[컴퓨터월드] 랜섬웨어 공격이 그칠줄 모르고 있다. 기업이나 기관들이 이에 대응하기 위해 각종 보안 제품을 도입하고 정책을 수립하고 있지만 피해는 계속되고 있다. 이런 현상은 세계적인 추세로 국내에만 국한된 것이 아니다. 정부에서도 랜섬웨어의 심각성을 알고 대응에 나서고 있지만 랜섬웨어 공격 역시 고도화하고 있어 피해사례는 계속 보고되고 있다. 한국인터넷진흥원(KISA)과 과학기술정보통신부는 지난달 ‘랜섬웨어 대응 가이드라인’을 배포했다. KISA는 랜섬웨어를 예방하기 위한 5대 수칙을 제시하고 있으며 전문가들은 중요 데이터는 반드시 백업을 해야 하며 랜섬웨어 감염 시 외부 저장장치 연결을 해제하고 네트워크를 차단해야 하며 PC 전원은 유지해야 한다는 점을 강조하고 있다.

랜섬웨어의 기승이 날로 심해지는 추세다. 기존 랜섬웨어 그룹인 클롭(Cl0p)은 특정 소프트웨어의 제로데이 취약점을 악용해 미국 연방기관을 비롯한 여러 글로벌 기업을 공격하고 있다. 클롭 랜섬웨어 그룹은 무브잇 트랜스퍼(MOVEit Transfer)라는 파일 전송용 소프트웨어의 제로데이 취약점을 이용해 SQL 인젝션을 수행한 뒤 조직의 데이터를 탈취, 랜섬웨어를 감염시키고 있다. 안랩 관계자는 “최근에는 클롭이 공격 과정에서 탈취한 데이터를 토렌트를 활용해 유출하고 있다”며 “기존에 사용하던 ‘TOR 브라우저’의 느린 속도를 보완하기 위한 것으로 추정된다”고 말했다.

또한 신종 랜섬웨어인 하쿠나 마타타(Hakuna Matata) 랜섬웨어가 국내 IT 기업을 공격하고 있다. 추정 상 공격자는 외부에 노출된 원격 데스크톱 프로토콜(RDP)을 통해 조직 시스템에 침투한 뒤 하쿠나 마타타 랜섬웨어를 설치, 시스템을 암호화한다. 하쿠나 마타타 랜섬웨어는 전형적인 랜섬웨어들과 달리 ‘클립뱅커(ClipBanker)’ 기능을 함께 지닌다. 시스템을 암호화한 후 랜섬웨어가 실행 중인 환경에서 사용자의 지갑 주소를 공격자의 지갑 주소로 변경하는 방식이다. 사용자가 비트코인 등 가상화폐 거래를 시도할 경우 공격자의 지갑 주소로 거래될 수 있다.

랜섬웨어의 피해가 계속되자 한국인터넷진흥원(KISA)과 과학기술정보통신부는 지난달 3일 국내 이용자와 기업의 랜섬웨어 피해를 예방하고 대응하기 위한 가이드라인 개정본을 배포했다. KISA는 △최신 랜섬웨어 유형과 피해사례 △랜섬웨어 사전 예방을 위한 수칙 △랜섬웨어 감염 시 대응 절차 등을 제시했다.

특히 기업에서 랜섬웨어 피해 예방을 위해 점검해야 하는 사항들을 적시했다. 또한 과거 국내에서 발생했던 주요 랜섬웨어 피해사례를 종합적으로 분석해 기업에 침투하는 해커의 주요 공격 방식을 도출했다. KISA 관계자는 “기업의 비즈니스 연속성에 문제가 발생하지 않도록 백업 및 재해 복구 계획을 마련하고 정기적으로 훈련하는 것이 매우 중요하다”고 강조했다.

시스템 잠궈 가상통화로 금전 요구

랜섬웨어(Ransomware)는 Ransom(몸값)과 Software(소프트웨어)의 합성어로 시스템을 잠그거나 데이터를 암호화한 뒤, 이를 인질로 삼아 금전을 요구하는 악성 프로그램을 뜻한다. 일반 악성코드와 달리, 랜섬웨어 감염으로 암호화된 파일은 복구가 어렵다. 또한 공유 폴더나 클라우드 서버, USB, 외장하드 등의 기타 접근 가능한 시스템으로 확산되기도 한다.

랜섬웨어는 주로 보안이 취약한 웹사이트, 이메일, SNS, URL, 첨부파일, 파일공유사이트 등을 통해 감염된다. 특히 이메일의 경우 신뢰할만한 기관이나 대상을 사칭하기도 하고 메일이 스팸인지 구별되지 않을 만큼 정교하다.

랜섬웨어는 홈페이지, 이메일을 통해 유포되던 방식에서 불특정 다수를 감염시키는 웜 형태와 해킹을 통해 감염시키는 타깃형 공격으로 진화했다. 웜은 운영체제, 네트워크 등 SW 취약점을 악용한 방식이며, 타깃형 공격은 보안관리 수준이 취약한 점을 노려 서버에 침투하는 방식이다.

랜섬웨어 감염으로 암호화된 주요 파일은 복호화키를 통해 복구 가능하다. 해커는 복호화키를 빌미로 익명성이 보장된 비트코인 등의 가상통화로 금전을 요구한다. 이형택 한국랜섬웨어침해대응센터장은 “해커는 금전 요구에 불응 시 경쟁사에 데이터를 판매하거나 백업 시스템을 삭제하고 다크웹에 갈취한 데이터를 유포한다고 위협하기도 한다”며 “해커가 피해 기업에게 2천만 달러(한화 약 240억 원)까지 요구한 사례도 있다”고 말했다.

램섬웨어에 감염될 경우 회사는 엄청난 타격을 입을 수밖에 없다.

