중요한 정보 보관하고 보안에 취약한 점은 병원과 같아
병원에 대한 공격보다 더 ‘표적형’ 공격 양상 띌 것으로 예상

[보안뉴스 문가용] 최근 병원 및 의료기관들을 대상으로 한 랜섬웨어 공격이 극성이다. 해외에서는 미국의 할리우드장로병원을 시작으로 핸더슨 감리병원, 치노밸리의료센터 등이, 한국에서도 대형 병원 2곳이 이미 감염되어 곤혹을 치렀다. 이에 대해서는 랜섬웨어 자체가 유행이라 무차별적으로 퍼지고 있는 가운데 의료산업이 보안에 취약하고 환자들의 생명이 걸려있는 곳이라는 특징 때문에 ‘잘못 걸렸다’고 보는 시각이 지배적이다. 랜섬웨어를 사용하는 공격자들까지도 병원이 이렇게 좋은 먹잇감이 될 줄 몰랐을 가능성이 높다는 것.


그런데 3월말에서 4월초부터는 보다 의도를 담뿍 밴 표적형 랜섬웨어 공격이 포착되고 있다. 아직 분석이 한창 중에 있는 킴실웨어(Kimcilware)라는 랜섬웨어는 마젠토(Magento)로 만들어진 웹 사이트들을 주로 노리는 것으로 보인다. 마젠토는 온라인 쇼핑몰 구축에 가장 널리 사용되는 솔루션으로, 랜섬웨어의 공격이 슬슬 온라인 상거래 쪽으로 넘어가는 것 아니냐 하는 의문이 함께 제기되고 있다.

이와 더불어 목표를 정해두고 하는 APT 공격이 불특정다수를 향한 랜섬웨어의 창궐로 인해 살짝 유행이 지나는 듯 하다가, 다시 APT와 비슷한 표적형 공격으로 다시 돌아가는 것과 같은 큰 흐름의 변화도 눈에 띄는 부분이다. 특히 지난 주 월스트리트저널 등 주요 일간지에서 대형 법률 사무소들이 1년 전 겪었던 사이버 범죄들을 보도하면서 법률 사무소들에 보안 업체들의 시선이 모이고 있는 상태다.

법률 사무소들을 노리는 사이버 공격이 새로운 발견도 아니고, 이번에 대대적으로 다루어진 기사의 내용조차 1년 전의 사건을 다루고 있는데, 왜 이게 해외 보안업계의 주목을 받고 있는 것일까?

먼저 법률 사무소에서 일어나는 사이버 공격이 대중에게 좀처럼 공개되지 않는 게 보통인데, 시사 일간지에서 언급을 했기 때문이다. 공공연한 비밀로서 쉬쉬해왔던 상처가 이번에 터진 것과 같다. 그만큼 법률 사무소에 깊이 숨겨져 있는 정보들은 민감하고 중요한 정보라는 뜻이 된다. 사이버 공격의 소식을 접하는 사람들의 인식이 ‘아, 병원엔 환자가 있으니까 중요하구나’에서 ‘아, 법률 사무소들도 중요한 일들을 처리하니 중요한 정보가 많겠구나’라고 우르르 옮겨가는 것과도 같은 분위기이기도 하다.

법률 사무소에서 다루는 가장 중요하고 민감한 정보로 1순위에 떠오르는 것은 M&A 관련 정보다. M&A라고 하면 “힘과 자금을 확보한 기업의 지나친 M&A로 인해 시장 전체의 경직화 혹은 새로운 형태의 모노폴리가 우려된다”고 일부 전문가들이 예상할 정도로 최근 몇 년간 활발하게 진행되고 있는 활동으로 법률 사무소가 덩달아 바빠지는 대표적인 장소라는 예상이 가능하다. 어떤 기업이 어떤 기업을 얼마에 거래하고 있다는 정보만 알아도 리스크가 낮은 주식투자도 가능해질 정도로 값어치가 높은 정보가 오고간다.

이 분야가 주목을 받는다는 건 법조계가 병원만큼이나 뚫기 쉽다는 뜻도 된다. 이스라엘의 사이버 보안 기업인 사이버리스크(CybeRisk)의 CEO인 요람 골란드스키(Yoram Golandsky)는 한 대형 법률 사무소의 침투 테스트를 진행해보았다며 “네트워크를 장악하는 데에 48시간도 걸리지 않았다”고 말하며 “특히 특정 변호사를 표적삼아 공격을 진행할 경우 매우 빠르게 성공할 수 있다”고 증언한 바 있다. 비슷한 테스트를 유명 IT 기업에 했을 때는 “3주가 걸릴 정도로 매우 어려웠다”고 비교하기도 했다.

보안의 측면에서 보면, 중요한 정보가 있다는 것과 보안이 이전부터 매우 취약하다 점에서 법률 사무소나 병원이나 동일하다. 그러나 둘에는 중요한 차이가 있다. 앞서 언급한 대로 표적형 공격이 다시 유행하는 시점이 될 가능성이 높기 때문이다.

이미 병원을 공격한 사이버 범죄자들은 랜섬웨어의 달콤한 수익성을 맛보았고, ‘의료업계라는 산업에 랜섬웨어 공격이 잘 먹힌다’는 사실을 학습했다. 무차별적인 공격이 의료산업이라는 곳으로 집중되었고, 그 결과를 우리는 이미 알고 있다. 그렇게 학습된 것이 마젠토를 기반으로 한 온라인 쇼핑몰 쪽으로 응용되고 있는 흔적이 발견되었고, 그 흐름이 법조계의 값어치 높은 정보들과 만났을 때 엄청난 폭발력을 발휘할 수 있을 거라는 예견이 지금 이루어지고 있는 상태인 것이다.

게다가 랜섬웨어가 단지 ‘협박을 통해 수익을 올리는’ 도구만이 아니라는 사실도 주목해야 한다. 피해자와 수사기관이 랜섬웨어에 집중하는 동안 정보탈취 등의 다른 사이버 범죄 활동을 비교적 안전하게 수행할 수 있다. 표적형 공격이라면, 법률 사무소에 랜섬웨어 공격을 한 뒤, 뒤에서 M&A 관련 정보를 빼내는 공격도 얼마든지 가능하다는 걸 생각해볼 수 있다.

여기에 요즘 익스플로잇 키트나 대행 서비스 등으로 랜섬웨어 공격이 간단해졌다는 사실도 간과하면 안 된다. M&A 정보 등 법률 사무소에서 보관하고 있는 정보들은 경쟁사가 노리기에 더 없이 정보이기 때문이다. “해커의 공격인 것처럼 가장해 경쟁사의 민감한 정보를 파헤치러 법률 사무소를 노리는 기업도 이미 많은 것으로 알고 있습니다. 법률 사무소를 노리는 해커들이 많아지면, 이런 불법 스파이 행위도 더 많아지게 될 것입니다. 지금 병원들이 겪는 랜섬웨어 사태와는 비교 할 수 없는 혼란상태가 예상됩니다.” 골란드스키의 설명이 매우 실감난다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>