랜섬웨어가 범죄 생태계를 조성한다. 기업과 개인 민감정보를 볼모로 수익성을 늘린다. 정보보호에 취약한 중소기업과 일반 개인을 중심으로 피해가 커진다.
정부는 랜섬웨어 피해 예방을 위해 보안업계와 정보공유를 강화한다. 기존 사이버위협정보공유시스템(C-TAS)을 'C-TAS 2.0'으로 진화, 보다 심층적인 위협 정보까지 실시간 대응이 가능하도록 지원한다. 근본 대응을 위해 랜섬웨어 공격에 가담한 범죄자는 별도 수사 팀을 통해 끝까지 추적한다.
전자신문은 '랜섬웨어 대응 좌담회'를 온라인으로 개최했다. 정보보호 분야 산·학·연·관 전문가가 참석해 랜섬웨어 범죄를 억제하기 위한 대책을 논의했다. 전문가들은 랜섬웨어를 포함한 사이버위협 전반에 대한 가시성을 확보할 것, 랜섬웨어 공격에 따른 수익성을 떨어뜨릴 것 등을 대책으로 제시했다.
[참석자(가나다순)]
△류재철 한국정보보호학회장(충남대 교수)
△문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장
△박태환 안랩 시큐리티대응센터(ASEC) 대응팀장
△신대규 한국인터넷진흥원(KISA) 사이버침해대응본부장
△이동범 한국정보보호산업협회(KISIA) 회장(지니언스 대표)
△홍진배 과학기술정보통신부 정보보호네트워크정책관(국장)
△사회=이호준 전자신문 ICT융합부장
◇사회(이호준 전자신문 ICT융합부장)=랜섬웨어 감염 피해가 커지는 가운데 여력이 없는 중소기업은 대응이 어려운 상황이다. 중소기업 랜섬웨어 대응력을 강화하기 위해 어떤 정책 또는 지원이 필요하다고 보는가.
![[랜섬웨어 대응 좌담회]정부, 'C-TAS 2.0'으로 정보공유 강화…범죄자는 끝까지 추적](https://img.etnews.com/photonews/2108/1446461_20210823163112_117_0003.jpg)
◇류재철(한국정보보호학회장, 충남대 교수)=우선 보안 체계를 갖춰야 한다. 정보보호관리체계(ISMS)가 존재하는데 아쉽게도 대기업 위주다. 중소기업에서 ISMS를 활용하기 현실적으로 어렵다. 정보기술(IT) 기반 중소기업을 위한 ISMS 규격을 새롭게 제정해 보급해야 한다. KISA가 중소기업 보안 컨설팅 사업을 수행해 온 만큼 중소기업용 ISMS 규격 제정은 어렵지 않게 수행될 수 있다고 생각한다.
![[랜섬웨어 대응 좌담회]정부, 'C-TAS 2.0'으로 정보공유 강화…범죄자는 끝까지 추적](https://img.etnews.com/photonews/2108/1446461_20210823163112_117_0004.jpg)
◇문종현(이스트시큐리티 시큐리티대응센터(ESRC) 센터장)=현재 기업 대상 랜섬웨어는 이메일과 웹사이트가 주요 감염 통로다. 채용구직 문의 사칭이나 저작권 위반 등 기업 맞춤형 공격이 성행한다. 기업에 따라 무료 웹 메일을 업무로 사용하는 경우도 있다. 평소 비용 부담이나 필요성을 전혀 못 느껴 보안 솔루션 구축이 전무한 경우도 있다. 랜섬웨어 위험성에 대한 안내와 홍보가 절실하다.
![[랜섬웨어 대응 좌담회]정부, 'C-TAS 2.0'으로 정보공유 강화…범죄자는 끝까지 추적](https://img.etnews.com/photonews/2108/1446461_20210823163112_117_0005.jpg)
◇박태환(안랩 시큐리티대응센터(ASEC) 대응팀장)=중소기업 입장에서 보안 투자는 물론 해당 업무를 수행할 전문인력을 보유하고 지속 관리하기가 만만치 않을 것이다. 예산 지원을 통한 보안 투자에 도움을 주는 방법도 있겠지만 이미 다양한 형태로 지원했던 이력이 존재할 것이니 전문 인력 보유와 지속적 관리를 수행할 수 있는 체계 또는 외부에서 이를 주기, 정기적으로 관리해 주는 서비스 체계를 고민해야 한다.
