랜섬웨어 사전예방-대응-복구 단계별 최적의 대안은?
직원들에 대한 예외 없는 보안정책 적용 및 평가로 사전예방 환경 마련해야

[보안뉴스 원병철 기자] 글로벌 기업들과 국내 보안업체들은 2017년 보안이슈를 발표하면서 한결같이 ‘랜섬웨어’를 꼽았다. 2016년에 이미 그 위력을 발휘했던 랜섬웨어였지만, 2017년에는 그 이상의 파괴력으로 개인과 기관, 정부와 세계 각국을 괴롭혀온 결과다. 아니나 다를까. 2017년 5월 워너크라이(WanaCry) 랜섬웨어는 등장하자마자 전 세계를 강타했고, 2017년 6월 인터넷 웹 호스팅업체 인터넷나야나가 랜섬웨어에 감염되어 약 13억 원에 달하는 몸값을 지불하면서 충격을 안겼다.


이처럼 랜섬웨어는 정부부처와 공공기관은 물론 기업과 개인까지 모두를 노리고 있으며, 큰 피해를 입히고 있다. 이 때문에 각 분야의 보안담당자들은 랜섬웨어 예방과 대응에 초점을 맞추고 있지만, 여러 가지 어려움을 토로하고 있다. 이러한 가운데 노광래 행정안전부 주무관, 박순태 KISA 팀장, 홍종흠 CJ올리브네트웍스 부장, 노규남 가비아 이사 등 각 분야의 보안전문가들이 제11회 국제 사이버 시큐리티 콘퍼런스(ISEC 2017)에 한데 모여 각 담당자별로 랜섬웨어 예방 및 대응 경험을 공유하는 시간을 가졌다.

정부, 랜섬웨어 예방...결국은 기본에 있다
노광래 행정안전부 주무관은 먼저 2017년 사이버 위협 동향에 대해 소개했다. 노 주무관은 “우리나라는 홀수년도에 큰 사건이 많이 일어나서 보안담당자들은 홀수년도만 되면 긴장한다”면서, 2009년 국가 주요기관 디도스 공격, 2011년 3·4 디도스 공격과 농협 전산망 해킹, 2013년 3·20 사이버테러 등을 언급했다.

“2015년에는 다행이 큰 사건 없이 지나갔는데, 2017년에는 사드배치로 인한 중국발 사이버 공격과 워너크라이, 인터넷나야나 사태와 아르마다 콜렉티브의 공격, 페트야 랜섬웨어 등 다양한 사이버공격들이 일어났습니다. 그리고 그 중심에는 랜섬웨어가 있었습니다.”

노 주무관에 따르면 정부와 48개 기관들은 국가정보자원관리원(구 정부통합전산센터)이 총괄 관리하면서 보안을 강화하고 있고, 다단계 방어 시스템과 분석 시스템 등 사이버 위협 방어체계를 구축했다고 강조했다.

“정부는 다양한 솔루션과 대응체계를 통해 각종 위협으로부터 방어를 하고 있지만, 사고는 언제든지 일어날 수 있다는 마음으로 구성원들의 정보보호 인식과 수준을 높이기 위해 노력하고 있습니다. 이를 위해 주기적으로 취약점 점검과 사이버 침해대응 훈련을 하고 있습니다.”

특히, 노 주무관은 워너크라이 발생 당시 상황을 소개하며 랜섬웨어 대응방안에 대해 설명했다. “랜섬웨어 등 공격이 발생하면 얼마나 빨리 인지하느냐에 따라 파급효과가 달라집니다. 워너크라이가 알려졌을 때 정부는 국자정보자원관리원과 지자체 등에 상황을 전파하고, 전 기관에 비상대응 및 긴급 점검을 요청했습니다. 그리고 대응조치로 백업 수행 여부를 확인했습니다. 이후 공격자를 확인하고 근원지를 차단하는 데 주력했습니다. KISA와 국가정보원을 통해서 IP와 서비스 포트 등을 점검하고, 보안 탐지와 차단 정책을 수립해 각 부처와 지자체에 배포했습니다. 마지막으로 사이버 위기경보를 발령하고 비상근무를 수행했습니다.”

랜섬웨어 등 외부 공격에 대한 효과적인 대응방안으로 노 주무관은 기본에 충실할 것을 요구했다. “해커가 한 사이트를 뚫기 위해 약 10만 번의 공격을 한다고 합니다. 패스워드 관리와 취약점 조치, 공유폴더와 보안패치 등 기본에 충실하면 대부분의 공격에 대한 방어가 가능합니다.”


기관, 보안에 예외란 없어...불편해도 보안 먼저
두 번째 강연자로 나선 박순태 KISA 팀장은 ‘공공기관의 랜섬웨어 대응실태’에 대해 설명했다. 박 팀장은 2016년부터 정보보안팀에서 실무를 맡았다면서 “실제 정보보안 업무를 담당하다 보니 보안 인식이 많이 바뀌었다”고 말했다.

“KISA는 매월 하루를 사이버보안 진단의 날로 정해서 보안을 체크하고 있습니다. 이를 지키기 않았을 경우 인터넷, 그룹웨어, 이메일 등을 강제로 차단해 보안에 대한 직원들의 인식을 바꾸고 있습니다.”

