2016.12.23

벤더 기고 | 2017년 랜섬웨어 대응 전략 '문서 중앙화'

김준섭 | CIO KR
악성코드 제작 전문가가 아니어도 랜섬웨어로 돈을 벌 수 있다? 2016년엔 이것이 현실화되었다. 랜섬웨어가 서비스화되면서 웹사이트에서 주문하거나 툴킷을 설치해서 원하는 목표를 입력하고 명령만 내리면 다른 사람들의 컴퓨터 속 파일을 암호화하고 비트코인으로 몸값을 받을 수 있게 됐다.

랜섬웨어 서비스화의 핵심은 랜섬웨어의 ‘수익성’이 증명되었다는 점이다. 공격 기술과 방어 기술의 꼬리물기 게임인 보안은 공격자의 ROI에 따라 유행이 변한다. 2014년에는 스미싱이 돈이 되는 공격 기술이었다면, 2016년 현재는 랜섬웨어가 그 자리를 차지하고 있으며, 이 흐름은 2017년까지 이어질 것으로 보인다.

돈 되는 악성코드 랜섬웨어
오스터만 리서치(Osterman Research)의 백서는 ‘유행 전염병’ 수준이라고 지적한다. 지난 한 해, 미국 기업의 약 50%가 랜섬웨어 공격을 경험했다. 2016년 상반기에만 랜섬웨어 패밀리가 172% 증가했으며, 2015년에 크립토월(CryptoWall) 패밀리가 초래한 피해가 3억 2,500만 달러로 추정되고 있다.

또한, 랜섬웨어 공격자들이 요구하는 몸값도 점차 증가하고 있다. 2015년 말 일반적인 몸값이 284달러였지만, 지금은 679달러에 이른다. 지난 1월에는 컴퓨터 1대당 13 비트코인, 당시 기준으로 5,083달러를 요구한 사례도 있었다. 국내 상황도 다르지 않다. 한국 랜섬웨어 침해 대응센터가 발표한 2016 상반기 랜섬웨어 침해분석 보고서에 따르면, 우리나라에서만 2016년 상반기 랜섬웨어 피해가 지난해 대비 3.7배 증가했으며, 랜섬웨어의 종류도 기존의 8가지에서 13가지로 진화했다.

현재 이스트소프트의 알약 안티바이러스로 차단되는 랜섬웨어 공격 건수는 하루 평균 1만 건, 새롭게 수집되는 랜섬웨어 샘플이 한 달 평균 500개가 넘는다. 이스트소프트의 자체 데이터만 집계했다는 점을 고려하면, 실제 랜섬웨어 공격 규모나 피해는 훨씬 클 것이다.

랜섬웨어는 사용자의 PC에 침투해 파일을 모두 암호화하고, 파일을 복구하기 위한 복호화 키를 위해 몸값을 내라고 요구하는 악성코드다. 랜섬웨어의 수익성이 증명된 만큼, 그 기술은 점차 정교해지고 있으며, 이제는 클릭하지 않을 수 없는 이메일로 가장하는 등 개인이나 기업이 주의만 해서는 피하기가 어려운 상황이다.

게다가 랜섬웨어에 감염되고 나면 데이터를 복구할 가능성이 적다. 비트코인 몸값 지불을 대행해주는 서비스까지 나와 있고, 데이터를 복구해주는 업체도 있으나 100% 복구를 장담할 수 없다. 어떤 종류의 랜섬웨어는 자체 버그가 있어서 복구가 안 되는 경우도 있고, 공격자가 돈만 챙기거나 이미 잡혀서 복구해줄 수 없는 상황이 벌어지기도 한다. 이럴 경우 랜섬웨어 감염은 단순히 “파일을 사용할 수 없다”는 차원이 아니라, 지금껏 쌓아온 업무가 모두 사라지는, 마치 과거가 모두 지워지는 듯한 피해를 보게 된다.

그래서 기업들은 백신 등 보안 솔루션을 통해 일차적으로 랜섬웨어를 방어하는 것뿐만 아니라, 감염 후 피해를 최소화할 방안을 모색하고 있으며, 2017년에는 이러한 고민들이 더욱 구체화될 것으로 전망한다.

