[컴퓨터월드] 랜섬웨어가 기승을 부리고 있다. 연일 스미싱, 피싱 메일 등을 통해 배포되는 악성코드, 랜섬웨어와 관련된 뉴스가 나오고 있다. 특히 최근 랜섬웨어는 개인을 노리는 것뿐만 아니라 기업을 노린 타깃형 공격으로도 이어지고 있다. 단순히 데이터를 암호화하고 복호화를 위한 몸값을 요구하는 것을 넘어, 데이터를 유출시키겠다는 협박으로 더욱 많은 비용을 요구하는 정황도 발견되고 있다. 랜섬웨어 외에 분산서비스거부(DDoS, 이하 디도스) 공격도 계속되고 있다. 디도스 공격 또한 단순히 서비스에 장애를 발생시키는 것을 넘어, ‘또 다시 디도스 공격을 실행하겠다’는 협박성 메시지로 비용을 요구하고 있다.

이와 같이 금전적인 이득을 노리고 진행되는 사이버 공격 사례는 가 다수 발견되고 있다. 올해에도 협박성 사이버 공격이 계속 기승을 부릴 것으로 전망된다.

3분기부터 랜섬웨어 공격 50% 이상 급증

랜섬웨어와 관련된 사건 사고가 계속 늘어나고 있다. 국내뿐만 아니라 전 세계 각지에서 랜섬웨어로 인한 피해가 발생하고 있다. 글로벌 보안기업 체크포인트소프트웨어테크놀로지스에 따르면 지난 3분기 동안 발생한 랜섬웨어 공격이 상반기 대비 50% 이상 급증했다.

랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

지난해 랜섬웨어로 인해 국내외에서 많은 사고가 발생했다. 대표적인 사례들을 살펴보면 지난 5월에는 국내 웹호스팅 기업이 랜섬웨어 공격을 받아 서버 일부가 감염되는 사고가 발생했다. 당시 웹호스팅 기업은 서버 40대가 랜섬웨어에 감염됐지만, 백업데이터를 기반으로 자료복구 및 OS 재설치로 데이터 복구 작업을 진행, 서비스를 정상화했다.

지난 9월에는 미국과 영국에서 400여개의 의료시설을 운영하는 UHS(Universal Health Services)가 랜섬웨어 공격을 받아 전체 의료시스템이 마비되는 사태가 발생했다. UHS가 감염된 랜섬웨어는 ‘류크(Ryuk)’ 랜섬웨어로 추정되고 있으며, 주요 의료시스템이 마비됨에 따라 응급 환자를 다른 병원으로 이송하는 등 피해가 발생한 것으로 알려지고 있다. 독일에서는 랜섬웨어 공격 때문에 환자가 사망하는 사건이 발생했다. 의료 시스템에 대한 랜섬웨어 공격의 심각성을 알리는 사례가 됐다.

지난해 9월 SK하이닉스 및 LG전자의 미국법인도 메이즈 랜섬웨어 공격을 받았으며, 11월에는 일본 게임사 캡콤이 랜섬웨어 공격으로 총 35만 건의 주요 문서가 유출되는 사건이 발생했다. 국내에선 이랜드 그룹 본사 서버를 타깃으로 한 랜섬웨어 공격으로 인해 영업점이 휴점하거나 부분 영업 피해가 발생했다. 특히 이랜드 그룹을 공격한 클롭(CL0P) 그룹은 해당 공격으로 이랜드가 갖고 있던 신용카드 정보 200만 건을 탈취했다고 주장하며 4,000만 달러(약 442억 원) 상당의 비트코인을 요구, 비용을 지불하지 않으면 정보를 공개하겠다고 협박하면서 다크웹에 일부 정보를 공개하고 있다. 금융당국은 현재 해당 정보가 실제 정보인지 분석하고 있다.

<관련 뉴스> 이랜드 그룹, 랜섬웨어 공격으로 백화점 및 아울렛 등 영업 중단

지난해 11월 22일 이랜드 그룹이 랜섬웨어 공격을 받아 엔씨(NC)백화점 등 오프라인 영업점 절반 가량이 휴점하거나 부분 영업을 하는 피해가 발생했다.