직원들이 조금 불편할지라도 보안을 강화하는데 주저함이 없어야 한다는 박 팀장은 메일을 통해 악성코드 공격이 많이 들어오기 때문에 링크드인이나 페이스북, 트위터 등 SNS 기반의 메일도 다 차단하고 있다고 강조했다. “보안에 예외란 없습니다. 조금 불편하더라도 모두의 안전, 모두의 보안을 지켜야 한다고 생각합니다.”

기업, 백업 통한 빠른 업무 재개에 초점 맞춰야
홍종흠 CJ올리브네트웍스 부장은 기업의 랜섬웨어 대응전략에 대해 설명했다. 홍 부장은 “최근 랜섬웨어가 취약점, 사회공학적 공격 등 다양한 방법으로 공격하고 있다”면서 첫 번째가 감염되지 않도록 방어를 잘 하는 것이지만, 랜섬웨어에 감염됐다면 피해를 최소화하고 확산되지 않도록 하는 것도 중요하다고 강조했다. “무엇보다 백업을 통해 빠르게 업무를 재개할 수 있도록 하는 것이 필요합니다.”

홍 부장은 최근 해킹 등 공격 트렌드가 웹 공격보다는 악성코드 기반의 APT 공격이 많았다고 설명했다. “PC의 경우 백신을 효율적으로 활용해야 합니다. 백신의 한계도 물론 존재하지만, 최근에는 AI 기술 등도 조금씩 접목되고 있는 만큼 백신을 활용해 랜섬웨어 공격을 최대한 막을 수 있도록 해야 합니다.”

또한, 홍 부장은 “서버는 이상징후를 알아낼 수 있는 기술을 잘 활용해야 한다”면서, 실시간 로그나 실시간 외부위협 공유체계 등을 갖춰야 한다고 강조했다.

“랜섬웨어는 이제 IoT나 스마트폰으로 확대될 것이 분명합니다. 이 때문에 보안담당자들은 직접 관리하지 않던 IT 시스템이나 서버, IoT 기기 등에 대해서도 관심을 갖고 관리해야 합니다.”

웹호스팅, 침해지수 계산해 보안 취약점 줄여야
인터넷나야나 사태로 이슈의 중심에 섰던 호스팅업체의 대표로 나온 노규남 가비아 이사는 기업의 침해 가능성을 지표화한 침해지수를 소개했다. “인터넷나야나 사건을 겪은 이후, 주변에서 혹은 고객들은 가비아의 보안위협에 대해서도 걱정을 했습니다. 사건 이후 저를 비롯한 가비아 직원들은 보안을 강화하는데 최선을 다했지만, 이를 정량적으로 측정할 수 있는 지표가 없어 설명하기 힘들었습니다. 그래서 침해지수를 직접 계산해보기로 했습니다.”

가비아는 침해지수를 계산하면서 어떤 것들이 위협이 되는지 분석했고, 이를 바탕으로 위협을 줄여가는 데 집중했다. “현재 보완작업을 진행하고 있습니다. 하지만 가비아는 언제든지 공격에 당할 수 있다는 가정 하에 정책을 수립해야 하는 만큼 공격 당해도 빠르게 대응하고 조치할 수 있도록 가시성을 확보하고 있습니다. 그리고 이번 사건을 계기로 새로운 보안모델을 검증하고 도입하는데도 노력할 계획입니다.”

발표가 모두 끝난 후, 발표자들은 페이스북을 통해 참관객들과의 질의응답을 진행했다. 노광래 행정안전부 주무관은 점점 진화하는 랜섬웨어에 어떻게 대응해야 하는가라는 질문에 대해 “공격자는 장기간에 걸쳐 공격하는 경우가 많은데, 최근 빅데이터를 기반으로 6~12개월의 자료를 분석하다보면 그동안 찾기 힘들었던 공격 징후들을 찾을 수 있을 것”이라며 빅데이터 활용방안을 제안했다.

보안에 대한 직원들의 경각심 고취는 어떻게 해야 하는지에 대해 박순태 KISA 팀장은 “사람들은 자기가 피해를 입거나 불편해야 바뀐다”면서, “KISA 역시 그룹웨어와 메일 등을 차단하고, 각 부서별로 보안을 잘 지키는지 평가했더니 도움이 됐다”고 설명했다. 이어 그는 “보안에 대한 평가를 승진 등에 적용하면 보안을 강제화하고 직원들의 참여를 이끌어낼 수 있을 것”이라고 덧붙였다.

또한, 홍종흠 CJ 올리브네트웍스 부장은 USB나 개인의 외부 클라우드를 이용한 백업 사용 여부를 묻는 질문에 “정보유출 가능성이 있기 때문에 권장하지 않는다”면서 내부 클라우드를 활용할 것을 강조했다. 또한, 한정된 예산 때문에 랜섬웨어 예방, 대응, 복구 중 1단계만 선택할 수 있다면 어떤 단계를 선택해야 하는지 묻는 질문에 ‘예방’을 꼽으며 “하지만 예방을 아무리 잘해도 100%는 있을 수 없기 때문에 최소한의 대응과 복구방안도 마련해야 한다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>