[IT돋보기] "해커 침입 1년 넘어도 모른다"


랜섬웨어 '3중 협박' 형태로 고도화 추세…이재광 KISA 종합분석팀장

[아이뉴스24 최은정 기자] "랜섬웨어 공격을 받은 국내 기업 대부분은 해커가 최초 침투한 시점부터 최소 1년간 이를 모르고 지낸다. 그러다 랜섬웨어 활동으로 데이터 유출 등 피해를 입은 뒤에야 비로소 이를 인지하고 관련 대응을 시작한다. 서버, 시스템 등을 사전 점검했더라면 충분히 예방 가능했을 부분이다."

이재광 한국인터넷진흥원(KISA) 종합분석팀장은 30일 "기업 대상 대규모 랜섬웨어 유포는 하루 아침에 일어나는 것이 아니다"라고 강조하며 이같이 지적했다.

랜섬웨어는 주요 파일을 암호화하고 이를 복호화해주는 대가로 금전을 요구하는 악성코드다. 그런데 최근 데이터를 백업해두는 조직이 많아지면서 해커는 이 수법만으로 금전 갈취가 힘들다고 판단, 내부 데이터 유출 등 협박 수위를 높이고 있는 추세다.

이재광 KISA 종합분석팀장 [사진=KISA]

이 팀장은 먼저 "해커들은 이제 데이터 암호화만으로 피해 기업 협박이 어렵다고 보고 암호화 전 데이터 유출, 디도스(DDoS) 공격 등을 결합한 '3중 협박' 형태 공격이 유행하고 있다"고 최신 랜섬웨어 동향을 짚었다. 특히 디도스 공격으로는 기업 홈페이지 장애를 발생시킨다는 설명이다.

공격 대상도 더 확대됐다. 그는 "과거 개인 PC 위주에서 기업 시스템으로, 최근엔 사회기반시설과 생활 필수 산업군으로 랜섬웨어 타깃이 확대됐다"면서 "이제는 랜섬웨어 공격이 국민들도 일상생활에서 체감 가능한 수준으로 바뀌고 있다"고 했다. 최근 미국 송유관 업체, 정육업체 등 사례를 대표로 꼽았다.

이어 그는 KISA가 최근 현장조사를 실시한 한 중견 제조기업 A사 사례를 소개했다. 이 업체는 랜섬웨어 공격으로 인해 사내 다수 서버들이 감염되는 사고를 겪었다. 조사 결과, 해커가 최초로 관리자 PC에 침입한 뒤 약 1년이 지난 뒤에야 랜섬웨어가 실행됐다. 그 사이 해커는 랜섬웨어 유포를 위한 시스템 물색, 실제 공격 거점 확보 등 악성 행위를 지속한 것으로 나타났다.

이 팀장은 "랜섬웨어 해커는 사내 침투, 내부 이동, 거점 확보, (시스템) 지속 장악, 랜섬웨어 실행 등 순서로 공격을 감행한다"면서 "이 주기는 약 1년 이상 시간이 소요되는데 이 기간에 보안인력이 주기적 시스템 점검을 실시하면 대규모 공격을 방어할 수 있다"고 강조했다.

최근엔 해커가 대규모 랜섬웨어 유포를 위한 공격 거점으로 테스트서버를 악용한 사례도 발견됐다.

이 팀장은 "기존에는 사내 모든 시스템을 중앙에서 관리하는 관리자 PC나 중앙관리 서버 등이 주요 공격 거점으로 이용됐다"며 "최근엔 보안이 상대적으로 미흡한 기업 테스트서버가 신규 타깃으로 부상했다"고 말했다.

◆ 기업 랜섬웨어 예방 방법은…정부 지원 서비스도 활용해야

이 팀장은 관리자 PC를 인터넷과 분리하는 '망분리' 환경 중요성을 언급했다.

그는 "물론 망분리만으로 모든 공격을 막을 수는 없지만 관리자 PC를 망분리하는 것은 필수"라며 "실제로도 인터넷에 연결된 관리자 PC가 랜섬웨어 공격에 악용된 경우가 가장 많다"고 말했다. 망분리가 어려운 경우 중앙관리 서버, 액티브 디렉토리(AD) 서버 등을 점검하는 것이 요구된다.

또 데이터 백업이 랜섬웨어 피해를 줄이는 핵심 방법은 아니라는 입장이다. 백업 데이터가 램섬웨어에 감염된 사례가 다수 있어서다.

이 팀장은 "백업 데이터를 둔 서버가 인터넷에 연결돼 해커가 침투했던 경우도 있었다"면서 "단 하루라도 장애가 나면 안되는 서버를 더욱 특별히 관리하는 등 사업 연속성을 고려해 랜섬웨어 대응 전략을 수립해야 한다"고 조언했다. 실제로 백업 데이터 원상 복구는 통상 20~30일 정도 걸린다는 게 그의 설명이다.

아울러 향후 랜섬웨어 감염 방지를 위해 원인 분석이 필요하므로 시스템 포맷은 지양하라고 당부했다. 시스템을 포맷하면 서버 로그 등이 유실돼 해커 침투 경로, 활동 범위 등을 식별하기 어렵기 때문.

현재 정부는 K-사이버방역 정책의 일환으로 내PC 돌보미 서비스, 전국 원스톱 대응체계 등을 운영하고 있다. 중소·영세기업을 대상으로 맞춤형 컨설팅과 보안솔루션 도입도 지원하고 있다.

지난 3월부터는 과학기술정보통신부, KISA, 한국정보보호산업협회(KISIA)가 '민·관합동 랜섬웨어 대응 협의체'도 운영 중이다. 이 협의체에서 랜섬웨어 관련 교육, 조사 연구, 공격 대응 강화와 기업 지원 등에 힘쓰고 있다.

한편, 국내 랜섬웨어 공격 사례는 매해 증가하는 추세다. KISA에 따르면 랜섬웨어 신고 건수는 2019년 39건에서 지난해 127건으로 325% 늘어났다. 올 상반기는 78건이 신고된 것으로 집계됐다.

/최은정 기자(ejc@inews24.com)







포토뉴스