이랜드 그룹에 따르면 22일 새벽 사내 네트워크 시스템을 대상으로 한 랜섬웨어 공격이 발생했으며, 복구작업에 차질이 생겨 오프라인 영업점 운영에 차질이 생겼다. 특히 랜섬웨어에 감염된 시스템이 일부 매장의 포스(POS) 단말기 등과 연동돼 영향을 미친 것으로 분석됐다.

이랜드 그룹은 공식 발표문을 통해 “민감한 데이터는 암호화돼 별도 서버에 저장, 안전한 상태”라고 설명했다. 하지만 클롭 랜섬웨어 운영자들은 약 1년 전부터 이랜드 그룹 네트워크에 침투했으며, POS 단말기에 멀웨어를 심어 신용카드 정보를 탈취하고 있었다고 주장했다.

클롭 랜섬웨어 조직은 이번 랜섬웨어 공격으로 200만 건의 신용카드 정보를 탈취했다고 밝히며, 4,000만 달러의 비용을 지불하지 않으면 정보를 공개하겠다고 협박했다. 클롭 랜섬웨어 조직은 예고했던 대로 지난 12월 3일부터 신용카드 정보를 다크웹에 공개하고 있다. 현재까지 약 70만 개의 정보가 다크웹에 올라와 있는 상태다. 금융당국은 해당 정보가 실제 신용카드 정보인지 수사에 나서고 있다. 클롭 랜섬웨어 조직은 협상을 시도하며, 비용도 2,700만 달러로 낮춘 것으로 알려졌다.

 

지난해 기승을 부린 랜섬웨어 종류는 ▲매그니베르(Magniber, 개인 타깃) ▲블루크랩(BlueCrab, 개인 타깃) ▲메이즈(Maze, 기업 타깃) ▲클롭(CL0P, 기업 타깃) ▲라그나로커(Ragnar Locker, 글로벌 기업 타깃) 등이다. 특히 ‘클롭’ 랜섬웨어는 이랜드 그룹 등 국내 기업을 공격한 사례가 있으며, 캡콤은 ‘라그나로커’ 랜섬웨어에 감염된 것으로 분석된다.

랜섬웨어 공격의 진행과정을 살펴보면, 개인을 타깃으로 한 경우는 대부분 이메일 첨부파일로 유포돼 랜섬웨어를 실행하도록 유도한다. 랜섬웨어는 공격자와 통신해 파일을 암호화하고, 공격자는 파일을 복호화하는 조건으로 비용을 요구한다.

기업을 대상으로 한 공격은 더욱 치밀하다. 이메일 첨부파일로 유포되는 방식은 유사하지만, 랜섬웨어가 기업 내부 시스템으로 침입하기 위한 정보 수집 절차가 추가된다. 공격자는 이를 통해 내부 시스템에 접속, 관리 권한을 획득하고 주요 정보 탈취 및 파일 암호화를 수행한다.

코로나19 및 비트코인 가격 상승으로 랜섬웨어 급증

최근 랜섬웨어 공격이 급증하는 요인으로 비트코인 가격 상승이 꼽힌다. 랜섬웨어 공격 트렌드를 보면 암호화폐 가격 상승과 비례하는 것을 확인할 수 있다. 최근 폭증하고 있는 랜섬웨어의 위협과 피해 증가세에 비트코인 가격 상승이 기인하고 있는 것으로 분석된다.

암호화폐는 기존 화폐와 달리 관리 주체가 없기 때문에 개인들 사이에 자유로운 거래가 가능하고, 실제 거래 기록 추적이 어렵다. 추적을 피해 현금화가 쉬워졌기 떄문에 사이버 공격자들이 선호하는 결제 수단으로 각광받고 있다. 사이버 공격자들은 금전적인 이득을 위해 사이버 공격을 진행하는 경우가 늘어나고 있다. 미국 연방수사국(FBI)에 따르면, 지난 6년간 약 1,700억 원 상당의 암호화폐가 랜섬웨어 복구 비용으로 해커에게 지급된 것으로 나타났다.

