랜섬웨어, 더 악랄해졌다…"암호화·유출·디도스 3중 협박"

위협 대상, 일상 영역 더 가까워져

악성코드 공격 대행업 'RaaS' 성행

침입부터 공격까지 1년…점검 중요

백업복구 수십일…"원인분석 필수"

KISA, 점검·대응·훈련 등 수행 강조

허해녕 KISA 소통협력실장(왼쪽)과 이재광 KISA 종합분석팀장이 온라인 세미나 발표 후 질의응답을 진행하고 있다. [사진=유튜브 KISA 온라인 세미나 영상 캡처]

해킹으로 컴퓨터를 감염시켜 보관된 데이터를 못 쓰게 만드는 '랜섬웨어(Ransomware)' 악성코드 공격 위협이 더욱 심각해지고 있다. 랜섬웨어 공격을 행한 사이버 범죄자들이 갈취하기 위해 피해자 개인·기업을 3중으로 협박하는 등, 수법도 더 악랄해졌다.

1일 한국인터넷진흥원(KISA)에 따르면, 최근 랜섬웨어 공격 단순히 데이터를 암호화해 못쓰게 만드는 것 뿐만 아니라, 중요 정보를 외부에 유출시키고 외부에 연결된 웹서버를 분산서비스거부(DDoS, 이하 '디도스') 공격까지 동원하고 있는 것으로 나타났다.

이재광 KISA 종합분석팀장은 지난 5~6월 국내 차량부품제조사, 배달대행플랫폼, 해운업 등에 발생했던 랜섬웨어 공격 사건의 피해 현황을 소개했다. 최근 특징으로 공격 대상의 확대, 협박의 고도화, '서비스형랜섬웨어(RaaS)' 모델의 확대, 세 가지를 꼽았다.

그는 "랜섬웨어 공격은 과거 개인의 PC를 주로 노렸지만 이제 기업, 특히 보안 수준이 열악하고 영세한 중소기업까지 노린다"라며 "사회기반시설, 일상생활과 밀접한 관련이 있는 업종 등 피해 발생시 우리가 체감할 수 있는 영역에 더 가까워졌다"라고 설명했다.

이어 "과거엔 데이터를 암호화하고 (돈을 주지 않으면 풀어주지 않겠다고) 협박을 했는데, 이제 원본 데이터를 빼돌려 놓고 '민감한 정보를 유출하겠다'거나 '디도스 공격으로 장애를 일으키겠다'며 돈을 요구하는 3중 협박이 유행하고 있다"라고 덧붙였다.

또 "공격자가 별도 전문지식 없이, 악성코드 기술자에게 비용을 지불하면 공격을 대행해 주는 '서비스형랜섬웨어(RaaS)' 모델이 확대됐다"라며 "RaaS 업체·공격자와 수익을 공유하는 구조로, 다크웹에서 가상자산을 활용해 홍보와 구매가 이뤄지고 있다"고 말했다.

지난 5월 국내 한 차량부품제조 업체가 '아바돈' 랜섬웨어 공격을 받아 백업을 복구했지만 정보유출, 디도스 공격 협박까지 받은 사례가 있었다. 또 국내 한 배달대행플랫폼 업체가 '다르마' 랜섬웨어 공격을 받아 3만5000개 점포가 피해를 입은 사례가 나왔다. 지난 6월 국내 한 해운업체가 '류크' 랜섬웨어 감염을 당해 메일서비스 등에 피해를 입었고 백업을 복구했다.

랜섬웨어 사고현장의 특징 3가지도 소개됐다. 공격이 짧게는 수개월, 길게는 1년이상, 장시간에 걸쳐 이뤄진다는 점, 해커가 반드시 랜섬웨어를 대규모로 퍼뜨릴 '거점'을 구축한다는 점, 백업을 완전복구하는 덴 수십일이 걸린다는 점 등이다.

이 팀장은 "기업에 오늘 아침 갑자기 침입이 발생해 점심에 랜섬웨어가 퍼뜨려지는 일은 없다"라며 "해커가 기업 전산시스템에 최초 침입해 랜섬웨어가 대규모로 감염되기까지, 전체 공격과정을 들여다보면 대부분 상당한 시간이 소요된다"라고 설명했다.

그는 "공격자는 관리자 PC처럼 관리자가 다루는 모든 시스템에 접속할 수 있는 지점을 찾아 들어가고, 액티브디렉토리(AD)서버나 중앙관리솔루션처럼 대규모로 퍼뜨릴 '거점'을 구축한다"라며 "관리가 소홀한 테스트서버도 중요한 보안점검 지점"이라고 말했다.

