• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

랜섬웨어 공격과 관련된 최근 현황 네 가지 2017.01.26

2017년에도 성장기인 랜섬웨어...여러 가지 보안 방법을 조합해야

[보안뉴스 홍나경 기자] 랜섬웨어에 대한 보고서가 작년만큼 많이 나온 때가 없다. FBI는 작년 랜섬웨어를 통한 수익이 수조원에 달했다고 발표했고 모든 업계들이 더 이상 랜섬웨어로부터 안전하지 않다고 했다. 또한, 주요인프라기술협회도 보고서를 통해 의료 산업이 얼마나 취약한지 공개했다. 실제로 미국과 독일에 있는 병원들은 랜섬웨어 공격을 당했을 때 환자들의 신변위험을 감수하는 대신 해커들의 금전적 요구를 순순히 들어줬다.


왜 우린 랜섬웨어를 막지 못하고 있는 걸까? 주요인프라기술협회는 그 이유를 랜섬웨어 공격이 돈이 되는 사업이며 기업들의 방어력이 낮기 때문이라고 주장한다. 공격 성공률도 좋고, 수익도 되니 범죄자들이 관심을 가질 수밖에 없다는 것이다.

또한, 랜섬웨어 공격 대처에 있어 FBI와 같은 사법 당국들이 통일된 대응방안을 추천하지 않는 것도 문제를 키우는 꼴이 됐다. 실제로 FBI는 피해 기업들에게 사이버 공격을 당했을 시 해커들에게 돈을 주라고 조언을 한 적이 있다. 여기에 더해 해커들은 샌드박싱 또는 침입 방지 시스템과 같은 기존 보안 도구들을 피해갈 수 있는 방법들도 고안해 내고 있다. 현재 랜섬웨어와 관련된 현황을 네 가지로 정리하면 다음과 같다.

1. 랜섬웨어는 계속 성장 중
보안 솔루션을 구매해 설치하고도 랜섬웨어에 당했다면, 그건 그 보안 솔루션의 수명이 다 됐다는 소리다. 해커들은 계속해서 새로운 종류의 랜섬웨어를 개발 중이다. 기업들의 보안망을 피해 가기 위해 점점 더 다양한 기술들을 사용하고 있다. 백업 파일 복구를 불가능하게 하거나 MS 문서의 매크로 기능 또는 자바스크립트 파일에 숨는 방식으로 위험 감지 기술을 피한다. 랜섬웨어를 개발하는 해커들은 점점 더 영리해지고 있으며, 랜섬웨어를 동료 범죄자들에게 제공하는 서비스도 실시하고 있기도 하다.

2. 기존의 보안 솔루션, 그들에겐 우스울 뿐
파일이 없는 형식의 멀웨어(fileless malware) 등 많은 변종이 등장함으로써 기업 네트워크를 침입하는 방법 또한 다양해지기 시작했다. 블랙리스팅과 같은 평범한 탐지법으로는 새로운 랜섬웨어 공격 기법에 대처할 수 없다. 따라서 한 가지 기술만이 아니라 화이트리스팅, 머신러닝, 보안 침해 지표와 같은 솔루션들을 고루 도입하는 게 필수적이다.

APT 공격의 경우 데이터를 천천히 빼가기 때문에 감염 후에 공격을 감지해도 수습이 어느 정도 가능하지만 랜섬웨어는 피해가 일어나기 전 제때 보호를 하는 것이 중요하다. 그 이유는 한번 랜섬웨어로부터 시스템 공격을 당하면 데이터가 바로 암호화 되어버려 데이터 및 시스템에 접근이 불가능하기 때문이다.

3. 데이터 침입 당한 기업들, 이젠 강제 커밍아웃?
대부분 기업들의 중요한 정보는 법적 규제의 영향을 받는다. 사이버 공격이 발생하고 데이터가 유출되면 해당 기업은 반드시 자신들의 소비자와 협력 기업에 이 사실을 알려야 한다. 만약 이러한 규제를 어기면 상당한 벌금이 부과된다.

랜섬웨어 공격이 데이터 유출로 이어지지 않을 수도 있다. 하지만 그렇더라도 기업들은 공격을 당했을 때 이 사실을 밝혀야 한다. 유출이 되지 않았다고 확신할 근거가 없고, 쉬쉬했다가는 더 큰 일이 생길 수도 있다. 실제 미국 연방거래위원회는 자신의 소비자 정보를 지키는 데 실패한 기업들을 점점 더 엄격하게 관리하고 있다. 최근 연방거래위원회 회장인 에디스 라미레즈(Edith Ramirez)는 심지어 기업이 공격의 피해를 보지 않았다고 하더라도 랜섬웨어 공격을 방어하는 데 실패했다는 이유만으로 법 집행 조치를 당할 수 있다고 말했다.

4. 공격 후 데이터 복구는 제2의 피해
랜섬웨어 공격을 받은 후 데이터 및 파일들을 복구하는 방법은 복잡하고 금전적으로도 비용이 많이 든다. 그리하여 특히 중소기업들이 랜섬웨어 공격을 당했을 때 시스템을 복구하는 대신 해커에게 돈을 지불하는 방식을 택하는 것이다. 뿐만 아니라 복구에 매달리느라 IT 인력들이 다른 업무를 볼 수가 없다. 이 역시 분명한 손해다.

하지만 사실 이보다 더 심각한 건 파일들을 마구잡이로 삭제해 버리는 유형의 랜섬웨어에 당하게 됐을 때이다. 이렇게 되면 복구를 실행할 수조차 없기 때문이다. 랜섬웨어에 대해서 만큼은 사전 예방이 더 중요한 것이 바로 이 때문이다.

글 : 댄 라슨(Dan Larson)
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>