악독해진 랜섬웨어 공격…"조기 탐지해 선제적 대응이 최선"
입력
수정
지면B6
무단으로 사용자 파일 암호화한 뒤랜섬웨어(ransomware)는 사용자의 시스템을 파괴하거나 정보를 변조, 유출하는 등 악의적인 작업을 하도록 만들어진 소프트웨어(SW)인 ‘멀웨어’의 한 유형이다. 사용자 동의 없이 시스템에 설치돼 무단으로 사용자의 파일을 모두 암호화한다. 범죄자들이 데이터를 인질로 금전적 보상을 요구하는 것이 다음 수순이다.
데이터 인질로 삼아 금전적 보상 요구
최근 공격 급증하고 방식도 정교해져
지난해 전세계 피해 규모 26조원 달해
몸값 지불해도 재공격 위협 이어져
"보안사고 미리 대비해야 피해 최소화"
美 사이버리즌·韓 DDI, 솔루션 제공
○날로 늘어나는 랜섬웨어 피해
세계적으로 랜섬웨어로 인한 피해가 계속 늘어나고 있다. 다른 해킹 공격에 비해 요구되는 기술적 난도가 낮아서다. 최근엔 ‘알짜배기 수익 모델’도 생겼다. 랜섬웨어 단체는 최근 공격 툴을 ‘서비스형 랜섬웨어’로 제공하고 있다. 누구든 서비스형 랜섬웨어와 기존 클라우드 인프라를 이용해 블랙메일 사업을 시작할 수 있도록 한 것이다.랜섬웨어의 파괴성은 통계로도 나타난다. 글로벌 사이버 보안업체 사이버리즌이 최근 발간한 보고서에 따르면 지난해 글로벌 랜섬웨어 공격 규모는 200억달러(약 26조400억원)로, 2020년 대비 2배 증가했다.
랜섬웨어 공격 사례도 눈에 띄게 늘었다. ‘최근 24개월 중 최소 한 번 랜섬웨어 공격 대상이 된 적이 있냐’는 질문에 1400명 이상의 사이버 보안 전문가 중 73%가 ‘그렇다’고 답했다. ‘피해를 봤다’는 응답이 전년보다 18%포인트 증가했다. 랜섬웨어 공격을 가장 많이 받은 업종은 법무(92%), 제조(78%), 금융서비스(78%), 인사(77%) 순으로 나타났다.국내에서도 랜섬웨어 피해가 급증하고 있다. 과학기술정보통신부에 따르면 지난해 랜섬웨어 해킹 피해 건수는 총 223건으로, 전년 대비 76%가량 늘었다. 보안업계 관계자는 “지난해 랜섬웨어 공격을 받은 대다수 조직이 매출 손실, 부정적 평판 조성, 계획에 없던 인력 감축, 비즈니스 중단 등 심각한 영향을 받았다”고 말했다.
랜섬웨어를 활용한 공격 방식은 점차 정교해지는 추세다. 초기엔 낮은 몸값에 다수의 피해자를 만드는 ‘스프레이 앤드 프레이’ 전략이 일반적이었다. 하지만 지금은 수백만달러의 높은 몸값을 지불할 능력을 갖춘 조직을 대상으로 집중적이고 맞춤화한 공격이 이뤄지고 있다.
업계 관계자는 “랜섬웨어의 공격 방식이 점점 복잡해지고 있다”며 “의료산업 등 사업장의 운영을 멈추기 힘든 기업, 공급망이 복잡하게 얽혀 있는 기업 등이 주 타깃이 되는 모습”이라고 전했다.
○“랜섬웨어 선제 대응 필요”
업계는 이런 랜섬웨어의 공격에 대해 선제 대응이 중요하다고 설명한다. 랜섬웨어 공격을 받은 뒤 범죄단체에 몸값을 지불하더라도 빠른 복구가 보장되는 것이 아니란 지적이다. 한 번 랜섬웨어의 공격 대상이 된 업체는 언제든지 또다시 공격받을 수 있다. 사이버리즌 측은 “몸값을 지불한 조직의 80%는 최소 1회의 랜섬웨어 공격 위협을 또다시 받았다”며 “두 번째 공격받을 때는 공격자로부터 첫 번째보다 높은 몸값을 요구받았다”고 전했다.그간 랜섬웨어의 해결책으로 평가받았던 사이버 보험과 데이터 백업 등은 ‘이중 갈취 수법’이 일반화하며 무용지물이 됐다. 이중 갈취 수법은 탈취한 데이터 일부를 유출한 뒤 협상에 응하지 않을 경우 전체를 공개하겠다고 협박하는 것을 의미한다. 보고서에 따르면 지난해 1분기까지 이중 갈취 공격까지 이뤄진 랜섬웨어 해킹 사건은 전체의 약 70%에 달한다. 한 번 랜섬웨어에 감염되면 백업했다고 하더라도 데이터를 수동으로 복원해야 한다. 정상적으로 사업을 재개하기 위해선 최대 몇 주가 소요된다는 뜻이다.
이에 따라 최근 보안회사들도 랜섬웨어 조기 탐지에 초점을 맞추고 있다. 사이버리즌이 대표적인 사례다. 사이버리즌은 랜섬웨어에 대해 조기 탐지와 실시간 시스템 운영을 통해 선제적으로 보안 위험 요소를 제거하는 기술을 갖췄다. 특히 EDR(엔드포인트 탐지 및 대응)은 한눈에 랜섬웨어 공격 상황을 파악하고, 즉각적인 대응을 제공한다. 이와 함께 알려지지 않은 위협까지 대응할 수 있는 멀티 레이어드 방어를 구현하고 있다는 게 회사 측의 설명이다. 소프트뱅크, 듀퐁, 웰스파고, 록히드마틴, 노바티스 등이 사이버리즌의 대표적인 고객사다.국내 보안업체 중엔 두산디지털이노베이션(DDI)이 눈에 띈다. DDI는 세계 40개국의 두산그룹 임직원을 비롯해 여러 국내 고객사에 EDR, MDR(매니지드 위협 탐지 및 대응), NGAV(차세대 안티바이러스), 랜섬웨어와 파일리스 악성코드 방지 등 사이버리즌의 통합 보안 솔루션을 제공하고 있다.
로버트 오 두산 헤드 오브 디지털라이제이션(Head of Digitalization) 부사장 겸 DDI 최고운영책임자(COO)는 “지난 2월 과기정통부와 한국 인터넷진흥원이 함께 랜섬웨어 주의보를 발령할 정도로 한국 기업들의 피해가 증가하고 있다”며 “차세대 정보보안은 단순히 기업의 데이터나 브랜딩을 보호하는 차원을 벗어나 모든 기업의 디지털 트랜스포메이션에 기반이 돼야 하는 중요한 요소이기 때문에 한국 기업들의 차세대 정보 보안에 대한 적극적인 관심과 투자를 통한 경쟁력 확보가 더욱 중요해졌다”고 말했다.
배성수 기자 baebae@hankyung.com