컨텐츠 바로가기

03.29 (금)

[집중분석! 랜섬웨어①] 피해 속출하는데...사후대책 마련에만 분주

댓글 1
주소복사가 완료되었습니다
워너크라이 등 일파만파 번지고 있는 랜섬웨어 공격으로 전세계가 들썩이고 있다. 최근 국내에서도 랜섬웨어 피해로 데이터가 '납치된' 시스템을 풀어주는 대가로, 가상화폐 비트코인으로 13억원의 몸값을 지불하기로 하면서 큰 화제가 된 바 있다. 키뉴스는 총 3회에 걸친 랜섬웨어 분석 기사를 통해 시장 상황과 대응책, 그리고 가상화폐 시장과의 연관성을 집중 조명해 본다.<편집자주>

-------------------------------------------------------------------

1. 랜섬웨어 피해 속출하는데...사후대책 마련에만 분주

2. 랜섬웨어 '워너크라이 vs 에레버스' 어떻게 무엇이 다른가

3. '악어와 악어새' 랜섬웨어와 가상화폐는 공생 중

-------------------------------------------------------------------

[키뉴스 박근모 기자] 지금까지 랜섬웨어는 개인 사용자를 대상으로 개인 PC을 감염시키고 이를 토대로 개인을 상대로 비트코인 등 가상화폐를 대가로 요구해왔다. 이런 형태가 지난해부터 급속도로 변화하기 시작했다.

불특정 개인 사용자 대상에서 특정 기업이나 관공서 등 기업을 타깃으로 지능형지속공격(APT) 형태의 랜섬웨어 등 사이버공격이 빠르게 증가하고 있다. 특히 이번 인터넷나야나와 같은 중소 웹호스팅 업체를 타깃으로 한 랜섬웨어의 공격은 해당 업체의 서비스를 이용하던 연계된 수천개에 달하는 웹페이지를 마비시키며, 이를 빌미로 해커가 해당 업체를 상대로 거액을 요구하는 초유의 상황이 발생했다.

키뉴스

중소규모의 기업을 타깃으로 한 랜섬웨어 공격이 늘어나고 있다.(사진=카스퍼스키랩)

<이미지를 클릭하시면 크게 보실 수 있습니다>


당초 해커들은 인터넷나야나 측에 랜섬웨어 복호화 키값으로 50억원에 해당하는 가상화폐를 요구한 것으로 알려졌다. 해커와 협상을 통해 13억원까지 금액을 낮췄다고는 하나 국내 중소규모 업체들의 경우 50억원이나 13억원이나 부담스런 금액인 것은 매한가지다. 이번 인터넷나야나의 경우도 자체 보유한 자금과 업체 대표의 개인 자금까지 동원했으나 해커와 협상을 하기 위한 금액이 부족해 약 8억원은 향후 인터넷나야나를 인수할 업체에서 제공한 것으로 알려졌다.

보안업계 전문가에 따르면 일단 랜섬웨어에 걸리면 자력으로 복구하는 것은 불가능하다. 랜섬웨어에 감염된 파일을 복구하기 위해서는 복호화 키값이 필요하지만, 해당 랜섬웨어에 맞는 키값을 해커를 제외하고서는 구하기가 힘들다. 물론 '노모어랜섬' 이나 국내 한국랜섬웨어침해대응센터 등이 지금까지 알려진 랜섬웨어의 일부 복호화 키값을 보유하고는 있으나, 랜섬웨어의 경우 변종이 손쉽게 제작ㆍ배포돼 이전의 복호화 키를 이용한 복구는 사실상 어려운 형편이다.

이에 따라 국내 보안업계와 한국인터넷진흥원(KISA), 미래창조과학부 등에서는 국내 기업들의 랜섬웨어 피해를 줄이기 위해 다양한 선제 노력이 필요하다고 강조하고 있다. 민간 보안업계에서는 중소규모 업체들을 위해 저렴하면서도 손쉬운 운영ㆍ관리가 가능한 보안 솔루션 개발을 해 나가겠다는 입장이다. 또한 KISA에서는 긴급 대응태세를 갖추고 랜섬웨어 신고 접수시 실시간 대응 지원 및 업체별로 보안 점검에도 나설 계획이다.

늘어나는 기업 대상 랜섬웨어, 피해는 중소 규모 업체들

미국 연방수사국(FBI)가 발표한 자료에 따르면 미국내에서 랜섬웨어 감염으로 해커들에게 지불한 금액이 지난 2015년 2400만달러(한화 약 272억원)에서 지난해 10억달러(한화 약 1조1340억원)으로 약 42배 증가했다. 국내의 경우도 마찬가지로 지난해 KISA가 접수 받은 랜섬웨어 피해 신고는 지난 2015년 770건에서 지난해 1438건으로 급증했다.

또한 최근 발표된 시만텍의 '사이버 위협 보고서(ISTR) 제22호'에 따르면 지난해 랜섬웨어 공격은 전년대비 36%가 증가했으며, 랜섬웨어를 유포한 해커들이 평균적으로 요구한 금액 역시 지난 2015년 294달러(한화 약 33만원)에서 지난해 1077달러(한화 약 122만원)으로 약 3.7배 증가한 것으로 나타났다.

보안 업계에 따르면 이같은 추세는 꾸준히 이어질 것으로 보인다. 특히 최근 랜섬웨어 등 사이버공격 추세가 개인보다는 기업 등 특정 타깃을 상대로 하는 APT 형태가 자주 포착됨에 따라 피해 규모가 확대될 가능성이 높은 것으로 전망됐다. 이번 인터넷나야나의 경우도 해당 업체를 타깃으로 하는 랜섬웨어로 인해 감염된 후 연결된 고객들의 웹페이지가 마비되면서 자체 피해뿐만 아니라 이용 고객들의 추가 피해도 대량으로 발생했다.