![[랜섬웨어 대응 좌담회]정부, 'C-TAS 2.0'으로 정보공유 강화…범죄자는 끝까지 추적](https://img.etnews.com/photonews/2108/1446461_20210823163112_117_0006.jpg)
◇신대규(한국인터넷진흥원(KISA) 사이버침해대응본부장)=올해 7월까지 KISA에 신고된 랜섬웨어 피해 신고 건수를 보면 97건 가운데 81%(79건)가 중소기업이다. 그만큼 중소기업에 피해가 집중되고 있다는 의미다. KISA는 중소기업 랜섬웨어 예방을 기술적으로 지원하기 위한 사업을 준비하고 있다. 중소기업 서버를 대상으로 원격에서 보안 점검을 지원하는 서비스를 내년부터 시작할 계획이다. 중소기업 보안 인식 제고를 위해서는 약 2만4000명에 달하는 정보보호최고책임자(CISO)를 대상으로 랜섬웨어 동향 안내와 예방 교육 강화 등 중소기업 보안 인식을 제고할 방침이다.
![[랜섬웨어 대응 좌담회]정부, 'C-TAS 2.0'으로 정보공유 강화…범죄자는 끝까지 추적](https://img.etnews.com/photonews/2108/1446461_20210823163112_117_0007.jpg)
◇이동범(한국정보보호산업협회(KISIA) 회장, 지니언스 대표)=보안 투자는 수익과 직접 연계되지 않기 때문에 중소기업 대부분은 보안 인식과 투자가 부족하다. 랜섬웨어 피해에 대한 대대적인 홍보를 통해 기업 의사결정권자가 필요성을 인지하도록 하는 정책 지원이 우선돼야 한다. 랜섬웨어 피해 규모는 지난해 한 해만 2조원으로 보이스피싱의 최근 5년간 피해액인 1조7000억원보다 훨씬 높다. 그럼에도 보이스피싱 예방 홍보가 더 활발히 이뤄지는 현실이다. 또 보안 솔루션은 도입보다 지속적인 업데이트와 운영이 핵심인 만큼 중소기업은 정부 지원사업 종료 후에도 보안성을 지속 관리하려는 관심과 노력을 기울여야 한다.
![[랜섬웨어 대응 좌담회]정부, 'C-TAS 2.0'으로 정보공유 강화…범죄자는 끝까지 추적](https://img.etnews.com/photonews/2108/1446461_20210823163112_117_0008.jpg)
◇홍진배(과학기술정보통신부 정보보호네트워크정책관)=정부는 범부처 합동으로 마련한 '랜섬웨어 대응 강화 방안'에서 중소기업을 대상으로 한 맞춤형 예방 지원을 비중 있게 담았다. 과기정통부는 그간 민간에서 요구가 높았던 데이터 백업을 지원하기 위해 중소기업에 '데이터 금고'를 보급할 계획이다. 영세·중소기업 대상으로 보안 솔루션 지원을 강화하고 보안 솔루션은 메일 보안SW, 백신, 탐지·차단 SW 등 '랜섬웨어 대응 3종 패키지' 형태로 지원할 예정이다.
◇사회=랜섬웨어는 민·관 정보 공유와 협업이 중요하다. 현재 민·관 협업이 어느 정도로 이뤄지고 있다고 평가하며 추가적으로 어떤 점이 필요하다고 보나.
◇홍진배=현재 민간에는 C-TAS, 공공에는 국가사이버위협 정보공유시스템(NCTI) 등 민간 기업과 공공기관 특징을 고려한 사이버위협 정보공유시스템이 운영되고 있다. 민간·공공의 사이버위협정보공유시스템을 유기적으로 연동할 수 있는 '사이버보안얼라이언스' 체계를 구축할 예정이다. 의료·금융 분야에서 분야별로 운영 중인 정보공유분석센터(ISAC)도 '사이버보안얼라이언스' 체계에 연동해 전 분야에서 사이버위협 정보공유와 대응 협업을 강화할 것이다. 사이버 위협 정보 공유와 협력을 체계적으로 추진하기 위한 '사이버보안기본법(가칭)' 등 제도 기반도 마련할 계획이다.
