용했다고 설명했다. 이외에 AD파인드, PsExec, 미미카츠, RCIone, ProcDump 등도 많이 사용했으며, 윈도우 관리도구인 파워셸을 사용해 정상 프로세스로 위장해 활동하기도 했다.

내부자를 매수해 최초 침투를 용이하게 하려는 시도도 발견됐다. 맨디언트는 락비트 2.0 랜섬웨어 공격자들이 기업의 RDP, VPN, 회사 이메일 자격증명 등 원격지에서 접근하거나 초기 침투 경로로 사용 할 수 있는 정보를 주면 수백만달러를 지급하겠다는 광고를 지하시장에 내걸었다는 사실을 공개한 바 있다. 이들은 내부자에게 랜섬웨어 악성코드를 보내 공격자가 네트워크에 원격 액세스 할 수 있도록 도와달라고 하며, 가담한 사람의 신원을 보장한다고 강조했다.

공급망 공격도 랜섬웨어 그룹이 자주 사용하는 수법이다. 특히 카세야를 이용한 랜섬웨어로 성공을 거둔 공격자들은 다양한 소프트웨어 취약점을 이용해 공격 범위를 넓히고 있는데, 다크트레이스가 분석한 한 사례의 경우, 마이크로소프트 프록시셸 취약점 패치를 제대로 하지 않아 제거되지 않은 취약점을 이용해 공격을 한 것이었다.

공격자는 이 취약점을 이용해 익스체인지 파워셸 원격명령 권한을 획득하고 피해조직에 잠입하는데 성공했다. 이후 추가 공격도구를 내려받을 때에도 내부 탐지 시스템을 우회하기 위해 의심스러운 활동을 최소화하면서 조심스럽게 공격을 진행했다.

초기 침투와 확장은 주로 보안조직의 퇴근시간 이후, 주말 시간을 이용하며, 본격적인 공격인 암호화 역시 보안에 소홀한 때에 시작해 즉각적인 대응을 어렵게 만든다.

다크트레이스 조사에 따르면 랜섬웨어 감염의 76%는 암호화 프로세스가 근무시간 후 혹은 주말에 이뤄지는 것으로 나타났다. 만일 보안조직이 근무 중이었다면 암호화가 시작됐을 때 즉시 해당 프로세스를 중단시키고 감염된 시스템을 격리해 백업 시스템으로 복구했을 것이지만, 보안조직이 근무하지 않는 시간을 이용해 효과적으로 공격을 할 수 있었다.