Offcanvas

CSO / 랜섬웨어

강은성의 보안 아키텍트ㅣ랜섬웨어와 랜섬웨어 ‘산업’에 대응하려면

2022.07.11 강은성  |  CIO KR
올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다. 

블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.
 
그림 1. 2018년~2022년 랜섬웨어 침해 신고 현황 ⓒ 과학기술정보통신부

국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다.

랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다.

랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 막을까?(1)”, 2015.3.3). MITRE ATT&CK를 활용하는 회사라면 어떤 공격 전술과 기술을 탐지 및 대응할지 검토할 필요가 있다.

마이크로소프트, 엔비디아, 옥타(Okta) 등 유명 기업을 해킹하여 상반기를 떠들썩하게 했던 사이버 범죄집단 랩서스(Lapsus$)는 ‘정찰’을 통해 공격대상 기업 사용자의 계정 정보와 2단계 인증(2FA)을 우회할 수 있는 정보를 집요하게 수집하여 ‘초기 침투’(Initial Access)와 ‘권한 상승’에 활용하였다. 

이에 대응하려면 2FA를 이용할 때 상대적으로 보안 수준이 낮은 이메일이나 문자메시지보다는 OTP(One Time Password)나 ‘간편 인증’(Fast IDentity Online; FIDO)을 사용하고, 2FA 수단에 문제가 생길 때 이를 리셋시켜주는 등의 취약점을 만들지 말아야 한다. 잘 활용하면 2FA는 여전히 강력하고 가성비 좋은 인증 수단이다.

랜섬웨어 대응이 일반적인 악성코드 대응과 가장 다른 점은 시스템과 데이터가 암호화될 것을 대비해야 한다는 것이다. 이를 위해 중요 데이터뿐 아니라 하드닝된 운영체제나 네트워크, 미들웨어, 애플리케이션 등을 백업 받아 놓는다. 백업을 잘해 놓아야 신속하고 정확하게 복원할 수 있다. 반드시 훈련해 봐야 할 지점이기도 하다. 백업의 범위나 복구의 우선순위를 정해야 한다면 보안 위험 관리와 마찬가지로 사업연속성계획(BCP)에 관심이 많을 CEO나 CFO, 사업부장 등 주요 경영진의 의사를 반영하는 것이 바람직하다.

해킹, DDoS 공격 등 사이버 범죄의 핵심 동기가 돈벌이인 것은 어제오늘의 일이 아니다(“2007년~2008년 보안 위협의 동향과 대책”, 2008.1.8). 2015년에는 각국 정보기관에 해킹 도구 ‘RCS’를 정식으로 판매하는 이탈리아 사이버 범죄기업 ‘해킹팀’이 해킹을 당해 세상에 알려지기도 했고(“'해킹팀'은 보안업체가 아니다”, 2015.7.27), 2021년에는 이스라엘 사이버 범죄기업 ‘NSO그룹’이 프랑스 대통령 등 세계 정상들을 도청 대상으로 하여 해킹도구 ‘페가수스’를 판매한 것이 발각돼 물의를 빚었다.

하지만 랜섬웨어는 이전의 사이버 범죄와 차원이 다르다. 랜섬웨어 사업이 잘될 수 있는 토양은 무엇보다도 기업의 대다수 활동이 사이버 공간이나 그것과 긴밀히 연결되어 있는 21세기 기업환경이다. IT 인프라가 마비되면 사업이 중단되는 직접적인 피해가 발생하므로 기업은 몸값을 지불하고서라도 사업을 계속하고자 한다. 

또 (1) 서비스형 랜섬웨어(RaaS)의 확산으로 인한 손쉬운 랜섬웨어 공격, (2) 한 나라에서 추적하기 어려운 가상자산의 대중화, (3) 몸값의 손실을 보상받을 수 있는 사이버 보험의 존재 등이 랜섬웨어 사업이 작동할 수 있는 환경을 이룬다.

랜섬웨어 갱단이 IT 인프라를 마비시킨 뒤 이를 풀어주는 것을 대가로 금전을 요구하는 것은, 마치 도둑이 장물을 피해자에게 다시 사라고 협박하는 것과 같다. 개별 기업이 준비하고 대응해야 하지만, 법과 제도, 사회적 차원의 대응을 통해 파렴치한 범죄산업이 더 확산하지 않도록 제어하는 것 역시 필요하다.

가끔 악명높은 사이버 범죄집단을 검거했다는 반가운 소식이 들린다. 올 들어 한 달에 몇 번씩 나오던 랩서스의 범죄 기사는 3월 말경 영국 경찰이 랩서스 일당을 검거했다는 소식이 전해진 뒤 뚝 끊겼다. 지난해 11월 미국 국무부가 1,000만 달러(약 118억 원)의 현상금을 걸었던 러시아 랜섬웨어 갱단 레빌(Revil)을 올해 1월 미국의 요청을 받은 러시아 연방보안국(FSB)에서 일망타진했다는 기사가 나왔다. 
 
그림 2. 클롭 랜섬웨어 사건 개요도 ⓒ 경찰청 보도자료, 2021.10.16

지난해 10월 경찰청 국가수사본부에서는 2019년 국내 대학과 기업 4곳에 랜섬웨어를 유포해 총 65비트코인(약 45억 원)을 갈취한 랜섬웨어 갱단 클롭(Clop) 조직원을 미국과 우크라이나, 인터폴의 공조를 통해 검거했다고 발표했다. 경찰은 유포된 악성 프로그램, 공격 도구, 이메일, C&C 서버 등을 추적하기 위해 전 세계 18개 법 집행기관이 80여 차례 공조를 진행했다고 밝혔다. 

실세계에서 도둑을 막기 위해서는 각 가정에서 현관과 창문에 튼튼한 잠금장치를 하는 것도 중요하지만, 범죄를 강력히 처벌하는 법과 제도, 범죄를 저지르면 검거되고, 징역과 범죄 수익 몰수로 오히려 손실이 크다는 사회적 인식이 있어야 한다. 하지만 오히려 사이버 범죄는 검거되지 않을 거라는 인식이 상당히 퍼져 있는 게 현실이다. 국제적인 공조를 통해 사이버 범죄자들을 검거하고, 범죄 수익 몰수 등 강력하게 처벌해야 할 이유다. 사이버 범죄에 대한 이해와 경각심을 높여 실수로라도 그러한 범죄에 가담하지 않도록 어릴 때부터 사이버 윤리 교육도 강화해야 한다.

각 기업의 보안 투자와 준비, 입법기관과 수사기관의 대응, 적극적인 국제 공조를 통해 글로벌 사이버 범죄를 조금씩이라도 줄여나가면 좋겠다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.