2017년 급증한 랜섬웨어, 계속 진화하면서 범죄 돈벌이 될 것
GDPR 이용해 기업에서 돈 뜯어내는 범죄자 활동도 많아질 듯

[보안뉴스 오다인 기자] ‘디지털 익스토션(Digital Extortion)’은 디지털 상에서 공격자가 행하는 각종 갈취와 강탈, 협박을 가리키는 말이다. 전형적인 예로 랜섬웨어가 있다. 사이버 범죄자들은 현재 랜섬웨어를 뛰어넘는 새로운 협박 방식들을 찾고 있는 것으로 보인다.


랜섬웨어 공격으로 경영에 차질이 빚어질 때 기업 다수가 기꺼이 돈을 지불하리라는 사실을 사이버 범죄자들은 배웠다. 보안업체 트렌드 마이크로(Trend Micro)의 ‘디지털 익스토션: 미래를 향한 관점(Digital Extortion: A Forward-Looking View)’ 보고서에 따르면, 2017년 랜섬웨어는 디지털 익스토션을 급증시켰고, 아직까지 사이버 범죄자들이 애용하는 무기다.

그러나 위협 행위자들은 새로운 협박 전술을 고안하는 중이기도 하다. 트렌드 마이크로의 사이버 보안 최고 책임자 에드 카브레라(Ed Cabrera)는 “공격 모델 자체가 변화했다는 사실을 몇 가지 공격에서 분명하게 확인할 수 있었다”고 말했다. “사람들이 디지털 흔적(digital footprint)을 점점 더 많이 남길수록 공격자들은 그 즉시 영향을 미칠 수 있는 부분들을 더 많이 찾아내게 됩니다.”

카브레라는 디지털 익스토션의 기본 골조가 물리적인 세계에서도 오랜 시간 존재해 왔다고 설명했다. 원래부터 있었던 협박의 뼈대가 이제 막 디지털 세계에서 등장하기 시작했다는 것이다. 공격자들은 특정 파일, 특정 시스템, 특정 데이터베이스를 겨냥할 때 돈을 뜯어낼 가능성이 기하급수적으로 커진다는 사실을 배우는 중이다. 랜섬웨어의 인기는 지속될 것으로 추정되나 다른 유형의 위협들 역시 나타나기 시작했다고 트렌드 마이크로는 지적했다.

익스토션 공격과 범죄의 인프라
카브레라는 “이젠 단순히 파일 보호에 집중하는 것만으론 부족할 것”이라고 경고했다. 사이버 범죄자들은 사물인터넷(IoT)의 성장을 이용할 것이다. 특히, 산업용 사물인터넷 기기를 이용해 피해자들로부터 돈을 뜯어낼 것으로 보인다. 1년 365일 내내 가동돼야 하는 기업들이 공격에 특히 취약할 것이라고 그는 덧붙였다.

“실시간 서비스를 제공하는 기업들, 실시간으로 운영되는 기업들이 공격의 타깃이 될 것입니다.” 카브레라는 핵심 제조업체나 의료기기 업체가 공격 1순위가 될 것으로 추정되며, 민감한 파일이나 문서뿐만 아니라 제조 공장과 로봇도 공격당할 수 있다고 말했다.

제조 공장과 기계는 대개 레거시 시스템으로 운영된다. 패치나 업그레이드가 매우 어렵거나 사실상 불가능한 각양각색의 하드웨어 상에서 운영된다는 뜻이다. 오래된 취약점을 찾는 공격자들에게 이런 시스템은 1순위 타깃이다. 트렌드 마이크로의 보고서는 공급망에 지장을 주는 공격이 확대될 것임을 보여준다. 일례로, 공격자들은 네트워크의 특정 위치에 논리 폭탄 또는 트로이목마를 삽입할 수 있다. 피해자들은 버그의 위치를 찾기 위해, 시스템을 다시 가동시키기 위해 돈을 지불해야만 할 것이다.

일반적으로 랜섬웨어가 노리는 디지털 파일들은 중요 프로세스만큼 튼튼하게 보호되진 않는다. 카브레라는 위협 행위자들이 “양파를 까듯” 타깃 시스템을 하나씩 뚫고 들어가길 원한다고 말했다. 궁극에는 기업이 돈을 지불할 수밖에 없는, 가장 핵심적인 인프라 데이터에 접근하고 싶어한다는 것이다. “공격자들은 기업에 점점 더 깊숙이 침투해서 가장 핵심적인 프로세스를 찾아낼 것입니다. 그 프로세스를 공격했을 때, 돈을 받아낼 수 있다는 걸 아는 거죠.”

