[컴퓨터월드] 최근 예스24와 SGI서울보증 등 국내 주요 기업들이 랜섬웨어 공격으로 서비스가 마비되는 사태를 겪었다. 세계적으로도 피해가 잇따르며 랜섬웨어는 이제 사회 시스템 전반을 위협하는 재난이 됐다. 특히 ‘서비스형 랜섬웨어(RaaS)’가 활성화되며 위협은 예측 불가능한 수준으로 치닫고 있다.

전통적인 방어 체계가 한계를 드러내자, 랜섬웨어 대응 전략의 패러다임도 바뀌고 있다. 공격을 사전에 막는 ‘다층적 방어’와 뚫렸을 때를 대비하는 ‘신속한 복구’라는 두 개의 날개를 모두 갖추는 것이 기업 생존의 핵심 과제로 떠올랐다. 진화하는 랜섬웨어 위협에 맞설 실질적인 대응 방안을 조명한다.

‘디지털 인질극’ 랜섬웨어, 2010년대부터 기승

랜섬웨어(Ransomware)는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어로, 시스템에 침투해 중요 파일을 암호화하고 이를 풀어주는 대가로 금전을 요구하는 악성코드다. 초기에는 데이터를 사용 불가능한 상태로 암호화하고 협박하는 사례가 다수였다. 하지만 최근 들어 암호화뿐 아니라 외부 유출을 빌미로 피해자를 심리적으로 압박하는 ‘이중 갈취’ 전략까지 나타나고 있다.

최초의 랜섬웨어는 1989년 진화생물학자인 조지프 포프(Joseph Popp) 박사가 만든 ‘에이즈(AIDS) 트로이목마’로 알려져 있다. 포프 박사는 플로피 디스켓 2만 개를 스웨덴 스톡홀름에서 열린 세계보건기구(WHO) 에이즈 회의 참석자들에게 보냈다. 그 뒤 피해자에게 파나마의 한 사서함으로 189달러를 보내면 복구 소프트웨어를 보내주겠다고 했다.

이후 2010년대 들어서는 ‘크립토락커(Cyptolocker)’처럼 강력한 암호화 알고리즘으로 무장한 랜섬웨어가 등장했다. 특히 이 시기부터 랜섬웨어 조직은 추적이 어려운 암호화폐를 결제 수단으로 사용하며 본격적으로 피해를 양산하기 시작했다.

2017년에는 ‘워너크라이(WannaCry)’가 전 세계 150여 개국에서 30만 대 이상의 컴퓨터를 감염시켰다. 워너크라이는 ‘서버 메시지 블록(Server Message Block, SMB)’ 프로토콜 취약점을 악용했으며, 웜(Worm) 바이러스와 유사하게 네트워크를 통해 자가 증식했다. SMB란 네트워크에 연결된 컴퓨터 간에 파일, 프린터, 포트 등을 전달하는 데 쓰인 프로토콜이다.

피해 급증의 주범, ‘서비스형 랜섬웨어’

랜섬웨어 감염은 날이 갈수록 늘어나고 있다. 최근 발표된 카라(KARA, Korean Anti Ransomware Alliance) 랜섬웨어 동향 보고서에 따르면, 올해 1분기 전 세계 랜섬웨어 피해 건수는 총 2,575건으로 집계됐다. 이는 전년 동기 대비(1,157건) 122%, 직전 분기(1,899건) 대비 35% 증가한 수치다.

국내에서도 랜섬웨어 피해가 잇따르고 있다. 올해 5월까지 한국인터넷진흥원(KISA)에 신고된 랜섬웨어 피해 건수는 약 50건이다. 실제 지난 6월 인터넷서점 예스24가 랜섬웨어 감염으로 웹페이지와 애플리케이션 등 서비스 일체가 닷새간 중단됐다. 지난달에는 SGI서울보증이 신종 랜섬웨어인 ‘건라(Gunra)’에 감염돼 사흘간 전산 시스템이 마비됐다.

급증하는 랜섬웨어 피해, 그 배경에는 ‘서비스형 랜섬웨어(Ransomware as a Service, RaaS)’가 있다. RaaS는 개발자가 구매자에게 랜섬웨어를 판매하거나 빌려주는 사이버 범죄의 비즈니스 모델이다. 조직은 포럼이나 커뮤니티를 만들어 공격자를 모집하고 범죄로 거둔 이익 중 일부를 수수료로 챙긴다.

RaaS는 랜섬웨어 공격의 진입장벽을 낮췄다. 과거에는 공격자가 악성코드 제작부터 배포, 협상까지 모든 일을 해야 했다. RaaS는 돈을 주고 구매해 쓸 수 있어 전문 지식이 없는 이들도 랜섬웨어를 사용할 수 있게 됐다. 랜섬웨어 개발자 또한 직접 피해자를 협박하지 않고도 수익을 얻을 수 있게 됐다.

