지난해 12월부터 많은 정보기술(IT) 보안 기업, 매체에서 2017년을 예측한 보안 전망을 발표했다. 거의 모든 전문가가 올해 역시 여전히 랜섬웨어가 기승을 부릴 것으로 내다봤다. 여전히 현재진행형인 랜섬웨어는 끊임없이 진화를 거듭하며 새로운 형태로 우리 앞에 등장한다.
랜섬웨어가 수익을 빠르게 직접 확보할 수 있다는 것이 증명되면서 지난해 기하급수로 증가했다. 랜섬웨어를 제작하고 유포, 유통하는 서비스형 랜섬웨어까지 등장하는 등 새로운 시장 형성과 동시에 수익화, 기업화됐다.2017년 국내 랜섬웨어는 어떤 모습일까. 2015년에 한글 버전 첫 랜섬웨어인 크립토로커가 출현한 이후 한국을 겨냥한 랜섬웨어 위협이 급증했다. 기존의 한글 랜섬웨어 공격이 제목이나 본문이 한글로 이뤄진 단순한 1차원 형태였다면 앞으로는 유창한 한국어 구사와 더불어 연말정산, 내부지침 등 한국 사회·문화의 특수성을 반영한 맞춤형 공격과 국정농단이나 탄핵 등 사회〃정치 혼란을 악용한 랜섬웨어가 증가할 것으로 예상된다.
랜섬웨어는 개인에서 기업, 불특정 다수에서 특정 타깃, 금융·의료를 넘어 국가 주요 기반 시설로 공격을 집중한다. 이제 사물인터넷(IoT)을 기반으로 연결이 확대되는 삶 속으로 파고들어 더욱 고도화, 지능화될 것이다.
랜섬웨어는 메일, 웹, 네트워크 등 기업 내부와 연결되는 다양한 채널로 유입된다. 지난해 가장 성행한 랜섬웨어 상위 3개에 꼽히는 크립토월과 로키는 이메일로 유포됐다. 이메일은 대규모 스팸으로, 접근이 다소 쉽고 국가 구분 없이 빠른 배포가 가능하다. 송장(Invoice), 지불명세(Payment) 등 대중 키워드를 이용한 메일은 사용자가 쉽게 신뢰한다는 측면에서 매우 좋은 공격 대상이다.
기업에서 이메일은 비즈니스 커뮤니케이션의 주요 채널이다. 동시에 유통되는 메일 속에는 비즈니스 정보, 기술·기업 기밀 정보, 거래·금융 정보, 인사·개인 정보 등 다양한 정보를 담고 있다. 이 때문에 필수 보안 대상이다.
최근 국가 간 사이버 위협 요소로 미국 대선에 개입한 러시아 이메일 해킹 사건, 랜섬웨어를 통한 의료·공공 등 사회 기반 시설 공격 등 사례는 메일 보안의 중요성을 보여 주는 한 사례다. 많은 기업이 안티바이러스(백신)와 안티 랜섬웨어 솔루션뿐만 아니라 메일 보안 강화에 나서는 이유다.
보안 위협을 100% 차단하는 보안 솔루션은 없다. 랜섬웨어나 지능형지속위협(APT) 등 보안 위협은 알려지지 않은 공격 형태로 진화하고, 기존 보안 솔루션을 우회하거나 무력화하는 등 고도화가 계속된다.
랜섬웨어를 막는 최선의 방법은 선제 예방이다. 이미 실행된 랜섬웨어에 대한 100% 복구 방법은 없다. 무엇보다 랜섬웨어 실행을 차단하는 예방이 우선돼야 한다. 선제 예방은 메일, 웹 등을 사용하는 일반 사용자의 랜섬웨어 보안 인식과 보안 수칙 준수 습관화에서 시작된다.
랜섬웨어 피해가 커지면서 사용자 보안성 인지가 높아졌다. 랜섬웨어 또한 사회공학 기법 활용하며, 정교화돼 꾸준한 사용자의 주의가 필요하다.
백신 소프트웨어(SW) 실시간 업데이트, 메일 발신인 확인, 출처가 불분명한 이메일과 본문 URL 링크 실행 자제 및 삭제, 보안이 취약한 웹사이트와 개인간거래(P2P) 사이트 접근 금지, 중요 파일의 별도 백업 보관 등은 사용자가 주지해야 할 보안 실천 사항이다.
사용자가 실천하는 예방 활동과 함께 보안 인식 확대를 위한 사용자 보안 교육 지속, 보안 투자 확충을 통한 2중 보안 방어막, 랜섬웨어 대응 솔루션 등 보안 시스템이 필요하다. 랜섬웨어 유입을 최소화하고 빠른 사후 대응을 위한 보안 체계가 뒷받침돼야 한다.
천명재 지란지교시큐리티 CTO audwox@jiran.com
