[보안칼럼] 랜섬웨어, 보안백업으로 사이버 회복력 확보해야

[보안칼럼] 랜섬웨어, 보안백업으로 사이버 회복력 확보해야

악성코드 가운데 절대 우세종은 랜섬웨어다. 랜섬웨어는 기업의 생존을 위협한다. 정부기관에 대한 사이버 테러에도 가장 효과적이다. 서버 인프라 데이터를 암호화하면 운영이 마비되기 때문이다. 현재 디지털 대전환이 진행되고 있는 미국·중국·유럽·일본을 비롯한 전 세계가 랜섬웨어 공격으로 심각한 고통을 겪고 있다. 대한민국도 풍전등화에 놓여 있다. 예측대로 악성코드와 가상화폐가 결합하면서 랜섬웨어 전성기가 도래했다.

초연결·초지능화 기반의 디지털 대전환은 대한민국에 퀀텀 점프 기회를 제공했지만 동시에 사이버 공격, 특히 랜섬웨어 공격에 의한 대붕괴의 위험성도 키웠다. 글로벌 보안 기업에 따르면 대한민국 대상 랜섬웨어 공격 빈도는 이스라엘에 이어 2위다. 랜섬웨어 암호화 및 복호화 비율로는 1위로, 글로벌 해커의 먹잇감이 됐다.

랜섬웨어는 상대적으로 강한, 정보보안 시스템을 구축한 대기업 대신 보안이 취약한 협력업체나 해외지사를 공격하고 있다. 우리나라의 수많은 중화학과 기계제조업, 의료와 제약, 반도체 산업계도 랜섬웨어 공격에 고통을 겪었다. 현재도 진행되고 있다.

랜섬웨어의 공격 대상은 2015년 초기에는 PC 대상으로 무차별 살포되는 형태였지만 2017년 하반기부터 표적형 서버 인프라 데이터 공격으로 진화했다. 지난해부터 AI와 클라우드 기반의 IoT, 스마트 팩토리, 공급망 시스템 등 디지털전환 플랫폼을 공격 대상으로 삼고 있다. 암호화를 푸는 복호화 비용도 나날이 커지고 있다. 이젠 1000억달러를 요구하는 조직도 나타났다.

보안이 우수하다고 인정받은 기업도 안심할 수 없다. 1년 전 모의해킹과 취약점 점검에서 우수 판정을 받은 국가핵심기술 보유 제조업체가 랜섬웨어 공격을 당해 공장 가동 중단과 금전적 손해를 봤다. 기존 정보보안체계가 고도화된 랜섬웨어 해커에는 장벽이 되지 않고 있다.

랜섬웨어 공격은 어떻게 진행될까. 서버 시스템과 인프라 대상 랜섬웨어 공격은 3단계로 이루어진다. 1단계는 1~2개월 해킹 대상의 물색 및 침투, 2단계는 백업시스템 삭제, 중요 데이터 탈취 및 암호화, 마지막 3단계는 금전 요구와 불응 시 데이터를 판매하거나 다크웹에 유포하는 표준 시나리오로 구성돼 있다. 해커들은 협상력을 높이기 위해 백업시스템을 복구가 불가능하도록 완전히 삭제하고 주요 핵심 기술을 탈취해서 유포한다고 위협하고 있다.

필자는 랜섬웨어 공격을 받은 기업을 프로파일링할 때 백업 데이터를 삭제해서 백업시스템을 완전히 무력화하는 것에 주목하고 있다. 백업된 데이터는 랜섬웨어 해커의 금전 요구 협상에 가장 큰 걸림돌이 되기 때문에 최우선적 제거 대상이다. 데이터를 복구하면 해커의 협상력이 사라지기 때문이다. 기존 백업시스템은 하드웨어 고장, 수해나 화재에 대비하기 위해 구축되었기 때문에 실제로 해킹에 매우 취약하고, 쉽게 삭제할 수 있다.

우리나라 공공기관, 금융기관, 제조업 등 서버인프라 데이터의 백업은 대부분 IT 재해에 대비하는 일반백업으로 구축돼 있어 랜섬웨어 해킹 공격에 매우 취약하다. 우리나라 데이터 보안문제의 뇌관이다.

랜섬웨어 해킹까지 대비하는 보안백업으로의 교체와 전환을 위한 기술적, 법·제도적 조치가 시급하다. 이를 감안한 최상의 랜섬웨어 방어전략은 무엇일까. 먼저 사전에 소프트웨어 인증기술과 행위 기반으로 랜섬웨어를 탐지·분석·차단하는 기술을 확보해야 한다. DB 서버를 직접 공격하는 랜섬웨어와 DB 접근 권한이 있는 사용자의 PC로부터 공격받아 DB 서버의 커널단에서 작동하는 이상행위 프로세스를 사전에 탐지 및 분석하고 암호화 공격을 차단해야 한다.

두 번째 분리된 망으로 sFTP 통신프로토콜로 백업할 수 있어야 하며, 백업저장소가 랜섬웨어로부터 해킹되지 않도록 저장소 보호기술이 작동돼야 한다. 또 랜섬웨어에 감염된 파일을 탐지해서 백업을 차단하는 기술을 탑재해야 하고, 국가정보원 검증필 암호화 모듈을 사용해 백업 과정과 유출 시 보안성을 담보해야 한다. 마지막으로 실시간 중앙관제로 랜섬웨어 침해 현황 분석 및 확산 방지 기능을 사용해야 한다.

최근 랜섬웨어 방어 솔루션이 여러 형태로 출시되고 있고, 회사마다 자사의 솔루션이 완벽하다고 말하고 있어 사용자 판단이 쉽지 않다. 대세는 소프트웨어 인증기술 및 행위 기반의 사전 차단 기술과 보안백업 기술이 융합한 '다계층 랜섬웨어 방어 플랫폼 보안기술'이다. 좋은 솔루션의 기준은 단 한 가지다. 솔루션 도입 후 랜섬웨어 감염 시 '원상복구 보증서'를 발행해서 보안성과 안정성을 보증할 수 있느냐 여부로 판단할 수 있다. 기술력이 담보되지 않는 회사는 불가능한 약속이다.

이형택 한국랜섬웨어침해대응센터장(이노티움 대표이사) htlee@innotium.com