소셜 미디어 상의 익스토션도 증가하는 위협 중 하나다. ‘스미어 캠페인(Smear Campaign)’은 SNS에서 허위 정보를 퍼뜨리면서 이를 중단하고 싶으면 돈을 지불하라고 요구하는 공격을 말한다. 여기서 영어 단어 ‘스미어’는 중상모략처럼 누군가의 평판과 명성에 해를 끼치는 일을 뜻한다. 스미어 캠페인은 연예인이나 정치인 같은 유명 인사를 대상으로 유행했으나 유명 브랜드나 경영진을 겨냥하기 시작했다. 기업의 평판은 온라인에서 손상되는 순간, 재구축하기 매우 어렵다.

카브레라는 “현대인은 ‘평판 경제(reputation economy)’ 시대를 살아가고 있다”고 지적했다. “소셜의 시대를 살아가는 최고경영자(CEO)와 이사진은 그들이 무슨 말을 하든 그 즉시 온라인에 올라갈 수 있다는 점을 기억해야 합니다.”

랜섬웨어는 계속해서 활개칠 것
“랜섬웨어는 사라지지 않고 계속해서 진화할 것”이라고 카브레라는 말했다. 보안 전문가들은 2017년 기업 피해의 90%에서 랜섬웨어를 탐지할 정도로 랜섬웨어가 급증했다는 점을 강조했다. 보안업체 소포스(Sophos)에 따르면, 작년에 기업 2곳 중 1곳 이상은 랜섬웨어에 당했고, 평균 피해 횟수는 2번이었다.

랜섬웨어는 사이버 범죄자들에겐 안정적으로 돈을 벌어다주는 수단이고, 피해자들에겐 돈이 줄줄 새는 구멍이다. 소포스는 랜섬웨어로 인한 총비용의 중앙값이 1억 4,266만원(133,000달러)이라고 짚었다. 이 비용에는 복호화 값(즉 랜섬), 정지 시간, 인력 손실, 기기 비용, 네트워크 비용, 기회비용 등이 포함된다. 소포스 설문조사 참가자 2,700명 중 5%는 랜섬웨어 총비용이 13억 9,438만원(130만 달러)에서 70억 7,916만원(660만 달러)에 이른다고 밝혔다.

향후 1~2년간 랜섬웨어 공격자들은 전통적인 멀웨어 기술을 적절하게 재사용해가면서 랜섬웨어에 새로운 기능을 추가해 나갈 것이라고 트렌드 마이크로는 내다봤다. 공격의 속도와 범위를 키우기 위해서 공격자들은 ‘PE(Portable Execuable)’ 감염기나 이보다 더 공격적인 전달 기술을 추가할지 모른다. 또한, 분석자들은 범죄자들이 피해자와의 상호작용을 최소화하기 위한 시스템도 만들어낼 것이라고 예측했다.

카브레라는 유럽 개인정보보호법(GDPR)의 발효가 사이버 범죄자들의 협박 전략을 바꿀 것이라고 전망했다. 사이버 범죄자들은 다가올 변화를 이해하고 있으며, 규정을 준수하지 못할 때 기업이 엄청난 과징금을 지불해야 한다는 사실도 잘 알고 있다. 카브레라는 공격자들이 새로운 규정을 이용해 피해자로부터 정보에 대한 비용을 뜯어낼 것이라고 본다.

“지금 공격자들은 기업을 움직이는 데 무엇이 필요한지 파악하는 중입니다. 그 파악이 끝나면, 툴을 정교하게 가다듬어 기업을 공격하기 시작할 것입니다. 공격자들은 돈과 관련된 모든 측면들을 고려하고 있습니다. 저는 GDPR이 돈을 뜯어내는 수단으로 쓰이리라 확신합니다.”

돈을 줄 것인가, 말 것인가?
질문은 아직 남는다. 협박 공격에 당했을 때, 돈을 줄 것인가? 공격당한 회사에서 돈을 지불하는 것이 최후의 수단으로 판단되는 시점에 이르렀다면, 그땐 이미 실패한 것이라고 카브레라는 말했다.

카브레라는 “개인용 컴퓨터가 랜섬웨어에 당하고 기업 리스크보다 성가신 것으로 여겨지던 시절은 지나갔다”고 말했다. “디지털 익스토션에 대처하기 위해 튼튼한 계획을 갖고 있어야 합니다.”

디지털 익스토션에 당했을 때, 돈을 지불하면 안 되는 이유는 많다. 그러나 방어 계획을 수립하지 못한 기업들은 돈을 지불해야 할지 말아야 할지 장단점을 계산하는 상황에 놓인다.

만약 공격에 당했다면 리스크를 최소화하기 위한 인력과 프로세스, 기술을 갖춰야 한다. 공격자의 손에 들어간 정보를 되돌려 받을 수 있을지 누구도 장담할 수 없고, 돌려받았다 하더라도 공격자가 복사본을 갖고 있는지, 해당 정보들을 훼손했는지에 대한 보장도 없다는 점을 기억하자.

카브레라는 “정보가 아주 조금만 바뀌었더라도 향후 수주 또는 수개월 동안의 운영에 영향을 미칠 수 있을 것”이라고 경고했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>