보안 솔루션, 비용에서 투자로
랜섬웨어 피해 최소화 방안을 고민할 때 IT 의사 결정권자들이 꼭 기억해두어야 할 점이 있다. 보안 솔루션을 비용이 아닌 투자의 개념으로 봐야 한다는 것이다. 비용을 많이 들여 보안 솔루션을 많이 갖출수록 피해는 줄어든다. 그러나 보안 솔루션을 갖추는 데 들어간 비용에 대한 효과를 측정할 수는 없다. 실질적인 효과를 눈으로 확인하거나 수치화할 수 없기 때문이다. 보안 솔루션 투입 비용을 줄이면 사고가 터졌을 때 그보다 몇 배, 몇십 배의 피해로 돌아온다. 따라서 보안 솔루션을 투자의 개념으로 이해하고, 투자를 많이 할수록 보안 위협이 낮아진다는 상관관계를 늘 염두에 두어야 한다.

그렇다고 보안 솔루션을 무한대로 도입할 수도 없다. 따라서 기업 상황에 맞는 솔루션을 잘 선정해서 도입하는 것이 현실적인 방법이다. 다른 기업을 따라 구색 맞추기 식으로 보안 솔루션을 도입하는 것이 아니라, 정말 필요한 솔루션을 잘 판단해야 한다. 그러려면 이 부분을 잘 검토하고 판단할 수 있는 보안 인력에 대한 투자가 지금보다 더 많이 이루어져야 할 것이다.

랜섬웨어 및 데이터 유출 대응 방안을 모색하는 것 역시 투자의 개념으로 이해해야 한다. 현재 랜섬웨어의 대응 방안으로 제시되고 있는 것은 소프트웨어 최신 버전 유지, 백신 소프트웨어 설치 및 최신 버전 유지, 이메일 및 URL 실행 주의, 정기적인 백업 등이다. 특히, 주요 문서를 정기적으로 백업해 랜섬웨어에 감염되더라도 암호화된 파일을 몸값을 지불해서 복호화하지 않고 최신 백업에서 복구하는 것이 더 빠르고 확실한 방법으로 여겨지고 있다. 하지만 기업이 랜섬웨어 대응을 위해 백업에만 투자한다면, 문서 자체의 보안이 위협을 받을 수 있고, 잦은 백업으로 인해 업무 효율성이 떨어질 수 있다.

또 많은 기업들이 랜섬웨어 뿐만 아니라 데이터 유출을 방지하기 위해서 DLP(Data Loss Prevention)나 DRM(Digital Rights Management), SBC(Server Based Computing) 등의 문서 보안 솔루션을 활용하기도 한다. 하지만 이들은 애플리케이션 종속성 문제나 제로데이 공격 취약성, 사용자 편의성 저하 등의 단점이 있다.

백업이나 기존의 문서 보안 솔루션은 사용자 단에서 보안 위협에 주의를 기울일 것을 요구하는 방식이다. PC를 정기적으로 백업하거나, 각각의 PC에 보안 솔루션을 설치하기 때문이다. 하지만, 랜섬웨어나 데이터 유출을 원천적으로 차단하면서도, 사용자 친화성이나 업무 효율성을 확보하기 위해서는 이제 전사적인 문서 보안 투자 개념으로 접근해야 할 필요가 있다.

랜섬웨어 및 데이터 유출에 대한 통합적 접근 전략
이스트소프트가 제안하는 랜섬웨어 및 데이터 유출에 대한 접근 전략은 문서 중앙화다. 사내 임직원 PC에서 생성되는 모든 문서를 중앙 서버에 강제 이관해서 관리하는 개념으로, 랜섬웨어나 다른 악성코드가 침투하더라도 직원의 PC에는 암호화시킬 파일이 하나도 남지 않아 원천적으로 피해를 방지할 수 있다. 또한, 문서를 저장한 중앙 서버에 이중화나 고도화된 백업 솔루션 등을 도입해서 각 엔드포인트를 관리하는 것보다 더욱 강력한 보호 체계를 마련할 수 있다.



업무 생산성을 높일 수 있다는 것도 문서 중앙화 솔루션의 장점이다. 이스트소프트의 문서 중앙화 솔루션 시큐어디스크는 파일이 물리적으로 직원 PC에 존재하지 않지만 마치 존재하는 것처럼 사용할 수 있다. 본인의 PC가 아닌 회의실의 공용 PC를 사용하더라도 서버에 로그인만 하면 작업하던 문서를 그대로 이용할 수 있다.

