'1년간 잠복' 코로나보다 독한 랜섬웨어.. 기업들 초비상

장기적 침투해 시스템 무력화
발현되기까지 1년 이상 소요
"데이터백업 등 대응노력 기본
원인 분석 위해 포맷은 금물"

이재광 한국인터넷진흥원(KISA) 종합분석팀장이 지난 30일 온라인으로 최근 랜섬웨어 공격의 특징과 대응 전략을 소개하고 있다. KISA 제공

랜섬웨어 전체공격 과정. KISA 제공

"랜섬웨어는 1년 전부터 서버에 침투해 시스템 무력화를 준비한다."

데이터를 인질 삼아 돈을 요구하는 '랜섬웨어'로 전 세계 기업들이 비상이 걸렸다. 특히 해커가 서버에 최초로 침투한 후 랜섬웨어가 발현되기까지는 1년 이상이 소요되는 만큼, 사전에 미리 랜셈웨어를 탐지하는 노력이 절실하다는 지적이다.

1일 한국인터넷진흥원(KISA)에 따르면 랜섬웨어는 오래전부터 존재했던 사이버 공격이지만 날이 갈수록 수법이 진화하고 피해 현황 역시 증가 추세를 보이고 있다. 국내 랜섬웨어 신고 건수는 2019년 39건에서 지난해 127건으로 3배 이상 늘어났고 올해는 상반기에만 78건을 기록했다. 피해규모도 시간이 갈수록 천문학적으로 증가하고 있다. 보안 기업 스핀백업은 올해 전 세계 랜섬웨어 피해 규모가 총 200억달러(약 22조원)에 달할 것으로 전망했다. 국내외 기업들이 속수무책으로 랜섬웨어 공격에 당하고 있는 셈이다.

보안 전문가들은 보안을 흔히 '창과 방패'로 비유하며 100% 완벽한 보안은 없다고 이야기한다. 다만 공격을 완벽하게 막을 수는 없어도 가능성은 낮출 수 있다는 게 전문가들의 설명이다.

랜섬웨어도 비슷하다. 랜섬웨어 공격은 하루 아침에 이뤄지지 않는다. 이재광 KISA 종합분석팀장은 "랜섬웨어 사고 현장이 갖고 있는 몇 가지 특징이 있다"며 "그중 하나는 랜섬웨어는 오늘 아침에 투여해서 점심때 퍼지는 공격이 아니다"고 말했다.

랜섬웨어 공격은 최초 침투→내부 이동→거점 확보→지속 장악→랜섬웨어 실행→인지·개입이라는 지능화된 과정을 거친다. 특히 내부 침투와 장악이 먼저 이뤄진 후에야 랜섬웨어 공격이 수행되는 만큼, 이 모든 과정이 실행되려면 1년 이상의 시간이 걸린다. 이 팀장은 "물론 시간이 짧게 소요되는 공격도 있지만 최근의 랜섬웨어 공격은 기업 APT(타깃형 공격)의 결과물로, 오랫동안 준비돼 미래에 어느 날 발현되는 모습"이라며 "이는 곧 기업의 보안 담당자들이 점검 등을 통해 랜섬웨어를 미리 예방할 수 있다는 것"이라고 강조했다.

전문가들은 필수적인 랜섬웨어 대응 방안 중 하나로 데이터 백업을 꼽고 있다. 다만 이 팀장은 데이터 백업만으로는 랜섬웨어 대응이 충분하지 않다고 밝혔다. 이 팀장은 "망 분리 조치 미흡, 관리 편의성을 위한 여러 서버의 동일 계정 사용 등으로 백업 데이터가 감염될 수 있고 백업을 이용한 데이터 복구 과정에서 20~30일가량의 시간이 소요되기도 한다"고 설명했다. 이 팀장은 이어 "랜섬웨어는 사업의 연속성을 내치는 공격"이라며 "기업마다 하루라도 장애가 발생하면 안 되는 중요 서버들이 존재할 텐데, 이런 부분까지 고려해 위험 관리에 나서야 한다"고 말했다.

랜섬웨어는 1년간의 준비 과정을 거쳐 수행되는 공격인 만큼 데이터를 복구한다 하더라도 해커의 침투 경로가 여전히 존재한다. 이에 원인 분석은 필수적이며 시스템 포맷은 섣불리 손대지 않는 것이 좋다. 이 팀장은 "시스템이 감염됐다고 해서 이를 포맷해버리면 원인 분석을 위해 필요한 로그가 유실된다"며 "재발 방지를 위해서는 반드시 해커의 침투 경로와 활동 범위를 식별해야 한다"고 밝혔다.

이 팀장은 랜섬웨어 피해를 줄일 수 있는 기업의 핵심 대응 전략으로 '점검-대응-훈련'의 세 가지 키워드를 제시했다. 정부는 현재 내PC 돌보미 서비스, 사이버 대피소, 모의훈련 등을 통해 기업의 랜섬웨어 대응을 지원하고 있다. 이 팀장은 "기업 해킹 사고는 기업 자체만의 이슈가 아닌 만큼 사고가 발생하면 반드시 과학기술정보통신부와 KISA에 신고하고 고객들이나 국민들이 피해를 입지 않도록 하는 것이 중요하다"며 "재발방지 등의 노력이 곧 기업의 신뢰로 연결될 것"이라고 덧붙였다.윤선영기자 sunnyday72@dt.co.kr