해커들, 랜섬웨어 공격위해 1년간 시스템 허점 뒤졌다

KISA 랜섬웨어 대응책 공개

기업 시스템에 침투한 해커가 랜섬웨어 공격을 실제로 시행하기까지 걸리는 시간이 평균 1년에 달한다는 분석이다. 랜섬웨어에 대한 관심과 점검이 부족하다보니 해커들이 시스템을 뚫고 들어온 뒤 허점을 분석해 공격할 시간을 벌어주고 있는 셈이다.

30일 한국인터넷진흥원(KISA) 종합분석팀이 실제 랜섬웨어 피해기업 사례를 분석한 결과 랜섬웨어 공격에 걸리는 시간은 약 1년이다. 해커가 시스템 침투 후 중앙 관리 시스템에 거점을 마련하고, 관리가 소홀하면서도 치명적인 공격이 가능한 허점을 찾아 실제 공격을 시행하기까지 걸리는 시간이다. 랜섬웨어는 랜섬(Ransom, 몸값)과 소프트웨어의 합성어로 핵심 데이터를 마비시킨 뒤 이를 빌미로 몸값을 요구하는 해킹 방식을 이른다.

이재광 한국인터넷진흥원(KISA) 종합분석팀 팀장은 "기업들이 1년 간 사실상 손을 놓고 있다 당한다는 뜻"이라며 "반대로 해커들이 주로 노리는 지점을 평상시 잘 관리하면 그만큼 피해를 막을 시간이 충분하다는 의미이기도 하다"고 말했다.

기업을 노리는 해커가 주로 중앙 관리용 시스템을 공략하는 이유는 기업 내부망 전체에 랜섬웨어를 한 번에 뿌릴 수 있기 때문이다. 주 공략 지점은 AD 서버와 관리자PC 등이다. AD서버는 전체 시스템의 계정이나 접근권한 등 정책을 관리하는 곳이다. 최근에는 테스트서버를 공략하는 경우도 늘어났다. 테스트용이라 보안관리가 비교적 허술하다는 점을 노린 것이다.

이재광 한국인터넷진흥원(KISA) 종합분석팀 팀장이 30일 오전 열린 KISA 이슈앤톡 행사에서 랜섬웨어 대응방안을 설명하는 모습. /사진제공=KISA

━

"관리자 PC 집중 관리 필요...백업만으론 부족"

━

관리자 PC와 중앙관리용 솔루션이 주 공략 대상인만큼 평상시 집중관리하면 피해를 어느 정도 막을 수 있다는 지적이다. 관리자 PC는 반드시 망 분리를 통해 인터넷 연결을 차단해야 하며, 중앙관리용 소프트웨어는 주기적으로 보안패치를 설치해 취약점을 보완해야 한다. 관리자 PC 계정에 이중 인증 등을 설정해 두는 것이 안전하다. 취약점 보완을 위해 KISA나 보안기업 등에 기술지원을 받는 것도 방법이다.

데이터 백업과 백신 프로그램 설치만으론 안심할 수 없다는 제언도 나왔다. 백업 데이터를 부실하게 관리한 탓에 정작 시스템 복구가 안 되는 경우도 있어서다. 백업 서버를 인터넷에 연결해두거나 일반 서버와 같은 관리자 계정으로 운영하다 랜섬웨어 공격을 당하기도 한다. 이 팀장은 "백신이 악성코드를 탐지해 막아냈다고 하면 보통 시스템이 안전하다는 뜻으로 오해하지만, 사실 시스템이 공격을 받고 있어 위험하다는 의미"라며 "백신이 탐지한 취약점을 빨리 보완해야 한다"고 말했다.

피해 발생 후 정밀진단도 또 다른 피해를 막을 수 있는 방법이다. 이 팀장은 피해 발생 후 바로 시스템을 포맷하지 말아야 한다고 제언했다. 복구됐더라도 시스템에는 또 다른 침투 가능한 취약점이 남아 있을 수 있어서다. 이 팀장은 "시스템 로그기록을 남겨 해커 침투경로와 활동범위를 식별해 취약점이 없는지 살펴야 한다"고 말했다.

최근 랜섬웨어 공격이 일상화하면서 기업들도 리스크 관리차원에서 대응전략을 고민해야 한다는 지적도 있다. 랜섬웨어 공격을 당하면 기업 운영 전체가 마비되며, 백업 데이터가 있더라도 복구 작업에만 약 한 달이 소요된다. 이 팀장은 "많은 기업들이 복구될 때까지 이렇게 오래 걸릴거란 생각을 많이 못한다"며 "사업의 연속성을 저해할 수 있는 서비스 장애에 대한 고민과 준비가 필요하다"고 말했다.

[관련기사]☞ 김연경, 축구·야구 지고 배구만 이겨 "더 뿌듯해"?→MBC 또 논란☞ 중국서 강간은 사형인데…엑소 전 멤버 크리스 강간죄로 구속☞ 데이비드 베컴 상의 벗은 모습에 아내 "난 행운아"…가족휴가 중☞ 선미, 볼륨감 드러낸 '120만원' 브라톱+트임 패션…"어디 거?"☞ 버핏 "나처럼 부자 되려면"…마지막 반전 조언[줄리아 투자노트]

차현아 기자 chacha@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>