지난해 랜섬웨어가 급증하는 또 다른 요인으로는 ‘코로나19(COVID-19)’ 이슈가 꼽힌다. 코로나19가 전 세계적인 이슈가 됨에 따라, 이를 악용한 사회공학적 기법의 공격이 급증하고 성공률 또한 높아지고 있는 것으로 나타났다. 비대면 업무 확산 등 IT 환경이 변화하는 가운데 보안이 미흡한 점을 악용한 공격사례가 증가하고 있으며, 코로나19를 키워드로 한 공격도 지속되고 있다.

특히 코로나19로 인해 사람들의 생활양식이 온라인 중심으로 변화하는 트렌드를 반영해 랜섬웨어 역시 코로나19 관련 정보로 위장하거나, 업무 관련 SW 다운로드, 게임 및 온라인 개학 관련 내용을 악용해 악성코드를 유포하는 사례가 지속적으로 발견되고 있다.

한국인터넷진흥원에 신고된 랜섬웨어 현황을 보면 지난 2018년은 22건, 2019년은 39건에 그쳤으나, 지난해는 73건을 돌파했다.

<유포사례 ①> ‘넴티’ 및 ‘마콥’ 랜섬웨어, 이력서·공정거래위 관련 문서로 위장해 유포

지난해 채용 시즌을 노려 이력서로 위장한 ‘넴티(NEMTY)’ 및 ‘마콥(Makop)’ 랜섬웨어가 유포된 바 있다. ‘넴티 랜섬웨어’는 메일 본문에 ‘공고를 본 지는 조금 됐지만 지원한다. 이력서와 포트폴리오를 같이 보낸다’는 자연스러운 한글 메시지를 포함하고 있다. 이는 메일 수신자의 의심을 피하고 모집 기간이 아닌 기업의 담당자도 악성 첨부파일을 열어보도록 유도하기 위한 것으로 추정된다.

‘마콥’ 랜섬웨어 역시 이력서로 위장해 유포됐다. 첨부파일을 이력서처럼 속여 다운로드 받아 실행하도록 유도하는 방식이었으며, 내용을 확인하기 위해 파일을 열면 ‘비다르(Vidar)’ 악성코드에 감염되고, 다른 파일을 실행하면 ‘마콥’ 랜섬웨어에 감염되는 것으로 나타났다.

또한 ‘넴티’ 및 ‘마콥’ 랜섬웨어는 공정거래위원회의 ‘전자상거래 위반 행위 조사통지서’처럼 위장해 유포된 바 있다. 공정거래위원회 사무관이 보낸 것처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함돼 있다. 첨부된 압축파일에는 내에는 PDF문서처럼 위장한 랜섬웨어 파일과 함께, HWP문서처럼 위장한 정보탈취 악성코드가 함께 포함돼 있었다.

이스트시큐리티는 ‘알약 랜섬웨어 행위기반 차단 통계’를 통해 지난 2분기에는 ‘넴티’와 ‘마콥’가 기승을 부렸다고 발표한 바 있다. 통계에 따르면, 2분기 약 16만 건의 랜섬웨어 공격이 차단됐다. 특히 ‘넴티’ 및 ‘마콥’ 랜섬웨어는 국내 사회적 이슈를 활용해 한글로 작성된 악성 이메일로 유포됐다.

<유포사례 ②> ‘블루크랩’ 랜섬웨어, 유튜브 영상 다운로드 등으로 위장해 유포

지난해에 ‘유튜브 영상 고화질 다운로드’로 위장한 피싱 사이트를 통해 ‘블루크랩 랜섬웨어’가 유포됐다.