이에 더해 "기업의 백업 데이터조차 감염당할 수 있고, 데이터에 문제가 없어도 완전 복구까지 통상 20~30일이 걸린다"라며 "사내 시스템 중 하루라도 장애가 없어야 하는 서버들을, 사업 연속성 유지 관점에서 특별히 더 잘 관리해야 한다"라고 강조했다.

이 팀장은 또 "피해 기업이 백업을 통해 시스템을 복구할 수 있다고 해도 시스템을 그냥 포맷하면 안 된다"라며 "동일한 침입 경로로 사고가 재발할 수 있기 때문에, 공격자가 어디에 침입해 뭘 장악했는지 식별하고 원인을 분석해야 한다"라고 덧붙였다.

과학기술정보통신부와 KISA는 기업들에게 랜섬웨어 피해 최소화를 위한 전략을 점검, 대응, 훈련, 3개의 단계별 키워드로 제시하며 이를 지원하고 있다.

점검 단계는 주 침입 경로인 관리자나 직원의 PC에 악성코드 감염 여부, 주요 서버의 비정상 접근 시도 여부, 악성코드 여부를 파악하는 것이다. 해커가 오랜 시간을 들여 수행하는 공격 진행 단계를 탐지해, 피해가 발생하기 전에 무력화할 수 있는 활동이다.

KISA는 일반 국민들의 악성코드 피해예방과 보안점검 지원을 위한 '내PC 돌보미' 서비스를 제공한다. 인터넷에 노출된 웹서버로 운영되는 홈페이지 등의 취약점 점검을 지원하는 '휘슬' 등 원격점검 지원과 취약점 분석 보고서 제공 서비스를 운영한다. 이밖에 보안담당 인력을 보유한 기업들이 스스로 점검에 활용할 수 있는 정보를 '보호나라' 보안 공지와 기술문서 형태로 배포 중이다.

대응 단계는 앞서 점검 과정에서 특이사항을 발견했을 때의 조치 활동이다. KISA에 발견된 사항을 신고하고 기술지원, 정보보호 기업을 통한 상세점검, 침투경로와 해커 활동 범위를 식별하는 등 분석이 이뤄져야 한다는 설명이다.

KISA는 기업들이 내부에서 발견한 특이사항 신고를 접수해 지원해 왔는데, 이 업무를 과기정통부 'K-사이버방역' 추진전략 차원에서 전국단위 기술지원으로 확대하기 위해 준비하고 있다. 또 정부는 디도스 공격에 기업들이 대처할 수 있는 '사이버대피소'를 무료 지원해 왔다. 지난 5월 '랜섬웨어대응지원반'을 가동해 랜섬웨어 피해 신고에 더 신속하게 대응하기로 했다.

훈련 단계는 기업이 랜섬웨어 감염 피해를 입었다고 가정하고 데이터 복구 등을 시행해 보는 것이다. 실제 복구를 시도할 때 의외로 백업이 안 돼 있거나, 백업 데이터로 복구가 제대로 안 되는 사례가 있기 때문에 필요하다. 이밖에 사업 연속성을 저해하는 서비스 장애 상황에 대한 고민과 대비, 백업 데이터까지 감염시킬 수 있는 침입 경로 파악에도 도움이 된다.

과기정통부·KISA는 기업들의 신청을 받아 악성코드 공격·침입 등 시나리오 기반 '사이버위기 대응 모의훈련'을 시행하고 있다. 랜섬웨어 예방수칙과 대응 가이드, 백업 가이드 등을 제작해 배포했다. 중소기업에 맞춤 컨설팅, 보안솔루션 도입 지원을 해 왔고, K-사이버방역 일환으로 지원규모 확대에 나섰다. 한국정보보호산업협회(KISIA)와 함께 정보공유·피해기업지원, 대응정책 마련을 돕는 '민관합동 랜섬웨어 대응 협의체'를 운영 중이다.

이 팀장은 "한 기업이 해킹을 당할 경우 반드시 과기정통부에 신고하고 사고 조사와 재발방지 활동으로 그 해킹때문에 고객들이 피해를 입지 않도록 하는 게 매우 중요하다"라며 "지금 시대는 한 기업이 해킹당하면 그에 연결된 국민들이 피해를 입을 수 있는 시대라, 그런 일이 일어나지 않도록 안내해야 기업이 (사고 후) 신뢰를 회복할 수 있다"라고 말했다.