[데이터넷] 랜섬웨어가 조직적인 범죄로 진화하고 있다. 공격자 수익률을 높이기 위해 더 쉬운 방법으로 공격하고, 피해 조직이 돈을 주지 않을 수 없도록 지능적이고 집요하게 협박 수위를 올리고 있다. 악질적인 사이버 기업 범죄로 발전하는 랜섬웨어 공격 동향을 살펴보고, 현실적인 방어 방법을 알아본다.<편집자>

위협 인텔리전스로 랜섬웨어 징후 사전 파악

랜섬웨어 공격을 선제적으로 차단하는 방법 중 하나로 위협 인텔리전스를 빼놓을 수 없다. 흔히 이해하는 위협 인텔리전스는 벤더가 전 세계에 설치한 센서 혹은 허니팟에서 공격 징후를 수집해 파악하는 것이다.

최근 위협 인텔리전스는 이보다 더 넓은 영역에서 공격 동향을 알려준다. 다크웹과 지하 포럼을 모니터링해 어떤 정보가 오가는지, 공격자들이 무엇에 관심을 갖는지 파악한다. 특히 최근에는 트위터 등 공개된 SNS를 통해서도 공격과 관련된 정보를 흘리고 있기 때문에 SNS 모니터링도 필요하다.

윤광택 레코디드퓨처 상무는 “트위터에서는 공격그룹이나 화이트해커들이 공격자 동향을 알 수 있는 중요한 단서가 포스팅된다. 공격자들은 실력 있는 개발자나 계열사를 모집하기 위해, 자신들의 활동을 홍보하기 위해 포스팅하고 있으며, 화이트해커들은 자신이 탐지한 공격 동향이나 취약점 정보를 널리 알리고자 한다. 이러한 정보를 모아서 분석하면 중요한 공격 흐름을 알 수 있다. 특히 글로벌 제조사들은 트위터에서 자사에 대한 해킹을 모의하거나 데이터를 공유하는 등의 정황을 빠르게 파악하고 싶어하며, 이러한 인텔리전스를 제공할 수 있는 서비스를 원하고 있다”고 말했다.

레코디드퓨처는 세계 최대규모 인텔리전스 서비스를 제공하는 기업으로, 과거와 현재 공격동향을 안내할 뿐만 아니라, 산업별, 지역별 인텔리전스로 고객이 원하는 정보를 제공한다. 표면웹과 다크웹, 트위터·텔레그램 등 SNS·메신저를 통해 공유되는 내용을 파악해 위협을 빠르게 식별할 수 있게 한다.

레코디드퓨처 위협 인텔리전스 모듈은 고객과 관련성이 높은 위협을 실시간으로 표시하고, 우선순위대로 작성된 위협 행위자와 멀웨어 맵을 제공한다. 랜섬웨어 지표 또는 행위 혹은 이를 사용하는 위협 행위자에 대해 식별하고 차단·경고한다. 또한 위협 헌팅 플레이북을 통해 공격을 받기 전에 네트워크 전반에서 사전에 지표를 헌팅할 수 있다.

랜섬웨어 공격자들은 데이터를 유출하고 협박을 시작하기 전에 다크웹 포럼 등에서 고객 데이터를 거래하거나 검색하는데, 레코디드퓨처 다크웹 인텔리전스는 이러한 정황을 포착하고 고객이 먼저 대응할 수 있도록 안내한다. 또는 특정 고객에 대한 공격을 모의하는 정황을 파악하고 사전에 준비할 수 있도록 돕기도 한다.

윤광택 상무는 “랜섬웨어는 표적공격과 다르지 않으며, 데이터를 공개하거나 암호화 한 데이터를 복구하지 못하도록 하면서 수익을 얻는다. 금전적인 피해를 야기할 뿐 아니라 기업 브랜드 가치를 하락시킬 수 있기 때문에 사전예방 노력을 하는 것이 중요하다”며 “공격자 입장에서 기업에 침투하기 위해 무엇을 알고 있고, 어디를 통해 진입할 수 있는지 등을 파악하고 대응할 수 있어야 한다. 이를 위해서는 포괄적이며 사용 가능한 인텔리전스가 필수이며, 레코디드퓨처가 최적의 대안이 될 것”이라고 말했다.

범죄자금 흐름 추적해 공격자 검거

범죄자금에 대한 인텔리전스로 공격그룹을 추적·검거하는데 도움을 주는 사례도 있다. 체이널리시스의 경우 AI를 이용해 범죄에 이용되는 암호화폐 지갑의 거래내역을 분석하고, 범죄자금의 흐름과 자금세탁 내역을 파악한다. 전 세계 수사기관과 공조해 범죄 추적활동도 진행하고 있다.

백용기 체이널리시스 코리아 지사장은 “체이널리시스는 법 집행기관, 규제기관 그리고 컴플라이언스 전문가가 랜섬웨어 운영자로부터 자금을 식별하고, 추적하며, 방해하거나 압수할 수 있도록 한다”며 “제재를 받고 폐쇄된 거래소로 인해 랜섬웨어 행위자가 자금을 세탁하고 현금화할 수 있는 선택지를 줄이면서 랜섬웨어 공격자의 수익을 악화시켜 공격을 이어가지 못하도록 하는 효과를 제공한다”고 설명했다.

MDR로 소규모 협력사까지 보호

랜섬웨어는 단일 벤더 기술만으로 막기 어렵기 때문에 여러 벤더 기술과 서비스를 이용해야 한다. 또 강력한 보안으로 무장된 글로벌 기업까지 속수무책으로 당하고 있기 때문에 기업·기관 내부 리소스만으로 랜섬웨어에 대응할 수 있다고 자신해서는 안 된다. 그래서 기업 규모에 관계없이 매니지드 서비스가 필요하다.