◇이동범=랜섬웨어 등 사이버 보안과 관련한 위협 정보는 시의성이 핵심이다. 같은 위협 정보라도 얼마나 빨리 인지하느냐가 대응과 결과에 미치는 파급력이 크기 때문이다. 따라서 지금까지 꾸준히 제기되는 정부의 정보·수사기관, 공공기관 등이 보유한 위협 정보를 실질적으로 정보보호 기업에 신속하게 공유할 수 있는 체계를 만들고 이를 활성화해야 한다. 효율적인 정보 공유와 대응 방안 수립·논의를 위해 정부, 보안업계 등으로 구성된 랜섬웨어 민·관 대응 협력 기구 운영도 고려해 볼 수 있다.
◇신대규=민간 분야의 경우 C-TAS를 이용하는 회원사가 2016년 132개에서 올해 7월 현재 316개로 약 240% 증가하는 등 많은 기업이 사이버 위협에 대한 실시간 정보 공유와 이를 통한 대응 중요성을 인식하기 시작했다. KISA는 C-TAS를 통해 랜섬웨어 대응에 필요한 자료 전달, 랜섬웨어 감염 사고 분석·복원 등 수사기관 랜섬웨어 대응을 위한 기술지원도 강화할 것이다. 현재 C-TAS는 가급적 전체에 공유 가능한 정보 위주로 개선하고 기타 심층 정보, 의미가 있는 정보는 'C-TAS 2.0'을 신설, 추가적으로 보다 긴밀하고 밀접한 정보가 공유될 수 있도록 수정할 계획이다.
◇박태환=현재 국가기관을 중심으로 한 정보공유와 협업은 상당 부분 잘 진행되고 있지만 지금보다 활발한 정보 공유와 협력을 위해서는 상호 간 신뢰가 정말 중요하다. 정보가 공개됐을 때 정보 제공자와 사건·사고 피해자 모두가 제대로 보호돼야 하고 사이버 보안 사고의 주범을 검거할 수 있도록 모두가 협력할 수 있어야 한다. 여기에 협력하는 모든 이들의 노력에 대한 가치가 인정받을 수 있어야 활발하게 진행될 것이다.
◇문종현=KISA 위협 인텔리전스 네트워크와 온라인 랜섬웨어 허브 공유 채널을 통해 실시간 발생하는 최신 국내외 랜섬웨어 위협 정보 공유와 협업이 빠르게 유지되고 있다. 다만 특정 고객사에서 접수된 민감 정보의 경우 대외 보안 유지 서약 등 사유로 모든 위협 첩보가 실시간으로 전부 공유되는 것은 아니기 때문에 한계는 존재한다. 이런 사안의 경우 공격 피해자에게 초점을 맞추는 것이 아니라 공격 가해자에 대한 기술 분석 논의를 통해 대응과 복원력을 높일 수 있다.
◇류재철=C-TAS와 NTIS는 잘 진행되고 있지만 수집된 정보의 신뢰성을 어떻게 보장할지, 수집된 정보를 통해 의미 있는 보고서가 생성되는지, C-TAS와 NTIS 간 정보 공유는 문제가 없는지, 대량의 정보를 자동처리 할 수 있는 기술개발은 이뤄지는지에 대한 점검은 필요해 보인다. 정보 공유 참여자 입장에 따라 참여도가 다르기 때문에 모든 참여자가 적극적으로 참여할 수 있는 제도적 뒷받침이 필요하다. 예를 들어 좋은 정보 제공자에게는 정부에서 적절한 비용 지불을 해주는 등 제도가 있다면 참여자 만족도가 높아지고 원활한 정보공유가 가능해질 것이다.
◇사회=랜섬웨어 효율적 대응을 위해 중소기업 지원, 민·관 협력 외에도 어떤 노력이 더해져야 하나.
◇류재철=수사기관과 협조해 범인 색출을 위한 전담팀을 구성하고 랜섬웨어 공격자에 대한 강력히 대응해야 한다. 이를 위해 랜섬웨어 도구를 거래하는 시장 조사, 가상화폐 추적, 공격자 프로파일링 등 다양한 분야 전문가 협업이 필요하다. 대부분 해외로부터 랜섬웨어 악성코드가 유입되고 있어 해외 공격자로 오해할 수 있는데 이들 중 상당수는 내국인으로 의심된다. 러시아는 자국 내 해커에 대해 강력한 응징을 통해 사이버 범죄를 차단하고 있다. 국내도 이 같은 수사 체계 재정립이 필요한 시점이다.
