# 지난해 글로벌 정보기술(IT)서비스 업체 A사는 랜섬웨어로 인해 최대 500억원이 넘는 손실을 입을 위기에 처했다. A사는 IT서비스 기업답게 랜섬웨어에 대응하기 위해 단계별 보안을 철저히 했다. A사는 랜섬웨어 감염 사실을 인지한 후에도 당황하지 않았다. 혹여나 모를 상황에 대비해 백업을 해뒀기 때문이다. 언제든 백업 데이터를 복구하면 된다는 생각에 해커 협박을 대수롭게 생각했다.
A사는 해커와 불필요한 협상을 진행하지 않고 곧바로 백업 데이터를 가동하려했으나 무용지물이었다. 해커는 이미 백업 마스터 서버까지 장악한 상태였다. 백업 관련 컨트롤타워인 마스터 서버가 감염되면 어떤 시스템에 어떤 데이터가 있는지 파악조차 힘들다. A사가 믿었던 최후의 보루인 백업 시스템까지 해커에게 뚫리면서 A사는 막대한 손실을 볼 수밖에 없었다.
시스템이나 데이터를 암호화해 이를 빌미로 금전을 요구하는 '랜섬웨어'가 갈수록 기승을 부린다. 랜섬웨어 공격에 대처하기 위해 기업마다 보안 투자를 강화한다. 그러나 A사처럼 단순 보안 투자만이 능사는 아니다. 랜섬웨어에 대응하기 위한 궁극적 방안으로 백업 서버 보안이 주목받는다. 유사시를 대비해 마련한 백업에 대한 보안을 소홀히 하면 돌이킬 수 없는 상황이 발생할 수 있기 때문이다.
◇랜섬웨어의 새로운 표적 '백업 마스터 서버'
국내외 주요 보안 업체와 기관은 올해 보안 주요 키워드 중 하나로 랜섬웨어를 꼽았다. 포티넷에 따르면 지난해 하반기 랜섬웨어 공격은 7배 증가했으며 올해도 랜섬웨어는 가장 심각한 사이버 위협이 될 것으로 예상된다.
코로나19로 글로벌 경기가 침체된 가운데 랜섬웨어 피해 비용으로 기업 어려움도 가중된다. 랜섬웨어 전문 업체 코브웨어에 따르면 랜섬웨어로 인해 해커에 지급한 피해금이 지난해 3분기 약 23만달러로 2019년 4분기에 비해 세 배 가량 증가했다.
랜섬웨어 공격 방식도 진화하고 있다. 과거 무작위로 이메일을 보내 공격 통로를 찾았다면 최근에는 고위급 임원 등 타깃형 공격으로 기업 기밀 자료까지 접근한다.
랜섬웨어가 고도화되자 이 같은 피해를 예방하기 위해 많은 기업이 보안 투자를 확대했다. 이에 해커는 보안이 상대적으로 취약한 백업 시스템을 새로운 공격 창구로 삼고 공격을 이어갔다.
지난해 국내 대기업 B사가 외부에서 유입된 랜섬웨어로 주요 점포 영업을 중단하는 상황에 이르렀다. B사도 백업 서버를 보유했지만 이마저 랜섬웨어에 감염되면서 주요 데이터 복구가 불가능했다. 몇 년 전 국내 주요 웹사이트에서도 마찬가지 사례가 일어났다. 해커는 최후 보루인 백업 서버에 접근해 모든 백업본을 암호화했다. 이 기업은 속수무책 해커 요구대로 금전을 지급해야 했다.
◇랜섬웨어 안전지대는 없다…백업까지 보안 강화
업계 전문가들은 랜섬웨어 안전지대는 없다고 지적한다. 업계 관계자는 “최고정보책임자(CIO)와 보안 실무자는 백업이 있으니 괜찮다고 여기지만 정작 백업 담당자는 랜섬웨어는 보안 영역이라 여기는 경우가 많아 백업 보안을 놓치는 경우가 많다”고 지적했다. 이 관계자는 “랜섬웨어 대응 보안 솔루션을 구매하고도 며칠 동안 시스템을 제대로 복구하지 못하는 경우가 많은데 대부분 백업 마스터 계정까지 탈취당했기 때문”이라고 말했다.
또 다른 관계자는 “이중, 삼중으로 백업 시스템을 갖췄다 하더라도 백업 마스터 서버가 감염되면 컨트롤타워가 장악돼 백업 시스템을 가동할 수 없다”면서 “백업 보안이 취약하다는 것을 인지한 해커들이 백업 환경까지 공격하는 경우가 늘어 이에 대한 대비가 필요하다”고 강조했다.
금융권이나 공공은 망분리로 인해 랜섬웨어로부터 안전하다고 판단한다. 전문가들은 인터넷 폐쇄망 환경이라고 랜섬웨어 공격에 안심할 수는 없다고 조언한다.
이정현 숭실대 교수는 “망분리 환경이라도 USB 등 다른 매개체를 이용해 해커가 원하는 지점으로 뚫고 들어갈 여지가 충분하다”면서 “'랜섬웨어 안전지대는 없다'는 관점에서 전반적 대비가 필요하다”고 말했다.
이 교수는 “랜섬웨어 증가로 기업과 공공 등 여러 분야에서 대대적으로 보안 강화에 나섰지만 100% 보안은 없는 만큼 부족한 부분이 없는지 늘 살펴야한다”면서 “최후의 보루로 생각하는 백업 시스템 역시 수시로 모니터링하고 보안이 강화된 환경을 구축해야 랜섬웨어 공격에도 해커에 휘둘리지 않고 안정적 서비스 제공이 가능하다”고 덧붙였다.
김지선기자 river@etnews.com