이 사례의 경우 공격자가 취약한 웹서버를 탈취해 ‘유튜브 영상 고화질 다운로드’라는 키워드로 악성 게시글을 업로드했다. 이후 검색 사이트에 피싱 사이트가 노출돼, 검색을 통해 접근할 수 있도록 유도했다. 사용자가 해당 피싱 사이트에 접속해 다운로드 링크를 클릭하면 압축파일이 다운로드 되며, 이 압축파일에 블루크랩 랜섬웨어가 포함돼 있다.

사용자가 압축을 해제한 뒤, 자바스크립트 형태(.js)의 파일을 실행하면 ‘관리자 권한’을 요구하는 팝업창이 나타나고, ‘예’ 버튼을 클릭하면 블루크랩 랜섬웨어에 감염된다. ‘아니요’ 버튼을 누르거나 재부팅을 시도해도 해당 팝업창이 지속적으로 나타나 사용자를 괴롭힌다.

정보유출, 디도스 등으로 확장되는 협박성 공격

특히 최근 랜섬웨어뿐만 아니라 정보유출, 디도스 공격 등으로 협박하는 사이버 공격도 기승을 부리고 있다. 이랜드 사건을 살펴보면, 단순히 랜섬웨어로 암호화하고 대가를 요구하는 것에서 그치지 않고, 정보를 공개하겠다는 협박으로 수백억 원에 달하는 비용을 요구하고 있다. 랜섬웨어가 데이터를 단순 암호화만 하는 것이 아니라, 정보유출 등으로 고도화되는 것을 확인할 수 있는 사례다.

심각한 것은 랜섬디도스 공격이다. 전 세계적으로 기업들이 디도스 공격을 실행하겠다는 협박 메시지를 받는 경우가 늘어나고 있다. 초기에는 금융 서비스를 노린 공격이 가장 많았으나, 최근에는 비즈니스 서비스, 첨단기술, 호텔 및 관광, 리테일, 여행 등 다양한 산업 분야의 기업을 대상으로 협박성 메시지가 전달되고 있다.

랜섬디도스는 디도스 공격으로 특정 서비스 또는 네트워크를 중단시키겠다고 협박하며 비용을 요구하는 공격 방식이다. 랜섬디도스 공격의 가장 큰 특징은 먼저 디도스 공격을 실행한 다음 공격 중단을 위해 비용을 요구한다는 것이다. 또한 공격한 사례를 기반으로 공격을 재실행하겠다고 협박하는 경우도 있다.

글로벌 CDN 기업 아카마이는 아르마다 콜렉티브(Armada Collective), 코지베어(Cozy Bear), 팬시베어(Fancy Bear), 라자루스 그룹(Lazarus Group)이라고 주장하는 조직들의 공격이 증가한 것을 확인했다. 최대 2Tbps의 디도스 공격을 실행하겠다는 협박 메시지도 발견했으며, 관측된 공격의 대역폭 범위는 20Gbps에서 300Gbps까지 광범위하게 나타났다.

아카마이 보안 인텔리전스 연구팀은 지난 8월 여러 분야 기업을 타깃으로 한 디도스 공격을 조사한 바 있다. 조사 결과에 따르면 공격은 암호화폐를 대가로 지불하지 않는 경우 디도스 공격을 시작하겠다는 협박성 메시지를 받으면서 시작됐다. 협박 내용을 외부에 공개하면 공격을 즉각 실행하겠다는 경우도 있었다. 협박 메시지에서는 실행하는 공격이 단순히 인프라를 무너뜨리는 것 이상이 될 것이라고 경고하면서 평판 실추를 집중적으로 언급했다.

아카마이가 아르마다 콜렉티브의 요구를 확인한 결과 초기 5비트코인에서 시작해, 매일 5비트코인씩 늘어나는 것을 확인했다. 이러한 대가 요구는 일반적으로 정해진 금액을 따랐지만, 기준은 공격자에 따라 달라졌다. 문제는 대가를 지불한다고 해서 디도스 공격이 끝난다는 보장이 없다는 것이다. 보안 업계는 몸값을 지불하는 순간 공격그룹의 범행 자금을 지원하는 것이라며, 협박 메시지를 받더라도 대가를 지불하지 않을 것을 권장하고 있다.

