결국 가장 보안이 강력한 산업도, “가장 조심해야 할 것, 랜섬웨어”
백업 서비스 잘 한 경찰국, 복구하는 동안 랜섬웨어 잊었을 정도

[보안뉴스 문가용 기자] 랜섬웨어의 위협이 이전보다 더 ‘실제적’이 되었다. 정보보안의 측면에선 가장 우수하다고 여겨졌던 금융 서비스 산업의 가장 큰 적이라고 공식 판명된 것이다. 이는 SANS에서 최근 금융기업들을 대상으로 랜섬웨어 및 사이버 공격 피해 현황을 조사하면서 발견된 사항이다.


SANS에 따르면 55%의 금융 서비스 기업들이 랜섬웨어를 가장 큰 위협으로 꼽았으며, 그 뒤로 피싱 공격(50%)이 뒤를 이었다고 한다. 피싱 공격은 이전 조사에서 1위를 차지했던 공격 기법이기도 하다. 32%의 금융 서비스 기업들이 최소 10만 달러에서 50만 달러를 랜섬웨어 공격으로 잃었다고 밝혔다.

랜섬웨어가 금융 산업의 가장 큰 위협거리로 꼽혔다는 건 큰 의미를 가지고 있다. 엄청나게 강하고 사악하기까지 한 악당이 동네 도장들을 다 격파하고 다녀도 굳건함을 유지했던 영원한 강자이자 정신적 지주였던 ‘넘버원’ 도장마저 쓰러진 것과 같은 충격과 비교할 수 있다. 그 사악한 악당이 이제 눈치 볼 것이 없어졌다는 뜻이기도 하며, 방어는 이제 각자의 몫으로 완전히 귀속되었다는 의미다.

실제 랜섬웨어 공격은 지난 1월부터 하루에 4천번 넘게 발생해왔다고 하며, 이는 작년에 비해 300%나 증가한 수치다. 보안 전문업체인 트렌드 마이크로(Trend Micro)는 랜섬웨어 때문에 기업들이 입은 피해가 2016년 전반기만 2억 9백만 달러에 달한다고 발표하기도 했다.

공격자들은 또한 랜섬웨어로 현혹한 후 다른 공격을 감행하기도 한다. 랜섬웨어로 시스템이나 네트워크를 마비시킨 후 디도스 공격을 한다거나 하는 식이다. 세계적으로 디도스 공격이 크게 증가한 것은 랜섬웨어의 증가와 관련이 깊다고 보안 업체인 뉴스타(Neustar)가 최근 발표하기도 했다.

랜섬웨어 공격은 산업이나 분야를 가리지 않고 다방면으로 발생하고 있다. 그리고 랜섬웨어라는 필터를 거쳤을 때 모든 산업의 모든 기업들은 두 가지로 명쾌하게 분리된다. 돈을 낸 기업과 돈을 내지 않고 살아남은 기업으로 말이다. 이 차이의 뿌리는 딱 하나로 연결되는데, 바로 ‘준비도’다. 물론 운도 어느 정도 작용하긴 하지만, 평소 대비가 잘 되어 있는 곳은 랜섬웨어의 협박에 돈을 내지 않아도 되었다.

지난 달 랜섬웨어에 처음 감염된 반스터블 경찰국을 예로 들어보자. IT 책임자였던 크레이그 허위츠(Craig Hurwitz)는 경찰 병력 파견 소프트웨어와 기록 관리 시스템이 작동하지 않기 시작하면서 이상하다는 생각을 하기 시작했다. 즉시 조사를 시작했고 파일들이 암호화되고 있는 걸 발견하기에 이르렀다. 파일 확장자 또한 변하고 있었다. “원하는 파일을 찾을 수가 없었어요. 보니까 텍스트 파일만 하나 덩그러니 있더라고요. 내용은, 돈을 내라는 것이었고요.”

그래서 경찰국은 무선 통신으로 병력을 교대, 파견했다. 순찰차를 동원해 병력을 데리러 가고, 또 데려다 놓기도 했다. 그러는 동안 허위츠는 경찰국이 얼마 전 구입한 데이터 백업 및 저장 시스템 벤더에게 연락했다. 그리고 저장된 데이터는 물론 데이터의 타임스탬프를 요구했다. “백업한 데이터를 가지고 시스템을 복구시킬 때 가장 걱정되었던 건 서버가 다운되거나 하드드라이브가 튕기는 거였습니다. 랜섬웨어는 거의 잊어버렸어요.”

랜섬웨어 공격을 받았으나, 잊어버리고 복구에 집중했다는 허위츠는 결국 35분만에 아무런 데이터 손실 없이 경찰국을 원래대로 돌려놓을 수 있었다. 당연히 돈도 내지 않았다. 랜섬웨어는 애플리케이션 서버에서 발견되었고, 그 이상 퍼지지 않았다. “드라이브들을 클로닝하고 타임스탬프를 감염 2분전으로 돌렸습니다. 그리고 다시 드라이브를 마운팅 시켰습니다.”

랜섬웨어 공격으로부터 살아남는 가장 좋은 방법은 백업이다. 이는 항상 강조되어왔던 것으로, 아무리 최신 버전의 소프트웨어와 이메일 필터링 솔루션 등이 설치되어 있어도 랜섬웨어로부터 완전히 면역될 수 없기에 늘 걸릴 걸 예상하고 데이터를 백업해 두는 게 최고의 방법인 것은 분명하다. 그래서 많은 조직들이 주기적으로 백업을 하고 있다.

중요한 건 백업의 관리다. 여기서 돈을 내는 기업과 내지 않는 기업이 갈라진다. 보안업체 트립와이어(Tripwire)의 보안 엔지니어인 트라비스 스미스(Travis Smith)는 3-2-1 전략을 사용하라고 권장한다. “데이터 복사본은 항상 세 개씩 유지해야 합니다. 하나는 완전히 물리적으로 다른 공간에 보관해야 하고요. 백업 저장소를 노리는 랜섬웨어도 많아졌으니, 백업을 한 번만 해서는 안전하다고 볼 수 없습니다.”

또한 중요한 정보의 경우 백업된 저장소에서 적어도 6개월에 한 번, 1년에 두 번, 실험을 해야 한다. “그리고 데이터가 조작되거나 손상되지는 않았는지, 권한 있는 사람의 접근이 여전히 가능한지를 살피는 것이 주된 목적입니다.” 백업을 한 기업의 경우 랜섬웨어로부터의 복구 성공률이 75%에 달한다고 한다. 이 회사들은 당연히 범인들에게 돈을 낼 필요가 없게 된다.

사용자들은 민감한 데이터를 엔드포인트에 저장하는 습관을 고쳐야 한다고 스미스는 강조한다. “그리고 중요 데이터는 항상 중앙 서버에서만 관리하도록 해야 하죠. 랩톱이 랜섬웨어에 당했는데, 중요한 정보가 중앙 서버에 없다면, 돈을 낼 수밖에 없는 상황에 봉착할 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>