모든 기업이 랜섬웨어 공격의 표적이 되고 있다. 의료나 금융, 공공기관, 국방 등이 공격받으면 일반 대중에게 큰 피해를 입힐 수 있다. 문제는 해커에게 몸값을 지불해도 데이터가 잠금 해제되지 않는 경우가 많다는 것이다.
랜섬웨어 공격의 타깃이 되는 주요 요인을 살펴보면, 최신 버전이 아닌 기기나 소프트웨어(SW) 사용, 브라우저와 운영체제(OS)의 최신 패치 미실행, 부족한 백업 및 복구 계획 등을 꼽을 수 있다. 이같은 경우 랜섬웨어 공격의 희생양이 될 수 있다는 점을 명심해야 한다.
랜섬웨어 공격으로부터 안전하게 보호하려면, 무엇보다 정기적으로 백업 작업을 해야 한다. 백업은 랜섬웨어에 대한 가장 중요한 방어선이다. 모든 중요한 데이터의 최신 백업이 있다면 랜섬웨어 공격을 받더라도 암호화되지 않은 이전 버전으로 되돌려, 시스템과 데이터에 다시 액세스할 수 있기 때문에 걱정할 필요가 없다. 특히 백업 데이터는 공격자의 표적이 될 수 없는 위치에 오프라인으로 저장해야 한다. 만약 공격을 받았다면 백업본이 감염되지 않았는지 확인한 후 롤백하면 된다.
이와 함께 다양한 사고에 대한 대응 계획을 마련하면, 랜섬웨어 공격 시 정보기술(IT) 보안 팀이 신속하고 정확하게 상황을 수습하는 데 도움이 될 수 있다. 계획엔 담당 직원의 역할과 책임, 행동 수칙 등 매우 구체적인 내용이 담겨야 한다. 또, 보안팀 외부의 경영진 등 이해관계자도 명확하게 정의하고, 공격 및 대응 상황을 공유해야 한다.
랜섬웨어 피싱 시도 대부분은 이메일을 통해 이뤄지므로 의심스러운 이메일의 신뢰할 수 없는 링크는 절대 클릭하면 안 된다. 또, 무엇보다 개인 정보 공개에 신중해야 한다. 신뢰할 수 없는 출처에서 개인 정보를 요청하는 전화, 문자 메시지 또는 이메일을 받으면 회신하면 안 된다. 랜섬웨어 공격을 계획 중인 사이버 범죄자가 미리 개인 정보를 수집해 사용자에게 맞는 피싱 메시지를 보내는 데 사용할 수 있다.
아울러 '샌드박싱' 기술을 기반으로 이메일, 파일 등을 격리된 클라우드 및 가상화 등의 환경으로 분리해 안전 여부를 먼저 분석함으로써 시스템을 더 안전하게 보호할 수 있다. 바이러스 스캐너와 함께 이메일 게이트웨이와 콘텐츠 및 파일 무해화(CDR) 솔루션을 사용하면 악성 첨부파일이나 감염된 링크가 포함된 메일이 메일함에 도달하기도 전에 차단한다.
또 최전방 방어선인 최신 방화벽과 웹보안 솔루션을 사용해 웹 서비스에 대한 HTTP 트래픽을 모니터링하고 필터링해야 한다. 회사에서 웹 애플리케이션과 애플리케이션 프로그램 인터페이스(API)를 사용할 때 악성 트래픽에 노출될 수 있는 데, 방화벽을 사용해 잠재적으로 유해한 트래픽을 필터링할 수 있다.
끝으로 기업 내외부에서 사용하는 모든 SW와 OS는 필수적으로 최신버전을 유지해야 한다. SW 개발자는 계속해 패치와 버그 수정 사항을 내놓기 때문에, 시스템을 최신 상태로 유지하면 해커가 취약점을 악용하기 전에 막을 수 있다.
다양한 대응에도 랜섬웨어 공격을 받았다면, 데이터 침해 사실을 은폐하지 말고 법 집행 및 보안 관련 수사 기관에 신속하게 알려 문제를 논의해야 한다. 관련 기관들은 전문 지식과 통찰력을 갖추고 있다. 향후 취할 수 있는 최선의 조치를 제공하는 것은 물론 최신 암호 해독 솔루션을 사용해 데이터를 잠금 해제가 가능할지 여부도 확인해 줄 수 있다.
김종광 인섹시큐리티 대표이사 insec@insec.co.kr