서버에 파일이 저장되는 과정에서 버전 관리 및 히스토리 관리도 모두 지원되기 때문에 현재 작업 중인 파일에 문제가 생겨도 바로 전에 작업했던 파일로 복구할 수도 있다. 일은 기존처럼 하면서도 자연스럽게 랜섬웨어 감염이나 시스템 문제에 대비할 수 있는 것이다.

실제로, 올 한해 APT 공격 등을 통한 데이터 유출 사고와 랜섬웨어 위협이 끊이지 않으면서, 문서 중앙화 솔루션에 대한 관심이 높아진 상태다. 2015년과 비교해 시큐어디스크의 매출이 80% 증가했고 도입 문의도 150% 가량 증가했다. 한 가지 제품의 성장 데이터가 시장의 트렌드를 대표한다고 단언할 순 없으나, 이 같은 데이터는 실제 기업 및 공공 시장에서 관련 보안 위협에 대한 관심도가 높아지고 있음을 시사한다.

지난 몇 년간의 사건사고를 통해 기업의 보안 의식이 많이 고취되었다고는 하지만, 아직 보안에 대한 투자가 적극적으로 진행되지 못하고 있다. 그러나 보안 솔루션, 특히 근본적인 문제를 해결할 수 있는 문서 중앙화 같은 솔루션에 대한 투자는 미래에 생길 수 있는 더 큰 피해를 방지하기 위해 신중하게 고려해볼 가치가 있다. 2017년 어려운 경제 상황 속에서 보안 투자를 쉽게 결정하지는 못하겠지만, 어떤 자산을 어떻게 보호해야 하는지에 대한 고민이 필요한 시점이다.

* 김준섭 이스트소프트 이사는 충북대학교 컴퓨터공학과를 졸업하고, 각종 IT기업을 거쳐 2008년 이스트소프트에 입사했다. 이후 국내 최초 무료 백신(공개용) ‘알약’의 개발과 출시를 진두 지휘 했으며, 현재는 이스트소프트 보안사업본부장을 역임하고 있다. 2017년에는 기존 이스트소프트 보안 사업본부가 자회사로 분사할 예정이며, 이에 따라 신설 법인 ‘이스트시큐리티’로 자리를 옮겨 사업을 이끌어나갈 예정이다. ciokr@idg.co.kr 



2016.12.23

벤더 기고 | 2017년 랜섬웨어 대응 전략 '문서 중앙화'

김준섭 | CIO KR
악성코드 제작 전문가가 아니어도 랜섬웨어로 돈을 벌 수 있다? 2016년엔 이것이 현실화되었다. 랜섬웨어가 서비스화되면서 웹사이트에서 주문하거나 툴킷을 설치해서 원하는 목표를 입력하고 명령만 내리면 다른 사람들의 컴퓨터 속 파일을 암호화하고 비트코인으로 몸값을 받을 수 있게 됐다.

랜섬웨어 서비스화의 핵심은 랜섬웨어의 ‘수익성’이 증명되었다는 점이다. 공격 기술과 방어 기술의 꼬리물기 게임인 보안은 공격자의 ROI에 따라 유행이 변한다. 2014년에는 스미싱이 돈이 되는 공격 기술이었다면, 2016년 현재는 랜섬웨어가 그 자리를 차지하고 있으며, 이 흐름은 2017년까지 이어질 것으로 보인다.

돈 되는 악성코드 랜섬웨어
오스터만 리서치(Osterman Research)의 백서는 ‘유행 전염병’ 수준이라고 지적한다. 지난 한 해, 미국 기업의 약 50%가 랜섬웨어 공격을 경험했다. 2016년 상반기에만 랜섬웨어 패밀리가 172% 증가했으며, 2015년에 크립토월(CryptoWall) 패밀리가 초래한 피해가 3억 2,500만 달러로 추정되고 있다.

또한, 랜섬웨어 공격자들이 요구하는 몸값도 점차 증가하고 있다. 2015년 말 일반적인 몸값이 284달러였지만, 지금은 679달러에 이른다. 지난 1월에는 컴퓨터 1대당 13 비트코인, 당시 기준으로 5,083달러를 요구한 사례도 있었다. 국내 상황도 다르지 않다. 한국 랜섬웨어 침해 대응센터가 발표한 2016 상반기 랜섬웨어 침해분석 보고서에 따르면, 우리나라에서만 2016년 상반기 랜섬웨어 피해가 지난해 대비 3.7배 증가했으며, 랜섬웨어의 종류도 기존의 8가지에서 13가지로 진화했다.