랜섬웨어 대응 기업들이 모여 활동하고 있는 국내 민간 랜섬웨어 대응 협의체 ‘KARA’가 이런 점에서 주목할만하다. KARA는 SK쉴더스, 트렌드마이크로, 지니언스, 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여하고 있는 협의체로, 랜섬웨어 사고 접수, 대응, 복구, 대책까지 원스톱 솔루션을 제공하고 있으며, 각 분야별 전문가를 지원하고 있다. 랜섬웨어 특화 솔루션, 컨설팅 도입도 추진하고 있다.

KARA를 주도하고 있는 SK쉴더스는 EDR 특화 MDR 서비스로 랜섬웨어 방어 효과를 높인다. 이 서비스는 다양한 경험을 바탕으로 한 SK쉴더스의 전문 인력이 참여해 24x7 위협 모니터링, 분석, 사고 대응, 보고 등을 지원한다.

침해사고전문대응팀 탑서트(Top-CERT)가 실제 사고 현장에서 추출한 침해사고지표(IoC), 해킹 기법 등을 반영해 선제적인 위협 판별과 체계적인 대응 체계를 제공한다.

이호석 EQST 랩 담당은 “SK쉴더스는 랜섬웨어 원스톱 서비스를 고객 맞춤형으로 고도화시켜 나가며 분기마다 발간하는 KARA 랜섬웨어 동향 보고서 발간을 통해 랜섬웨어 정보 제공 활동을 이어 나갈 예정”이라고 밝혔다.

지속적인 모니터링과 백업·복구 필수

랜섬웨어는 국가 안보를 위협할 수 있는 심각한 사이버 리스크다. 콜로니얼 파이프라인 사고에서 볼 수 있듯, 국가 중요 인프라를 마비시키면 전쟁에 버금가는 피해를 입힐 수 있다. 그래서 국가 차원의 랜섬웨어 대응이 필요하며, 전 세계가 공조하는 랜섬웨어 대응체계도 필요하다.

올해 1월 미국 주도로 국제 랜섬웨어 대응 태스크포스(ICRTF)가 설립됐으며, 랜섬웨어 정보와 인텔리전스 공유, 정책·법적 권한 공유, 법 집행 기관과 사이버 당국 간의 협력을 포함한 랜섬웨어 대응을 위해 국제 협력을 추진한다.

우리나라도 국내외 위협 정보를 공유하는 협의체를 운영한다. 국내 보안기업을 통한 협의체 C-TAS와 글로벌 보안 협의체 CAMP를 운영하면서 랜섬웨어와 국가기반 공격 위협에 공동으로 대응한다.

아무리 잘 설계된 보안 정책과 기술, 체계가 있다 해도 공격자들은 빈틈을 파고들어 공격하고 피해를 입힌다. 특히 멀티 클라우드 환경에서는 공격표면이 확장될 수밖에 없기 때문에 강력한 선제 차단과 지속적인 모니터링, 백업·복구를 통한 비즈니스 연속성 보장 대책을 마련해 두어야 한다.

장성민 팔로알토코리아 상무는 “단 하나의 보안 솔루션으로 랜섬웨어를 막을 수 없으며, 종합적인 위협관리 프로세스를 수립하고 단계별로 맞는 솔루션과 서비스를 도입하고 직원 교육도 병행해야 한다”며 “기업·기관 전반에 걸친 포괄적인 사고대응 프로세스를 수립하고, 적절한 도구를 도입하며, 대응 지침을 마련한다. 혹시 사고를 당했다면, 이후에도 반드시 평가를 실시해 백도어 또는 기타 침해 지표(IoC)가 완전히 제거됐는지 확인해야 한다. 공격자가 몰래 숨어있다가 후속공격을 이어나가지 못하게 해야 한다”고 설명했다.

한편 KISA는 ‘랜섬웨어 대응 가이드라인’ 개정판을 통해 랜섬웨어 피해 예방을 위한 기본 수칙을 안내했다.

모든 소프트웨어는 최신 버전으로 업데이트해 사용하며, 보안 솔루션의 실시간 감시 기능을 활성화시키고, 출처가 불명확한 이메일과 URL은 실행하지 않는다. 이메일 첨부 문서의 매크로 기능을 가급적 허용하지 않으며, 확실하게 안정성이 입증된 실행파일이 아니면 실행하지 않는다. 랜섬웨어 사고 시에도 비즈니스 연속성을 지킬 수 있도록 계획을 마련하고 정기적인 테스트와 훈련을 실시한다.

랜섬웨어 사고를 당했을때에는 공유폴더를 차단하고, 감염된 기기를 격리시킨다. 기기 종료 시 부팅도 불가능할 수 있으므로 전원은 끄지 말아야 하며, 섣부르게 포맷하는것도 자제해야 한다. KISA 암호이용활성화 홈페이지, 보안업체, 노모어랜섬 홈페이지 등에 해당 랜섬웨어 복구툴을 지원하는지 확인한다. 암호화된 파일과 시스템을 복구할 수 있는 도구가 제공될 경우를 대비해 감염된 기기와 데이터를 보관하는 것이 좋다.

감염 알림창과 암호화된 파일이 생성된 화면을 캡처해 저장하고 KISA 등에 신고해 후속 조치를 지원받는다. 부득이 해커와 협상을 해야 한다면, 돈을 준다 해도 복구된다는 보장이 없으며, 합법적인 거래가 아니어서 법적인 보호를 받을 수 없다는 점을 명심해야 한다. 또 한번 돈을 지불한 피해자는 공격자에게 손쉬운 대상으로 인식돼 또 다시 공격받을 수 있다는 점도 고려해야 한다.