랜섬웨어의 경우 특정 방식으로 암호화된 파일은 해커들이 보유한 복호화 키를 제외하고서는 복구가 불가능하다. 때문에 대부분의 랜섬웨어 피해자들은 해커에게 돈을 지급하고 복호화 키를 받아 암호화된 파일을 복구하는 방법을 택하고 있다. 이것이 바로 해커들이 APT 형태로 개인보다는 기업을 상대로 타깃 공격하는 이유다.

키뉴스

랜섬웨어 복구절차. 해커들에게 돈을 지불해도 복구 불가능할 확률이 있다.(자료=KISA)

<이미지를 클릭하시면 크게 보실 수 있습니다>


한국침해대응센터 관계자에 따르면 개인의 경우 랜섬웨어에 감염됐을 경우 대부분 복구 비용을 지불하고 데이터를 복구하기 보다는 복구를 포기하는 방법을 택한다고 한다. 하지만 상대적으로 업무용 중요 데이터를 많이 갖고 있는 기업의 경우 랜섬웨어에 감염됐다고 하더라도 쉽게 포기할 수 없다. 해커들도 이 사실을 눈치채고 기업들을 랜섬웨어 타깃으로 삼고 있는 이유다.

한인수 펜타시큐리티 이사는 중소 규모의 업체들이 자주 피해를 입는 이유로 "대기업의 경우 자체 보안이나 전문 보안업체를 통해 보안 솔루션이나 서비스를 이미 운영 중"이라며 "반면 중소 규모의 업체들의 경우 보안 솔루션 도입에 대한 자금적인 이유와 함께 보안에 대한 정확한 정보를 입수하지 못하고 있기 때문"이라고 설명했다.

이어 "국내 보안 수준을 안전할 수 있도록 높이기 위해서는 중소 규모의 업체들도 손쉽게 보안 솔루션을 도입해 사용할 수 있도록 보안 솔루션 가격을 낮추고, 손쉬운 보안 시스템 운용이 가능하도록 보다 쉬운 형태로 제공해야한다"고 덧붙였다.

한인수 이사는 "랜섬웨어뿐만 아니라 대부분의 사이버공격의 경우 기업들의 규모와 상관없이 웹방화벽 보안 솔루션을 도입했더라면 사이버공격에 쉽게 뚫리지는 않았을 것"이라며 "펜타시큐리티뿐만 아니라 보안 업계 전반적으로 국내 보안 수준을 높이기 위해서 더욱 노력해야할 것"이라고 전했다.

피해 업체가 직접 해결하기는 불가능...정부 지원 필요

랜섬웨어 공격에 있어서 또 하나의 문제는 피해를 받은 기업이 직접 해커들을 상대해야한다는 점이다. 이번 인터넷나야나의 경우도 사이버공격을 받았을 시 미래부나 KISA, 사이버수사대 등 관계 기관에 신고를 하도록 정해진 규정상 신고는 했지만, 결국 직접 해커들과 협상에 나선 것으로 알려졌다.

당시 황칠홍 인터넷나야나 대표는 홈페이지 공지를 통해 "국내외 다양한 경로로 복구 방법을 알아봤지만 찾지 못했다"라며 "해커와의 협상이 고객의 피해를 줄이는 최선의 선택인것 같다"고 밝혔다.

키뉴스

KISA와 한국랜섬웨어침해대응센터가 밝힌 랜섬웨어 피해 예방 권고 공지 (자료=한국랜섬웨어침해대응센터)


KISA에 따르면 당시 인터넷나야나 측의 신고 접수를 받았던 것은 사실로 확인됐다. 하지만 인터넷나야나 측의 말처럼 KISA와 미래부는 사고 발생 후 복구 지원과 2차 피해 예방을 위한 기술 지원만을 했던 것으로 나타났다. 일각에서는 해당 업체가 해커와 단독적으로 협상에 나서도록 하지 말고 KISA가 중간에 대리해서 해결을 모색했어야 한 것 아니냐라는 의문도 나오고 있다.

강아영 KISA 홍보팀 주임은 "현재 KISA 차원의 랜섬웨어에 대한 대응 방법은 사건 발생 후 기술 지원 등 사후 처리 부분에 집중된 것은 사실"이라며 "정부 지침상 해커와 협상에 개입할 수는 없다"고 설명했다.

이어 "ISMS(정보보호관리체계) 등 보안 인증 절차가 있지만 KISA가 업체들에게 강제할 수 있는 권한은 전혀 없다"라며 "KISA는 국내 기업들의 사이버공격에 대한 보호를 위해 보안에 관한 권한을 지속적으로 요구 중으로, 향후에는 기업들의 보안에 대한 인식 개선을 위한 노력과 실질적 보안 기술 도입을 위해 활동할 것"이라고 덧붙였다.

보안 업계 관계자는 "랜섬웨어의 경우 사전적인 피해 방지가 매우 힘든 제로데이 형태로 진행된다"라며 "랜섬웨어를 막기 위해서는 공개되는 소프트웨어(SW) 취약점을 파악해 꾸준한 업데이트를 진행하고, 중요 자료는 백업하는 등의 노력이 반드시 필요하다"고 강조했다.

<저작권자 Copyright ⓒ 키뉴스 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.