[기고] 랜섬웨어 예방과 대응을 위한 사이버보안 강화 방안

차민석 안랩 수석연구원

▲차민석 안랩 수석연구원

올해도 랜섬웨어 피해가 지속되고 있다. 미국은 5월 송유관 운영사가 랜섬웨어 공격으로 기름 공급에 문제가 발생했고 6월 축산가공업체가 손해를 입었다. 7월 관리 프로그램의 취약점을 이용해 해당 제품 고객들이 랜섬웨어에 감염됐다. 이제 사이버 공격이 점차 현실 세계에도 영향을 주고 있다.

랜섬웨어 범죄조직은 이미 조직화·분업화됐다. 랜섬웨어 운영 조직은 언더그라운드 해킹 포럼 등에서 협력자를 모집한다. 협력자들은 랜섬웨어를 구매해 퍼뜨리고 랜섬웨어 제작자가 피해자로부터 받은 몸값의 일부를 받는다. 배포자에 따라 같은 랜섬웨어도 지역별로 공격 목표가 달라지기도 한다. 레빌(REvil) 그룹의 한국 내 협력자는 기업보다는 개인 사용자를 주로 공격하고 있어 기업을 주로 공격하는 다른 나라와는 다른 특징을 가지고 있다.

보안 업체에서도 랜섬웨어에 대비해 랜섬웨어가 파일 암호화 행위를 차단하는 시도나 백업 프로그램 등 다양한 제품과 서비스를 출시하고 있다. 하지만 랜섬웨어 조직도 보안 제품을 분석해 우회하는 방법을 찾고 있어 창과 방패의 싸움이 이어지고 있다.

초기 랜섬웨어는 메일이나 웹서핑으로 랜섬웨어에 감염됐다. 하지만, 공격자들은 더 큰 돈을 벌기 위해 개인보다 기업을 노리기 시작했고 기업에서 사용하는 관리 시스템 등의 취약한 부분으로 은밀히 내부 시스템에 침입해 시스템을 하나씩 장악하고 정보를 유출하고 기다렸다가 마지막에 랜섬웨어를 배포하고 돈을 요구하고 있다. 심지어 공격자가 내부 시스템을 장악하고 상당 기간 모니터링만 하는 예도 있다.

마지막 순간에 랜섬웨어를 감염시킨다는 점을 제외하면 일반적인 지능형 지속 공격(APT)과 크게 다르지 않다. 랜섬웨어는 감염 사실을 바로 알 수 있는 데다, 공격을 당한 기업이나 단체는 다른 사이버 공격에도 취약해진다. 특히 사회기반시설의 경우 국민의 생명에 영향을 끼칠 수 있다. 따라서 랜섬웨어뿐만 아니라 악성코드, 해킹 등의 사이버 공격 전반에 대비하는 자세가 필요하다.

기업이나 조직 보안팀은 적합한 보안 정책을 마련해 보안사고를 예방하고 보안사고가 발생할 경우 효과적으로 대응하고 회복할 수 있도록 노력하고 있다. 하지만, 현실적으로 예산과 인력이 제한적이라 많은 개별 기업의 기존 보안 역량이 높지 않은 경우가 많다.

그렇다면 랜섬웨어를 포함한 사이버 공격에 대비하기 위해서 어떻게 해야 할까? 우선 지역과 외국 지사를 포함한 내부 시스템 현황을 파악하고 다양한 보안솔루션을 내부 상황에 맞게 개인화하는 것이 필요하다. 내부 시스템 가시성 확보, 장기간 다양한 로그 보관, 내부에서 발견된 악성코드 보관 등을 대비해야 한다. 어떻게 침해당했는지, 악성코드가 얼마나 퍼졌는지, 다른 악성코드가 존재하지 않는지 확인하지 않으면 다시 감염될 수 있다.

현재 사이버 공격은 개인 컴퓨터를 비롯한 다양한 경로로 시도된다. 관문을 지키던 보안관제, 알려진 악성코드를 진단하는 백신 프로그램에서 행위 기반 제품, 가시성 확보를 위한 EDR 등의 제품이 등장하고 일부 제품은 인공지능 탑재를 강조하고 있다. 하지만 백신 프로그램은 분석 결과를 누군가 최종적으로 판단해야 하는 경우가 많고 보안 장비 운영자 역시 그냥 방치하는 일이 생길 수 있다. 악성코드로 인한 내부 침해 사고의 경우 백신 업체에서는 제품을 통한 대응 외에 추가 정보를 제공할 수 없는 경우도 있다. 악성코드 분석만으로는 어떻게 감염됐는지 확인할 수 없는 데다, 내부 환경을 알 수도 없다. 특정 영역에서만 사용되는 플랫폼이나 소프트웨어의 경우 보안 업체 분석가는 추가 학습 시간이 필요해 분석에 걸리는 시간이 늘어날 수밖에 없다.

보안 제품의 가시성을 이용해 내부에서 발생하는 공격 시도와 침해 사고를 조사하고 관련 악성코드를 분석할 수 있는 분석가가 필요하다. 보안팀에 분석가가 있으면 가장 좋고 사정상 보안팀에 분석가가 없다면 보안회사에서 제공하는 분석 서비스를 받는 것도 좋겠다. 분석가가 확보되면 각종 기사, 보안 업체와 보안 기관에서 공개하는 위협 분석 정보, 사이버 위협 인텔리전스(TI) 서비스 등을 통해 다양한 위협 정보를 수집하고 자사에서 발생하는 침해사고와 악성코드를 비교해 대응 방안을 마련해야 한다. 보안팀의 분석가가 모든 위협 정보를 파악하는 건 불가능에 가깝다. 따라서 자신의 업종이나 조직을 주로 공격하는 위협 그룹에 대해서는 공격 방식 등의 관련 정보를 상세히 파악해야 한다.

불행히 사이버 보안사고는 100% 막을 수 없다. 예방 및 대응 체계를 갖추고 침해 사고가 발생하면 빠르게 복원할 수 있는 능력을 키워야 한다. 신뢰받는 프로그램을 통한 공격을 예방하는 건 매우 어렵다. 공급망 공격은 알아차리기 어려우므로 예방에 최선을 다해야 하지만 공격에 뚫렸을 때 빨리 복구할 방안도 마련해야 한다.

국가 지원을 받는 위협그룹만큼 돈을 목적으로 한 사이버범죄 조직은 빠르게 진화하고 있다. 이런 사이버 위협에 맞춰 보안팀의 역량을 강화하기 위해서는 추가적인 인력이 필요해 일정 규모 이상의 기업이나 조직이 아니라면 보안팀에 별도 대응 및 분석 조직을 함께 갖추지는 못하고 있다. 기업이나 조직의 보안팀에 대한 인식 개선과 투자가 필요하다. 물론 보안팀뿐 아니라 전 직원의 보안에 대한 인식 개선도 필요하다.