<인터뷰> “지난해 크리덴셜 스터핑·디도스 공격 기승”

“지난해 랜섬웨어와 랜섬디도스가 주요 사이버 위협으로 꼽히지만, 사용자의 계정을 노리는 크리덴셜 스터핑(Credential Stuffing, 무차별 대입) 공격 또한 심각한 보안 이슈가 되고 있다.”

강상진 아카마이코리아 상무는 최근 사이버 위협 트렌드로 랜섬웨어 및 랜섬디도스 외에도 크리덴셜 스터핑 공격이 심각한 문제로 떠오르고 있다고 강조했다. 강 상무에 따르면, 아카마이는 지난 2018년 7월부터 2년간 리테일·여행·호텔 업계를 대상으로 약 630억 건의 크리덴셜 스터핑 공격을 관측했다.

크리덴셜 스터핑 공격자들은 2020년 1분기 코로나19로 인한 봉쇄 기간 동안 전 세계적인 이례적 상황과 유출된 비밀번호 조합 목록을 이용해 커머스 업계를 공격 대상으로 삼기도 했다. 계정 탈취에 중점을 둔 크리덴셜 스터핑 공격은 미디어 업계를 대상으로 매일 수천만 건의 공격과 함께 꾸준하게 유지됐다. 이러한 공격 규모는 범죄자들이 악용할 수 있는 리소스가 많다는 것으로 분석된다.

강상진 상무는 “모든 공격이 API에만 집중된 것은 아니었다. 아카마이는 2019년 8월 7일 한 금융 서비스 업체에 아카마이 관측 사상 단일 규모로는 가장 큰 크리덴셜 스터핑 공격이 가해진 것을 포착했다. 약 5,500만 회의 악성 로그인 시도가 있었으며, 이 공격에는 API 공격뿐만 아니라 기타 방법이 섞여 있었다. 8월 25일에는 공격자들이 API를 직접 표적으로 삼아 1,900만 회 이상의 크리덴셜 어뷰즈 공격이 일어났다”고 설명했다.

이어 “크리덴셜 스터핑은 숫자 게임이다. 사용자가 단순한 아이디와 계정을 사용하거나, 타 서비스와 동일한 계정을 반복해 사용한다면 범죄자가 확보한 인증정보 목록이 충분하다면 공격 성공까지는 시간 문제다. 대부분의 크리덴셜 스터핑 공격은 자동화되고 올인원 툴이나 인간의 행동을 모방하는 봇을 이용하기 때문에 악성 트래픽과 정상 트래픽을 구분하는 것은 단순히 예상 가능한 알고리즘만으로는 해결될 수 없는 부분”이라고 덧붙였다.

역대급 규모 경신하는 디도스 공격

강상진 상무는 랜섬디도스 공격과는 별개로 디도스 공격 또한 활발하다고 설명했다. 특히 역대급 규모를 경신하는 디도스 공격이 지속적으로 발생하고 있다고 강조했다. 강 상무에 따르면, 지난 6월 21일 유럽의 은행을 노린 공격은 809Mpps(초당 패킷 전송량)를 기록하며 업계 최고 기록을 갱신했다. 이 공격은 약 10분간 지속됐다. 또한 아카마이는 6월 초에도 385Mpps의 대규모 디도스 공격을 관측한 바 있다.

공격이 진행되는 동안 공격 타깃에 트래픽을 등록한 소스 IP 수도 급증한 것으로 나타났다. 일반적으로 관측되던 IP 수에 비해, 공격 당시에는 분당 소스 IP 수가 600배 이상 증가했다. 아카마이는 이러한 결과를 통해 고도로 분산된 공격이라고 분석했다. 더불어 이번 공격에서 사용된 소스 IP의 대부분이 2020년 이전에는 사용하지 않던 IP에서 발생했다. 전체 소스 IP 중 96.2%가 최초로 발견된 것이다.

