'서비스형 랜섬웨어(RaaS)'도 등장, 분업화 전문화 진행
[파이낸셜뉴스]기업 시스템에 침투한 해커가 랜섬웨어 공격을 실행하기까지 평균 1년이 걸린다는 분석이 나왔다. 랜섬웨어는 몸값(ransom)과 멀웨어(malware·악성코드)를 합성어로 컴퓨터에 악성코드를 심어 주요 파일과 시스템 등을 암호화해 쓸 수 없도록 한 뒤 이를 풀어주는 대가로 금품을 요구한다. 악명 높은 랜섬웨어도 서버나 시스템 등에 대한 충분한 사전 점검을 한다면 피해 예방도 가능하다는 지적이다.
1일 한국인터넷진흥원(KISA) 종합분석팀이 실제 랜섬웨어 피해기업 사례를 분석한 결과 랜섬웨어 공격에 소요되는 시간은 최소 1년인 것으로 나타났다.
이재광 KISA 종합분석팀장은 "기업 대상 랜섬웨어 공격은 하루 아침에 일어나는 것이 아닌 만큼 해커들이 주로 노리는 지점을 잘 관리하면 피해를 막을 시간이 충분하다는 의미"라고 말했다.
기업을 공격하는 해커들은 관리자PC나 액티브디렉토리(AD)서버 등 기업 내부망 전체 랜섬웨어를 퍼트릴 수 있는 곳을 공략하는 것으로 나타났다. AD서버는 전체 시스템의 계정이나 접근권한 등 정책을 관리하는 곳이다. 이 팀장은 "최근 보안관리가 상대적으로 허술하다는 점을 노려 테스트서버를 공략하는 경우도 늘어났다"며 "기업의 보안점검이 필요하다"고 강조했다.
랜섬웨어 협박 수법도 진화하고 있다.
이 팀장은 "해커들은 데이터 암호화만으로 피해 기업 협박이 어렵다고 보고 데이터 암호화, 데이터 유출, 디도스 공격 등 3중 협박 형태의 공격이 유행하고 있다"고 밝혔다.
전문 지식이 없어도 비용만 지불하면 랜섬웨어 공격을 할 수 있는 '서비스형 랜섬웨어(RaaS)'도 등장하는 등 분업화, 전문화가 진행되면서 공격 문턱도 낮아졌다. 감염 대상도 개인에서 기업, 사회기반시설 등으로 확대되고 있다.
이 팀장은 랜섬웨어 대응 방안으로 보안 점검과 대응 훈련을 제시했다.
관리자PC에 악성코드가 발견된 이력이 있는지 살펴볼 것으로 제안했다. 공격자는 악성코드가 탐지되면 또다른 악성코드를 유포한다.
이 팀장은 "백신이 악성코드를 탐지해 막아내면 보통 시스템이 안전하다고 생각하지만, 사실 시스템이 공격을 받고 있어 위험하다는 의미"라며 "백신이 탐지한 취약점을 보완해야 한다"고 말했다.
피해 발생후 바로 시스템 포맷을 하지 말아야 한다고 조언했다. 동일한 침입 경로로 사고가 재발할 수 있기 때문이다. 이 팀장은 "시스템 로그 기록을 남겨 해커들이 어디에 침입했거 무엇을 장악했는지 등을 식별하고 취약점이 없는지 살펴봐야 한다"고 말했다.
기업들도 랜섬웨어 리스크에 대해 연속성 관점에서 고민하고 대응 전략을 수립해야 한다고 조언했다. 이 팀장은 "많은 기업들이 데이터에 문제가 없어도 완전히 복구가 될 때까지 오래걸릴 것이라고 생각을 못한다"며 "사업의 연속성을 저해할 수 있는 서비스 장애에 대한 고민과 준비가 필요하다"고 말했다.
해커와 '몸값 협상'의 위험성에 대해서도 언급했다.
이 팀장은 “기업이 해킹을 당하면 이 기업을 이용하는 국민으로 피해가 이어진다”면서 “기업 침해사고가 기업 자체만의 문제가 아닌 만큼 해킹 시 반드시 신고하고 기업 고객이나 국민이 피해를 입지 않도록 피해 확산 방지 활동을 해야 한다”고 당부했다.
spring@fnnews.com 이보미 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지