올해 랜섬웨어 피해 22조 전망.."1년 전부터 징조 보여"

이후섭 2021. 8. 1. 12:02
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
올해 랜섬웨어 피해액 22조 전망..RaaS로 범죄문턱 낮아져
'침투 관문' 관리자PC, 백신 탐지로 이상징후 파악 가능
"절대 그냥 포맷하면 안돼..평소 데이터 복구 훈련 반드시 필요"

이재광 한국인터넷진흥원 종합분석팀장이 최근 랜섬웨어 공격의 특징과 대응전략 등에 대해 설명하고 있다.(사진=한국인터넷진흥원 제공)

이재광 한국인터넷진흥원 종합분석팀장이 최근 랜섬웨어 공격의 특징과 대응전략 등에 대해 설명하고 있다.(사진=한국인터넷진흥원 제공)

[이데일리 이후섭 기자] 코로나19 4차 대유행으로 재택 근무가 일상화되는 가운데, 올해 랜섬웨어 전 세계 피해규모가 22조 원에 달할 것이라는 전망이 나왔다. 랜섬웨어 공격은 사용자 PC를 암호화해 쓸 수 없는 상태로 만들고, 이를 인질로 해서 몸값을 요구하는 사이버 공격이다.

한국인터넷진흥원(KISA)은 특정 기업을 대상으로 한 랜섬웨어 공격은 통상 1년의 시간이 소요되는 만큼, 이를 탐지하고 대응할 기회가 충분하다고 했다. 관리자 PC나 중요 서버 등을 주기적으로 점검하고, 평소 백업 데이터 복구 등의 훈련을 해볼 필요가 있다는 얘기다.

올해 랜섬웨어 피해액 22조 전망…RaaS로 범죄문턱 낮아져

1일 KISA에 따르면 올해 상반기 접수된 랜섬웨어 신고건수는 78건으로 집계됐다.

지난 2019년 39건에 불과했던 랜섬웨어 신고건수는 지난해 127건으로 3배 넘게 급증했고, 이 추세대로면 연말 지난해 건수를 훌쩍 넘길 것으로 보인다.

미국 최대 송유관업체 공격, 소프트웨어 공급업체 카세야 사태처럼 전 세계적으로 랜섬웨어 공격이 기승을 부리고 있다.

글로벌 보안기업 체크포인트에 따르면 지난해 초 대비 올해 랜섬웨어 공격이 102% 급증했으며, 올해 전 세계 랜섬웨어 피해규모는 200억달러(약 22조원)로 예측된다.

전문지식 없이도 돈만 주면 공격을 대신해주는 `서비스형 랜섬웨어(RaaS)` 방식이 지난해 공격의 64% 를 차지했다.

이재광 KISA 종합분석팀장은 “RaaS는 다크웹과 가상자산이 결합된 모델로, 익명성이 보장되고 자금세탁이 용이한 다크웹, 가상자산이 활성화되면서 RaaS도 급증하고 있다”며 “RaaS를 통해 사이버 범죄가 분업화, 사업화되면서 범죄를 저지르는 문턱도 낮아졌다”고 설명했다.

`침투 관문` 관리자PC, 백신 탐지로 이상징후 파악 가능

KISA는 랜섬웨어 사고 발생현장을 분석해 대표적인 사례와 특징을 공개했다. △웹서버 침투를 통한 확산 △관리자 PC 침투를 통한 확산 △공급망 침투를 통한 확산 등이 대표적 사례다.

이 팀장은 “관리자 계정에 동일한 패스워드가 사용되고 추가 인증수단이 없는 등 관리가 소홀하고, 중요 관리자 PC가 인터넷에 연결돼 있어 망분리가 제대로 이뤄지지 않는 등의 문제점들이 발견됐다”고 설명했다.

사고 현장에서 분석된 랜섬웨어 공격의 특징은 오랜 시간이 걸린다는 점이다. 랜섬웨어를 대량으로 유포하기 위해 기업이나 기관의 관리자 PC, 중요 서버를 장악해야 하는데 내부에 침투해 랜섬웨어가 실행되기까지 거의 1년이 걸린다는 분석이다.

이 팀장은 “대부분이 오랜시간의 결과물이기에 보안담당자가 방어할 수 있는 기회가 충분하다”며 “거점으로 활용하려는 관리자PC나 중앙관리 솔루션을 주기적으로 점검하는 것으로 예방이 가능하다”고 강조했다.

침투 관문으로 쓰이는 관리자 PC의 감염 여부를 알려면 백신 프로그램을 잘 활용해야 한다.

이 팀장은 “국내 백신 성능이 좋아 웬만한 악성코드는 다 탐지하는데, 악성코드가 탐지될 경우 또다른 악성코드를 계속 감염시키려 시도한다”며 “관리자 PC에서 악성코드를 잡았다는 이력이 나오면 그냥 넘기지 말고 랜섬웨어 공격의 사전 징조로 파악하고 대응에 나설 필요가 있다”고 설명했다.

“절대 그냥 포맷하면 안돼…평소 데이터 복구 훈련 반드시 필요”

랜섬웨어 공격이 파악되면 KISA나 과학기술정보통신부 등에 신고해 기술 지원을 받고, 원인 분석에 나서야 한다.

그는 “해커의 침투 경로와 어디까지 장악했는지, 거점은 어디인지 등을 명확히 식별하고 복구해야 재발을 방지할 수 있다”며 “기업 내부의 서버에 남는 이력을 통해 원인을 찾아야 하기에 절대 그냥 포맷해서는 안된다”고 당부했다.

원인 분석과 함께 백업 데이터를 활용해 복구해야 하는데, 평소 랜섬웨어 공격을 가정한 데이터 복구 훈련을 반드시 해볼 필요가 있다. 백업 데이터 감염 사례도 많아 문제가 없는지 확인해보고 복구에 나서야 한다.

이 팀장은 “데이터를 완전 복구하는데 20~30일 정도 걸리는 등 실제 복구에 의외로 시간이 많이 걸린다”며 “또 막상 데이터 복구가 안되는 부분도 있어 평소 훈련으로 점검해 보고, 사업 연속성 측면에서 어느 부분부터 먼저 복구할지 등도 정해놔야 한다”고 말했다.

이후섭 (dlgntjq@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.