강상진 상무는 “아카마이는 올해 100Gbps 이상의 공격 건수와 종류가 30개월만에 최고치를 기록하며 모두 증가하고 있다는 점을 관측했다. 이런 증가 추세는 올해 초 코로나19 확산으로 인한 격리 조치가 본격화되면서 시작됐다”고 설명했다(그래프 1 참조).

이어 “<그래프 2>를 살펴보면, 최근 비즈니스 서비스를 대상으로 한 디도스 공격이 증가한 것을 볼 수 있다. <그래프 3>은 100Gbps 이상의 디도스 공격에 다양한 공격 기법이 사용됐다는 점을 보여준다. 지난 6월에는 TCP 스택 공격이 증가했다. 하지만 대규모 디도스 공격에 사용된 공격기법은 월별로 많은 차이를 보였다”고 말했다.

더불어 강 상무는 “<그래프 4>는 공격의 빈도가 증가할 뿐만 아니라 공격의 다양성과 복잡석 역시 가중되고 있다는 것을 보여준다. 여러 가지 색상으로 구성된 막대는 공격 기법의 조합을 나타낸다. 6월 100Gbps를 초과하는 14건의 공격 중에서 3건의 공격은 동일한 공격 기법을 사용했고 8건은 새로운 공격 기법을 조합한 것으로 분석됐다”고 덧붙였다.

 

“네트워크 보안 경계에 대해 다시 생각해야”

강상진 상무는 인터뷰 마지막으로 “최근 몇 년 사이에 제로 트러스트 접속과 같은 새로운 기업 원격 접속 아키텍처 및 프레임워크가 등장했다. 이런 개념은 네트워크 경계를 정의하는 방식을 내부에서 외부가 아닌 외부에서 내부로 바꿔놓았다. 일반적으로 기존 온프레미스 네트워크 경계의 외부에 있는 사용자와 디바이스가 애플리케이션과 서비스에 접속한다”고 설명했다.

이어 “제로 트러스트 접속은 어떠한 사용자도 신뢰하지 않고 신뢰할 수 없다고 가정해 원격 접속의 리스크를 줄이는 데 도움이 되지만, 감염된 디바이스와 관련된 리스크를 완전히 제거하지는 못한다. 이러한 디바이스는 기업용 애플리케이션을 악용하고 데이터 유출 및 민감한 독점 데이터에 대한 접속이라는 결과를 초래할 수 있다”고 강조했다.

강 상무는 이에 대한 대안으로 보안 및 네트워크 접속 제어를 클라우드 기반 서비스로 제공하는 SASE(Secure Access Service Edge)를 제안했다. SASE는 네트워크 및 보안 포인트 솔루션의 기능을 통합된 글로벌 클라우드 네이티브 서비스로 통합하는 개념이다.

랜섬웨어 대응 위해 백업 및 보안 체계 갖춰야

올해에도 랜섬웨어, 랜섬디도스 등 협박성 공격은 고도화될 것으로 전망된다. 이미 글로벌 보안 기업, 한국인터넷진흥원 등 많은 조직에서 내년의 주요 보안 이슈로 랜섬웨어를 꼽고 있다.

안랩 관계자는 “향후에도 랜섬웨어 공격자는 수익 극대화를 위해 영역을 가리지 않고 공격을 전개할 것으로 예상된다. 특히 앞선 ‘랜섬웨어 감염으로 인한 의료 시스템 마비 사건’처럼 유사 사건이 발생할 수 있으므로 사회 전반적인 보안 강화와 인식 제고가 필요하다”라고 강조했다.

랜섬웨어를 예방하기 위해서는 ▲출처가 불분명한 메일의 첨부파일 실행 자제 ▲‘알려진 파일형식의 확장명 숨기기’ 설정 해제 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW 등 프로그램의 최신 보안 패치 적용 ▲최신 버전 안티바이러스 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다. 특히 기업 보안 관리자에게는 랜섬웨어를 활용하는 공격자에 대비해 현재 운영하고 있는 보안 인프라 및 방어 체계를 꼼꼼히 점검하는 게 필수적으로 요구된다.

