[테크리포트]랜섬웨어, 어디까지 왔나

글자 작게 글자 크게 인쇄하기

코로나19가 장기간 유행하면서 닥친 팬데믹은 사회 많은 부분을 변화시켰다. 비말로 감염되는 코로나19를 예방하기 위해 대부분 서비스에서 비대면(Untact)으로의 전환이 강제됐고 자연스럽게 디지털 전환이 빠르게 이뤄졌다. 업무가 PC로 진행되고 메신저나 이메일로 커뮤니케이션을 하는 과정에서 보안상의 구멍이 생기기 시작했다. '랜섬웨어'(ransomware)가 극성을 부리기 시작한 것이다.

랜섬웨어는 데이터를 볼모로 금전을 요구하는 악성웨어다. 아동을 납치해 금전을 요구한 영화 랜섬의 한 장면
<랜섬웨어는 데이터를 볼모로 금전을 요구하는 악성웨어다. 아동을 납치해 금전을 요구한 영화 랜섬의 한 장면>

랜섬웨어란 컴퓨터의 모든 데이터나 네트워크 등을 암호화해 이를 원상 복구하는 대가로 금전을 요구하는 악성 코드로 몸값(ransom)과 악성코드(malware)의 합성어다. 최근 대다수 기업 데이터가 디지털로 전환돼 PC에 저장되는 만큼 랜섬웨어 공격에 회사 기밀 등 데이터가 묶여버리면 최악의 경우 회사 시스템 전체가 마비되는 사태도 발생할 수 있어 치명적인 피해가 날 수 있다. 또 범죄조직이 다국적 기업화하고 비트코인 등 암호화폐를 위시한 가상자산과 접속자와 서버를 확인할 수 없는 다크웹(Dark web)을 사용해 추적에 기술·절차적 어려움이 발생하고 있다.

게다가 별도 프로그래밍 지식이 없어도 비용을 지급하면 서비스 형태로 악성코드를 심는 '서비스형 랜섬웨어' 활성화로 범죄 형태가 날이 갈수록 분업화·조직화·지능화되는 등 대응이 더욱 어려워지고 있다. 특히 코로나19 사태가 정점을 이루고 있는 최근 들어 미국에서 굵직한 사건이 발생하면서 세계적으로 랜섬웨어에 대한 경각심이 높아지고 있다.

◇시민 안전까지 위협하는 랜섬웨어

랜섬웨어 공격을 받은 미국 최대 송유관 업체 콜로니얼 파이프라인
<랜섬웨어 공격을 받은 미국 최대 송유관 업체 콜로니얼 파이프라인>

5월 미국 최대 송유관 업체 콜로니얼 파이프라인이 '다크사이드'(DarkSide)라 불리는 해커 집단으로부터 랜섬웨어 공격을 당했다. 콜로니얼 파이프라인 송유관은 하루 250만배럴 유류를 전달하는데 이는 미 동부지역 공급량의 45%에 해당하는 양이다. 공격으로 콜로니얼 파이프라인의 시스템이 마비돼 송유관 가동을 6일간 전면 중단해야 했고 이 과정에서 공급 부족 우려에 사재기가 발생하기도 했다. 회사는 결국 해킹조직에 440만달러(약 52억원) 상당의 비트코인을 지불할 수밖에 없었다.

같은 달 글로벌 육가공 업체인 브라질 JBS SA의 미국지사도 '레빌'(REvil)로 추정되는 해커 집단의 랜섬웨어 공격을 받았다. 미국 내 육류 공급의 20%를 담당하는 JBS는 이 공격으로 미국, 호주, 캐나다 등에서 사흘간 공장 가동을 중단했으며 1100만달러(약 130억원) 상당의 비트코인을 지불해야 했다. 메사추세츠 증기선 관리국도 지난 6월 2일 랜섬웨어 공격을 받았다. 다행히도 위성항법장치(GPS)나 레이더 등에 영향을 미치지 않아 운항 중인 선박과 승객은 무사했지만 만약 문제가 생겼다면 심각한 인적 피해까지 입을 수 있었던 아찔한 상황이었다.

이처럼 랜섬웨어는 범죄자가 금전 이익을 위해 이용하지만 피해는 금전적인 부분만이 아니라 시민들의 안전 또는 인프라에도 영향을 끼쳐 국가 안보까지 위협할 수 있다. 또 피해 정도가 심각할수록 범죄자들이 더욱 큰돈을 요구할 수 있어 더욱 대담하고 규모가 커지는 경향이 있다. 국내에서도 지난 5월 부품 제조기업 에스엘이 랜섬웨어 공격을 받고 임직원의 개인정보와 해외사업 관련 데이터가 다크웹에 유출됐다. 국내 배달대행 플랫폼기업 슈퍼히어로가 공격을 당해 전국 3만5000개 점포가 서비스 접근이 차단돼 1만5000명 라이더 피해가 발생한 사례도 있다.