현재 이스트소프트의 알약 안티바이러스로 차단되는 랜섬웨어 공격 건수는 하루 평균 1만 건, 새롭게 수집되는 랜섬웨어 샘플이 한 달 평균 500개가 넘는다. 이스트소프트의 자체 데이터만 집계했다는 점을 고려하면, 실제 랜섬웨어 공격 규모나 피해는 훨씬 클 것이다.

랜섬웨어는 사용자의 PC에 침투해 파일을 모두 암호화하고, 파일을 복구하기 위한 복호화 키를 위해 몸값을 내라고 요구하는 악성코드다. 랜섬웨어의 수익성이 증명된 만큼, 그 기술은 점차 정교해지고 있으며, 이제는 클릭하지 않을 수 없는 이메일로 가장하는 등 개인이나 기업이 주의만 해서는 피하기가 어려운 상황이다.

게다가 랜섬웨어에 감염되고 나면 데이터를 복구할 가능성이 적다. 비트코인 몸값 지불을 대행해주는 서비스까지 나와 있고, 데이터를 복구해주는 업체도 있으나 100% 복구를 장담할 수 없다. 어떤 종류의 랜섬웨어는 자체 버그가 있어서 복구가 안 되는 경우도 있고, 공격자가 돈만 챙기거나 이미 잡혀서 복구해줄 수 없는 상황이 벌어지기도 한다. 이럴 경우 랜섬웨어 감염은 단순히 “파일을 사용할 수 없다”는 차원이 아니라, 지금껏 쌓아온 업무가 모두 사라지는, 마치 과거가 모두 지워지는 듯한 피해를 보게 된다.

그래서 기업들은 백신 등 보안 솔루션을 통해 일차적으로 랜섬웨어를 방어하는 것뿐만 아니라, 감염 후 피해를 최소화할 방안을 모색하고 있으며, 2017년에는 이러한 고민들이 더욱 구체화될 것으로 전망한다.

보안 솔루션, 비용에서 투자로
랜섬웨어 피해 최소화 방안을 고민할 때 IT 의사 결정권자들이 꼭 기억해두어야 할 점이 있다. 보안 솔루션을 비용이 아닌 투자의 개념으로 봐야 한다는 것이다. 비용을 많이 들여 보안 솔루션을 많이 갖출수록 피해는 줄어든다. 그러나 보안 솔루션을 갖추는 데 들어간 비용에 대한 효과를 측정할 수는 없다. 실질적인 효과를 눈으로 확인하거나 수치화할 수 없기 때문이다. 보안 솔루션 투입 비용을 줄이면 사고가 터졌을 때 그보다 몇 배, 몇십 배의 피해로 돌아온다. 따라서 보안 솔루션을 투자의 개념으로 이해하고, 투자를 많이 할수록 보안 위협이 낮아진다는 상관관계를 늘 염두에 두어야 한다.

그렇다고 보안 솔루션을 무한대로 도입할 수도 없다. 따라서 기업 상황에 맞는 솔루션을 잘 선정해서 도입하는 것이 현실적인 방법이다. 다른 기업을 따라 구색 맞추기 식으로 보안 솔루션을 도입하는 것이 아니라, 정말 필요한 솔루션을 잘 판단해야 한다. 그러려면 이 부분을 잘 검토하고 판단할 수 있는 보안 인력에 대한 투자가 지금보다 더 많이 이루어져야 할 것이다.

랜섬웨어 및 데이터 유출 대응 방안을 모색하는 것 역시 투자의 개념으로 이해해야 한다. 현재 랜섬웨어의 대응 방안으로 제시되고 있는 것은 소프트웨어 최신 버전 유지, 백신 소프트웨어 설치 및 최신 버전 유지, 이메일 및 URL 실행 주의, 정기적인 백업 등이다. 특히, 주요 문서를 정기적으로 백업해 랜섬웨어에 감염되더라도 암호화된 파일을 몸값을 지불해서 복호화하지 않고 최신 백업에서 복구하는 것이 더 빠르고 확실한 방법으로 여겨지고 있다. 하지만 기업이 랜섬웨어 대응을 위해 백업에만 투자한다면, 문서 자체의 보안이 위협을 받을 수 있고, 잦은 백업으로 인해 업무 효율성이 떨어질 수 있다.