랜섬웨어에 대응할 수 있는 보안 솔루션을 활용하는 것도 한 가지 방법이다. 안랩은 안티바이러스 솔루션 ‘V3’를 통해 랜섬웨어에 대응할 수 있도록 지원하고 있다. ‘V3’는 악성코드 통합 분석 및 대응 시스템 ‘다차원 분석 플랫폼’으로 다양한 보안위협에 대응하고 있다. 더불어 클라우드 기반 악성코드 위협 분석 및 대응 기술인 ‘ASD(AhnLab Smart Defense)’, 악성코드 고유의 특성을 파악해 다양한 신/변종 악성코드를 진단하는 ‘TS(Total Security) 엔진’ 등 자체 개발한 악성코드 탐지/분석 엔진으로 강력한 랜섬웨어 대응 기능을 제공하고 있다.

특히 ‘ASD’는 랜섬웨어 의심파일을 별도의 가상 공간에 격리해 한 차례 더 검사하는 ‘랜섬웨어 정밀검사’ 기능을 제공한다. 미끼 파일로 랜섬웨어를 유인하는 ‘디코이(Decoy)’ 기술, 랜섬웨어 감염 시 특정 폴더를 보호하는 ‘랜섬웨어 보안폴더’ 등 랜섬웨어 대응 특화 기능이 적용돼 있다.

<솔루션 소개> 지란지교시큐리티, 3가지 랜섬웨어 대응 방안 제시

지란지교시큐리티는 랜섬웨어에 대응하기 위한 방안으로 ▲콘텐츠 무해화(CDR: Content Disarm and Reconstruction) 솔루션 ‘새니톡스(SaniTOX)’ ▲문서중앙화 솔루션 ‘다큐원(DocuONE)’ ▲악성 이메일 모의훈련 솔루션 ‘머드픽스(MudFIX)’ 등을 제안하고 있다.

콘텐츠 무해화 솔루션 ‘새니톡스’는 다양한 네트워크 경로를 통해 기업 내부로 유입되는 문서를 악용한 공격을 예방한다. 파일 내 포함돼 있는 액티브 콘텐츠(매크로, OLE 오브젝트, 임배디드 객체 등)를 분석하고 무해화를 거쳐 안전한 요소만 재조합해 문서의 안정성을 확보할 수 있다.

또한 주요 기능으로 내·외부에서 유통되는 다양한 파일 포맷의 무해화를 지원한다. 단일 장비에서 웹, 폴더, 메일, 파일서버 연동 등 다양한 인터페이스를 통합해 다수의 문서 파일 유통 채널에서 활용이 가능하다. 상세 리포트를 제공해 악성 문서의 무해화 결과 및 상세·연관 분석 내용을 직관적으로 파악할 수 있다.

문서중앙화 솔루션 ‘다큐원’은 기업의 중요 문서를 별도 격리/암호화하고 중앙 저장 및 관리하도록 지원한다. 때문에 사용자의 PC에서 랜섬웨어에 감염되는 상황을 방지, 랜섬웨어 등 보안위협으로부터 문서 자산을 안전하게 보호할 수 있다. 더불어 ‘문서 버전 관리’, ‘시점별 복원’ 기능을 통해 외부 보안위협 및 개인 과실로 인한 문서 유실 시 빠른 복구를 지원한다.

최근에는 비대면 업무환경의 확산으로 문서중앙화가 기존의 데이터 격리/보안 목적뿐만 아니라 재택/원격근무 시 업무 생산성 및 연속성을 유지/보장하는 도구로 범위 확장되고 있다. 지란지교시큐리티는 이런 추세에 맞춰 재택근무 기능을 제공한다. 재택근무 환경에서도 업무용 노트북 또는 PC에 에이전트 설치만으로 사내 주요 데이터에 편리하게 접근하고, 내부 자료를 안전하게 공유할 수 있다.