홈페이지 취약점 공격, 중앙관리솔루션 장악

KISA에 따르면 해커는 기업에 침투할 때 △홈페이지 취약점 공격 △중앙관리솔루션 침투 △관리자 PC 감염 △백업서버 침투 공격 등의 공격 방식을 택한다. 해커는 먼저 인터넷에 노출된 홈페이지의 취약점을 찾아낸다. 이 취약점을 통해 악성코드를 업로드해 홈페이지 서버를 장악한다. 해커는 장악한 서버에서 관리자 계정을 수집하고 주변에 존재하는 다른 서버들을 검색한다. 이후 수집한 관리자 계정을 대입해 접속을 시도한다. 결과적으로, 접속되는 서버에 랜섬웨어를 설치해 실행한다.

또 다른 공격 방식은 중앙관리솔루션을 장악하는 것이다. 해커는 인터넷에 노출돼있는 중앙관리솔루션을 검색해 취약점이 패치돼 있지 않은 시스템을 찾는다. 이 시스템을 대상으로 취약점 공격을 수행해 악성코드를 설치한다. 이 악성코드를 이용해 중앙관리솔루션을 장악하고 솔루션 내 존재하는 파일 배포 및 실행 기능을 이용해 랜섬웨어를 대규모 유포한다.

또한 해커는 기업의 관리자 PC를 감염시키도 한다. 해커는 타깃 기업의 시스템 관리자에게 악성 이메일을 발송한다. 관리자 PC에서 악성 이메일 첨부파일이 실행되면 해당 PC에 원격제어 악성코드가 설치된다. 해커는 이 관리자 PC를 경유해 서버 접근을 제어하는 보안 시스템에 침투한다. 결과적으로, 보안 시스템에 연결된 서버에 접속해 랜섬웨어를 실행한다.

기업의 백업서버에 침투하기도 한다. 해커는 기업 서버에 침투 후 서버에 존재하는 다양한 설정들(프로세스, 네트워크 연결상태 등)을 분석해 백업 서버 존재 여부를 확인한다. 최초 해킹한 서버에서 수집한 정보(관리자 계정 등)을 활용해 백업 서버에 추가 침투, 백업 데이터의 암호화를 수행한다.

백업데이터까지 암호화

이와 같은 방식으로 랜섬웨어에 감염되면 문서, 사진, 그림, 음악 등의 파일을 읽을 수 없거나 파일이 열리지 않는다. 또한 파일의 이름과 확장자가 바뀌거나 특정 확정자가 추가된다. 바탕화면에 랜섬웨어 감염 사실과 금전을 요구하는 화면이 나타난다.

랜섬웨어에 감염될 경우 피해를 최소화하기 위해 PC에 연결돼있는 이동식 저장장치(USB)나 외장하드 등 외부 저장장치 연결을 해제해야 한다. 랜섬웨어가 접근해 백업 파일을 포함한 장치 내 데이터를 암호화할 수 있다. 또한 확산을 막기 위해 네크워크도 차단해야 한다. 이때 PC를 종료시키면 부팅이 불가능하게 될 수 있어 PC의 전원은 켜둬야 한다.

그 후, 랜섬웨어의 유형을 파악해 백신 소프트웨어 제조사를 통해 복구 툴이 있는지 확인한다. KISA 암호화이용활성화 홈페이지, 노모어랜섬 홈페이지 등에서 제공하는 복구 도구도 활용 가능하다. 단 암호화된 파일의 부분적인 복구만 지원한다는 점을 알아둘 필요가 있다. 복구 시 랜섬웨어의 유형과 감염된 데이터를 보관해야 추후에 복구 확률을 높일 수 있다.

해커의 금전 요구에 대해 KISA는 비용을 지불하지 말고 관련 기관에 신고할 것을 권장한다. 해커가 파일 복구에 필요한 복호화 키를 제공한다는 보장이 없고, 합법적 거래가 아니기 때문에 법적 보호를 받을 수 없다는 게 그 이유다. 또한 한 번 돈을 지불한 피해자는 해커에게 쉬운 타깃이 돼 추가 범죄의 대상이 될 수 있다. KISA, 경찰청 사이버범죄 신고시스템을 통해 신고할 수 있으며 감염 알림창과 암호화된 파일이 생성된 화면 캡쳐 파일을 증거물로 제시하는 것이 좋다.

보안 정책 점검, 데이터 백업으로 사전 예방

KISA는 랜섬웨어를 예방하기 위한 5대 수칙을 제시한다. 중요한 자료는 별도 매체에 정기적으로 백업하고 출처가 불분명한 이메일과 메시지 등의 URL 링크는 실행하지 않아야 한다. 또한 신뢰할 수 없는 사이트 등에서 파일을 다운로드하거나 실행하는 것을 주의해야 하며 모든 소프트웨어는 최신 버전으로 업데이트해 사용하는 것이 좋다. 백신도 최신 버전으로 설치해 실시간 감시를 실행해야 한다.

안랩에 따르면 조직 차원에서 조직 인프라와 시스템에 대한 보안 정책 점검이 필요하다. 조직 내 PC, 운영체제(OS), SW, 웹사이트 등의 보안 사전점검을 주기적으로 시행해야 한다. 또한 시스템 관리자 계정에 대해 복잡도 높은 비밀번호를 설정해야 한다. 관리자 계정에 대한 인증 이력을 수시로 모니터링하고 2단계 인증을 도입해 허가받지 않은 접근을 막을 수 있어야 한다. 내부 임직원에 대한 보안 교육도 주기적으로 실시해야 한다. 또한 중요한 데이터는 외부 인터넷과 연결되지 않은 환경 또는 접근이 제한된 클라우드 환경에 백업해둬야 한다.