"랜섬웨어 침투부터 공격까지 평균 1년.. 막을 시간 충분"

인터넷진흥원 피해기업 분석
"백신이 탐지한 취약점 보완을"

기업 시스템에 침투한 해커가 랜섬웨어 공격을 실행하기까지 평균 1년이 걸린다는 분석이 나왔다. 또 기업을 공격하는 해커들은 관리자PC나 액티브디렉토리(AD)서버 등 기업 내부망 전체 랜섬웨어를 퍼트릴 수 있는 곳을 공략하는 것으로 나타났다. AD서버는 전체 시스템의 계정이나 접근권한 등 정책을 관리하는 곳이다. 악명 높은 랜섬웨어도 서버나 시스템 등에 대한 충분한 사전 점검을 한다면 피해 예방도 가능하다는 지적이다.

1일 한국인터넷진흥원(KISA) 종합분석팀이 실제 랜섬웨어 피해기업 사례를 분석한 결과 랜섬웨어 공격에 소요되는 시간은 최소 1년인 것으로 나타났다. 랜섬웨어는 몸값(ransom)과 멀웨어(malware·악성코드)를 합성어로 컴퓨터에 악성코드를 심어 주요 파일과 시스템 등을 암호화해 쓸 수 없도록 한 뒤 이를 풀어주는 대가로 금품을 요구한다.

이재광 KISA 종합분석팀장은 "기업 대상 랜섬웨어 공격은 하루 아침에 일어나는 것이 아닌 만큼 해커들이 주로 노리는 지점을 잘 관리하면 피해를 막을 시간이 충분하다는 의미"라고 말했다. 이 팀장은 "최근 보안관리가 상대적으로 허술하다는 점을 노려 테스트서버를 공략하는 경우도 늘어났다"고 덧붙였다.

랜섬웨어 협박 수법도 진화하고 있다.

해커들은 데이터 암호화만으로 피해 기업 협박이 어렵다고 보고 데이터 암호화, 데이터 유출, 디도스 공격 등 3중 협박 형태의 공격이 유행하고 있다는 설명이다.

또 전문 지식이 없어도 비용만 지불하면 랜섬웨어 공격을 할 수 있는 '서비스형 랜섬웨어(RaaS)'도 등장하는 등 분업화, 전문화가 진행되면서 공격 문턱도 낮아졌다. 감염 대상도 개인에서 기업, 사회기반시설 등으로 확대되고 있다.

이 팀장은 랜섬웨어 대응 방안으로 보안 점검과 대응 훈련을 제시했다. 특히 관리자PC에 악성코드가 발견된 이력이 있는지 살펴볼 것으로 제안했다.

이 팀장은 "백신이 악성코드를 탐지해 막아내면 보통 시스템이 안전하다고 생각하지만, 사실 시스템이 공격을 받고 있어 위험하다는 의미"라며 "백신이 탐지한 취약점을 보완해야 한다"고 말했다.