또 많은 기업들이 랜섬웨어 뿐만 아니라 데이터 유출을 방지하기 위해서 DLP(Data Loss Prevention)나 DRM(Digital Rights Management), SBC(Server Based Computing) 등의 문서 보안 솔루션을 활용하기도 한다. 하지만 이들은 애플리케이션 종속성 문제나 제로데이 공격 취약성, 사용자 편의성 저하 등의 단점이 있다.

백업이나 기존의 문서 보안 솔루션은 사용자 단에서 보안 위협에 주의를 기울일 것을 요구하는 방식이다. PC를 정기적으로 백업하거나, 각각의 PC에 보안 솔루션을 설치하기 때문이다. 하지만, 랜섬웨어나 데이터 유출을 원천적으로 차단하면서도, 사용자 친화성이나 업무 효율성을 확보하기 위해서는 이제 전사적인 문서 보안 투자 개념으로 접근해야 할 필요가 있다.

랜섬웨어 및 데이터 유출에 대한 통합적 접근 전략
이스트소프트가 제안하는 랜섬웨어 및 데이터 유출에 대한 접근 전략은 문서 중앙화다. 사내 임직원 PC에서 생성되는 모든 문서를 중앙 서버에 강제 이관해서 관리하는 개념으로, 랜섬웨어나 다른 악성코드가 침투하더라도 직원의 PC에는 암호화시킬 파일이 하나도 남지 않아 원천적으로 피해를 방지할 수 있다. 또한, 문서를 저장한 중앙 서버에 이중화나 고도화된 백업 솔루션 등을 도입해서 각 엔드포인트를 관리하는 것보다 더욱 강력한 보호 체계를 마련할 수 있다.



업무 생산성을 높일 수 있다는 것도 문서 중앙화 솔루션의 장점이다. 이스트소프트의 문서 중앙화 솔루션 시큐어디스크는 파일이 물리적으로 직원 PC에 존재하지 않지만 마치 존재하는 것처럼 사용할 수 있다. 본인의 PC가 아닌 회의실의 공용 PC를 사용하더라도 서버에 로그인만 하면 작업하던 문서를 그대로 이용할 수 있다.

서버에 파일이 저장되는 과정에서 버전 관리 및 히스토리 관리도 모두 지원되기 때문에 현재 작업 중인 파일에 문제가 생겨도 바로 전에 작업했던 파일로 복구할 수도 있다. 일은 기존처럼 하면서도 자연스럽게 랜섬웨어 감염이나 시스템 문제에 대비할 수 있는 것이다.

실제로, 올 한해 APT 공격 등을 통한 데이터 유출 사고와 랜섬웨어 위협이 끊이지 않으면서, 문서 중앙화 솔루션에 대한 관심이 높아진 상태다. 2015년과 비교해 시큐어디스크의 매출이 80% 증가했고 도입 문의도 150% 가량 증가했다. 한 가지 제품의 성장 데이터가 시장의 트렌드를 대표한다고 단언할 순 없으나, 이 같은 데이터는 실제 기업 및 공공 시장에서 관련 보안 위협에 대한 관심도가 높아지고 있음을 시사한다.

지난 몇 년간의 사건사고를 통해 기업의 보안 의식이 많이 고취되었다고는 하지만, 아직 보안에 대한 투자가 적극적으로 진행되지 못하고 있다. 그러나 보안 솔루션, 특히 근본적인 문제를 해결할 수 있는 문서 중앙화 같은 솔루션에 대한 투자는 미래에 생길 수 있는 더 큰 피해를 방지하기 위해 신중하게 고려해볼 가치가 있다. 2017년 어려운 경제 상황 속에서 보안 투자를 쉽게 결정하지는 못하겠지만, 어떤 자산을 어떻게 보호해야 하는지에 대한 고민이 필요한 시점이다.

* 김준섭 이스트소프트 이사는 충북대학교 컴퓨터공학과를 졸업하고, 각종 IT기업을 거쳐 2008년 이스트소프트에 입사했다. 이후 국내 최초 무료 백신(공개용) ‘알약’의 개발과 출시를 진두 지휘 했으며, 현재는 이스트소프트 보안사업본부장을 역임하고 있다. 2017년에는 기존 이스트소프트 보안 사업본부가 자회사로 분사할 예정이며, 이에 따라 신설 법인 ‘이스트시큐리티’로 자리를 옮겨 사업을 이끌어나갈 예정이다. ciokr@idg.co.kr 

X