◇문종현=랜섬웨어 이슈가 국내외로 많아져 관심도가 높아지는 것은 긍정적이지만 국내외에서 발생하는 랜섬웨어 침해사고는 처음부터 랜섬웨어만으로 진행되는 것이 전부는 아니다. 예를 들면 원격제어 악성파일을 이메일로 우선 유입시킨 후 기업 네트워크 내부를 살펴보고 환경에 따라 랜섬웨어를 살포하거나 공급망 접근 권한을 먼저 획득한 후 랜섬웨어를 대량 전파하는 지능적인 수법으로 이어진다. 일차원적인 랜섬웨어 집중 대응보다는 사이버 보안 위협 전체에 대한 상황 파악과 해결책에 대한 논의가 더해지길 기대한다.
◇박태환=공격에 노출되는 것을 최소화하는 것이 현재 기울일 수 있는 최선이라고 본다. 랜섬웨어 사고가 발생한 다음에 할 수 있는 것은 거의 존재하지 않는다. 가능한 랜섬웨어 사고가 발생하지 않도록 예방하는 것이 중요함을 강조하고 현재 환경을 점검하는 것을 지속 안내하는 것이 필요하다.
◇신대규=정부, 수사기관, 공공기관이 랜섬웨어에 대한 다양한 예방·대응·복구 방안을 수립해 기업·개인을 지원하고 있지만 결국 국민 개개인이 보안 의식을 가지고 안전한 디지털 환경을 구축할 수 있도록 노력하는 것이 중요하다. 침해사고에 악용되는 취약점을 관리해서 침해 사고를 줄이는 것도 필요하다. 현재 기업 보안 취약점이 있는 제품을 생산·수입해 유통할 경우에 이를 적극적으로 발견 대응하는 것이 어렵다. 보안 취약점 발견 시 기업이 단계적으로 취약점 보완 조치를 강화할 수 있는 기술, 법제도 방안 마련을 담당 부처와 협의하겠다.
◇이동범=중소기업이 랜섬웨어 감염 시 주저 없이 연락해 도움을 청할 수 있는 랜섬웨어에 특화된 지원 창구가 있다면 어떨까 한다. 국내에는 랜섬웨어 피해 규모나 분석이 아직 체계적으로 이뤄지지 않고 있다. 정기적인 랜섬웨어 국내 감염 현황 조사와 함께 피해 유형, 감염 경로 등 사례, 동향 분석이 필요하다. '랜섬웨어 모의체험장'과 랜섬웨어 대응교육, 포털 운영 등으로 대국민 랜섬웨어 인식제고에 대한 노력도 함께 기울여야 한다.
◇홍진배=기반시설 보안 강화가 중요하다. 정부는 정유사 등을 주요정보통신기반시설로 추가 지정하는 방안을 검토하고 기 지정된 기반시설 관리기관 보호대책에 백업 시스템 구축, 위기 발생 시 복구 방안, 업무지속계획(BCP)이 포함되도록 할 예정이다.
2차 피해 방지를 위한 노력도 중요하다. 랜섬웨어 대응 강화 방안은 다크웹 모니터링을 통한 해킹 조직 활동 감시, 경찰청 랜섬웨어 전담 수사체계 구축, 인터폴·유로폴 등과 국제 수사 공조 등 랜섬웨어 범죄 수사 강화 부분을 비중 있게 반영했다. 경찰청과 협력해 랜섬웨어 범죄자를 끝까지 추적하고 랜섬웨어 공격으로 금전적 이득을 보지 못한다는 인식을 심어줄 것이다. 가상자산 추적을 위한 수요 제기가 많아 경찰청에 관련 기술도 공급할 계획이다.
서비스형 랜섬웨어(RaaS), 지능형지속공격(APT) 등 랜섬웨어가 끊임없이 빠르게 진화하는 만큼 이에 지속 대응하기 위한 기술 개발 강화도 매우 중요하다. 정부도 노력을 아끼지 않겠지만 무엇보다 중요한 것은 기업과 국민 보안 인식 제고다. 사이버 보안을 위한 노력을 일상적으로 실천해야 한다.
정리=오다인기자 ohdain@etnews.com