IBM시큐리티는 2020년 5월부터 2021년 3월까지 글로벌 기업 해킹 피해액은 사고당 평균 424만달러(약 50억원)로 사상 최고치를 기록했다고 밝혔다. 또 한국랜섬웨어침해대응센터는 올해 국내 피해액 규모가 2조5000억원에 이를 것으로 추정하고 있다. 랜섬웨어가 돈이 되자 여러 공격 그룹이 카르텔이나 갱단 형식으로 협정을 맺고 있다. 이에 국제 사회는 미국, 영국, 유럽 사법기관과 아마존, 시스코 등 정보기술(IT) 보안 기업이 힘을 합친 랜섬웨어 태스크포스(RTF)를 결성해 대응하고 있다.

◇우리 정부의 랜섬웨어 대응은

정부의 랜섬웨어 대응 강화방안
<정부의 랜섬웨어 대응 강화방안>

우리 정부 역시 8월 5일 국가주요시설 관리체계 구축 및 중소기업 보안 강화 등을 골자로 하는 '랜섬웨어 대응 강화방안'을 발표했다. 랜섬웨어 대응 강화방안은 튼튼한 국가중요시설 관리체계 구축과 중소기업 보안역량 지원 강화, 대국민 랜섬웨어 면역력 향상 등을 주요 내용으로 한다.

먼저 정부는 대형 인프라에 사고가 발생해 사회 전반에 발생할 수 있는 피해를 방지하기 위해 오는 2022년까지 정보보호 대책 수립과 이행 의무가 발생하는 주요 정보통신기반시설(기반시설)에 정유사의 공정제어시스템과 자율주행 관제시스템 등을 추가하는 등 기반시설 확대 지정을 검토한다. 또 기반시설 보호 대책에 백업시스템 구축, 위기 발생 시 복구방안, 업무 지속 계획(BCP) 포함과 망 분리가 어려운 공공분야 정보시스템의 외부 접점에 설치 운영 중인 보안장비, 비무장지대(DMZ) 구간 현장 점검 등을 강화하며 긴급점검 및 모의훈련 확대도 도입한다.

이밖에도 정보통신기반 보호법 개정을 통해 랜섬웨어 등 최신 보안위협 관련 현장 점검과 조기 근거를 마련하도록 하고 정부출연연구기관 및 4대 과학기술원에 연구용 서버 자가진단 시스템 구축, 이메일 보안 기술 공공분야 적용 확대 검토 등도 추진된다.

중소기업 보안역량 지원 강화
<중소기업 보안역량 지원 강화>

정부는 또 중소기업의 보안역량 지원 강화에 초점을 뒀다. 중소기업은 랜섬웨어에 취약할 뿐만 아니라 대응도 어려워 범죄자들의 주 타깃이 되고 있다. 정부는 중소기업 데이터 유실 예방 강화를 위해 클라우드 기반 백업을 지원하는 '데이터 금고'를 구축하고 메일보안 소프트웨어(SW), 백신, 탐지·차단SW 등 '랜섬웨어 대응 3종 패키지'를 지원하기로 했다.

정부는 대국민 랜섬웨어 면역력 향상에도 나선다. 올해부터 국민들을 대상으로 PC· 사물인터넷(IoT) 기기의 랜섬웨어 취약 여부를 원격으로 진단·개선하는 '내 PC 돌보미 서비스'를 지원한다. 내년부터는 언제 어디서든 기기의 취약점 정보를 실시간으로 알려주는 모바일 전자고지 기반 '찾아가는 알림 서비스' 도입을 추진하며, 이를 내 PC 돌보미 서비스와 연계해 사후조치도 제공할 계획이다.

◇랜섬웨어 긍극적 대응법은

정부 방침과는 별도로 기업과 국민도 랜섬웨어에 노출되지 않도록 노력이 필요하다. 전문가들은 먼저 의심되는 이메일과 링크를 클릭하면 안 되며 잦은 간격으로 물리적으로 구분된 스토리지에 백업을 하도록 권하고 있다. 또 감염 경로가 이메일뿐만 아니라 광고, SW 설치 등 의식하지 못하는 곳일 수도 있으니 중요 데이터는 네트워크가 분리된 오프라인 저장소에도 보관할 수 있도록 하며 사내 보안 의식과 교육을 강화하고 해커의 공격을 받을 경우 적절한 대응을 할 수 있는 훈련을 정기적으로 실시해야 한다고 입을 모았다.

국내 서비스형소프트웨어(SaaS) 대표 기업인 더존비즈온은 랜섬웨어의 궁극적 대응방법은 기업 업무환경 자체를 해킹이 어려운 클라우드로 전환해 사용하는 것이라고 설명했다. 이 회사 송호철 플랫폼사업 부문 대표는 랜섬웨어 대응책에 대해 “PC 의존도를 낮추면 랜섬웨어 공격을 두려워하지 않아도 된다”면서 “업무를 처음부터 클라우드 기반 플랫폼을 사용해 PC 본체에는 아무 데이터가 없게 하는 것이 현재 가장 안전한 방법”이라고 말했다.

랜섬웨어 공격은 날로 교묘해지고 누구나 그 대상이 될 수 있다. 만약 공격을 당했다면 민간 차원에서 이를 해결하기는 거의 불가능에 가까워 피해가 극심할 것은 명료하다. 데이터 관리자는 랜섬웨어 예방법을 기본적으로 준수하면서 지속 업데이트되는 기술적 방비책을 습득할 수 있도록 꾸준히 노력해야 할 것이다.

이호 넥스트데일리 기자 dlghcap@nextdaily.co.kr