악성 이메일 모의훈련 솔루션 ‘머드픽스’는 최신 유행하는 랜섬웨어 공격이 반영된 다양한 템플릿의 이메일을 임직원 대상으로 배포, 반복적인 점검 훈련과 보안 교육을 통해 악성코드 피해사고를 사전에 예방할 수 있도록 돕는다. 최신 이메일 위협에 대한 최다 패턴 수집 및 분석 데이터를 적용해 신종 패턴의 이메일 위협에 빠르게 대응할 수 있는 것이 장점이다.

추가적인 디도스 공격 대응 체계 필요

국내에서는 디도스 공격에 대응하기 위한 체계가 이미 마련돼 있다. 대기업 및 공공기관은 디도스 대응 솔루션을 갖추고 있다. 솔루션을 갖출 수 없는 중소기업을 대상으로는 한국인터넷진흥원에서 운영하는 인터넷침해사고대응센터(KrCERT)에서 사이버 대피소를 운영하고 있다. 한국인터넷진흥원은 중소기업을 대상으로 디도스 공격이 발생하면 사이버 대피소로 트래픽을 우회해 서비스를 정상적으로 운영할 수 있도록 무료 지원하고 있다.

또한 KT 등 인터넷서비스사업자(ISP)도 디도스 공격 대응을 위한 클린존 서비스를 제공하고 있다. 디도스 공격 발생 시 유해 트래픽을 차단하고 정상 트래픽만 서버로 전달해 정상적인 서버 운영이 가능하도록 지원한다.

하지만 대규모의 디도스 공격에 대응하기 위해서는 미리 대응 체계를 갖춰 놓는 것이 좋다. 안랩, 윈스, 시큐아이 등 네트워크 보안 벤더들은 디도스 대응 솔루션을 제공하고 있다. 또한 아카마이, 라임라이트네트웍스 등 CDN 기업들도 디도스 대응 서비스를 제공하고 있다.

아카마이는 디도스 대응을 위해 ‘아카마이 프롤렉식 서비스(Akamai Prolexic)’를 제공하고 있다. 더불어 디도스 관련 플랫폼 역량이 중요하다는 점에 초점을 맞춰, 아카마이 SOCC(보안운영관제센터), 에지 기반 웹 애플리케이션 방화벽, 권한 DNS 서비스, 디도스 전용 클라우드 스크러빙 센터 등 역량을 강화하고 있다. 특히 ‘아카마이 프롤렉식 서비스’는 168Tbps 이상의 CDN 용량을 기반으로 하고 있다는 것이 강점이다.

협박성 공격에 굴복하지 않아야

랜섬웨어, 랜섬디도스 등 협박성 공격에 대응할 때, 가장 중요한 것은 공격자의 요구를 따르지 않는 것이다. 특히 랜섬웨어나 랜섬디도스 공격의 경우, 공격자가 요구하는 비용을 지불한다고 해서 데이터 복호화, 디도스 공격 중단 등을 장담할 수 없다. 더불어 복호화 비용을 지불하더라도 추후 다른 사이버 범죄의 타깃이 되는 등 더 많은 위협을 발생시킬 수 있어 지양해야 한다.

협박성 공격에 가장 좋은 대응 방안은 예방이다. 기본 보안 수칙 준수 및 백업 생활화, 임직원 보안 교육 등을 통해 랜섬웨어에 감염될 가능성을 줄여야 한다. 대부분의 랜섬웨어가 이메일로 유포된다는 점에 주목해, 발신자가 불분명하거나 내용이 의심스러운 메일을 확인할 때는 주의를 기울여야 한다.

랜섬웨어에 감염됐을 때 가장 좋은 방법은 백업 데이터로 복구하는 것이다. 백업 데이터가 없다면 한국인터넷진흥원 인터넷 보호나라, 노모어랜섬, 랜섬웨어침해대응센터 및 보안 기업들이 제공하는 복구 프로그램 등을 통해 복호화 방법을 찾아보는 것도 한 가지 방법이다. 하지만 복호화 방법이 모두 있는 것은 아니기 때문에 무엇보다 백업이 중요하다.