구글 위협 인텔리전스 그룹(GTIG) 이하오 림(Yihao Lim) 아시아태평양 지역 수석 어드바이저는 “이제 전문 해커가 아니더라도 마우스와 키보드만으로 랜섬웨어 범죄를 일으킬 수 있다”며 “하나의 RaaS를 많은 공격자가 이용하며 과거보다 빠르게 피해가 늘어나고 있다”고 설명했다.

이메일부터 VPN까지 곳곳 파고드는 공격

랜섬웨어 공격이 일어나는 경로는 다양하다. 공격자는 피싱 이메일에서부터 가상사설망(VPN) 등 다양한 방법을 복합적으로 활용한다. 이 중 이메일은 가장 일반적이면서도 효과적인 감염 경로로 꼽힌다. 공격자는 업무 관련 내용을 빙자한 이메일에 악성코드를 담아 보냄으로써 감염을 유도한다.

VPN 취약점도 한 가지 방법이다. 코로나19 대유행 이후 원격 근무가 보편화하며 인증 미비, 취약한 패스워드, 미패치된 시스템을 노린 침투가 급증했다. 반도체 부품 제조기업 해성디에스는 지난 2023년 SSL-VPN의 취약점을 악용해 사내망에 접근한 해커로 인한 랜섬웨어 피해를 겪었다. 해당 VPN 장비는 보안 업데이트가 필요했는데, 회사는 제조사 공지가 나왔음에도 취약점 패치를 하지 않아 문제를 키웠다.

최근에는 랜섬웨어를 이용하지 않은 공격도 발생하고 있다. 윈도우(Windows) 운영체제는 ‘비트로커(BitLocker)’라는 디스크 암호화 기능을 제공한다. 공격자들은 웹셸(Web Shell)로 시스템에서 관리자 권한을 획득한 뒤 비트로커로 주요 서버의 데이터를 암호화한다. ‘LotL(Living off the Land)’은 이처럼 시스템에 존재하는 합법적 도구와 기능을 악용한 공격으로, 정상 기능을 사용하기 때문에 탐지와 대응이 어렵다.

이 밖에도 관리 소프트웨어나 공급망을 통해 침투해 랜섬웨어를 연쇄적으로 확산하는 사례도 나타나고 있다. 또한 다크웹에서 개인정보를 사들인 후 기업 시스템에 무단 침입하는 간접 공격도 늘고 있다. 정보 탈취형(Infostealer) 악성코드로 수집된 정보는 다크웹에서 저렴하게 구할 수 있어 공격자가 추가 공격에 활용하기 쉽다.

올해 나타난 전 세계 랜섬웨어 공격 활동

□ 아누비스, 데이터 완전 삭제로 위협 수위 높여 (6월 16일자)

신종 랜섬웨어 ‘아누비스(Anubis)’가 암호화에 그치지 않고 데이터를 완전히 삭제하는 전략을 펼치고 있다. 랜섬웨어 조직은 데이터를 암호화한 후 이를 볼모로 금전을 요구하는데, 아누비스는 파일을 영구히 삭제하는 기능으로 복구 가능성마저 차단했다.

우선 아누비스는 악성 첨부파일 또는 링크가 포함된 피싱 이메일로 시스템에 침투한다. 이후 관리자 권한을 탈취해 파일과 디렉토리 전반을 탐색하며, 실행 중인 프로세스 및 서비스를 중지시킨다.

공격자는 암호화된 파일의 아이콘을 아누비스 로고로 교체한 뒤 요구를 들어주지 않을 경우 데이터를 유출하겠다고 협박한다. 특히 아누비스는 파일 내용을 완전히 삭제하는 ‘와이퍼(WIPER)’ 기능을 탑재하고 있다. 와이퍼를 사용하면 파일은 화면에 표시되지만 크기가 0킬로바이트(KB)로 바뀌며 내용이 삭제돼 복원이 불가하다.

□ 글로벌 랜섬웨어 조직들, 상호 협력해 보안망 공격 (4월 11일자)

이셋(ESET)은 지난 4월 공식 블로그를 통해 RaaS 조직 ‘랜섬허브(RansomHub)’와 다른 집단이 같은 공격 도구를 사용한 사실을 공유했다.

랜섬허브는 ‘EDR킬시프터(EDRKillShifter)’를 주로 활용해 왔다. EDR킬시프터로 취약점을 내재한 정상 드라이버를 시스템에 설치하고, 이를 악용해 관리자 권한을 탈취했다. 이러한 공격을 ‘BYOVD(Bring Your Own Vulnerable Driver)’ 기법이라 일컫는데, 정상 드라이버 모듈을 이용하기 때문에 보안 솔루션이 탐지하지 못한다.

이셋은 랜섬허브가 개발한 EDR킬시프터를 다른 조직에서도 사용한 정황을 포착했다. EDR킬시프터를 사용한 조직은 플레이(Play), 메두사(Medusa), 비안리안(BianLian) 등 세 곳이었다. 이셋이 이들 조직의 지난해 공격 사례를 분석한 결과, ‘쿼드스위처(QuadSwitcher)’라는 공격자가 개입해 EDR킬시프터를 배포한 사실을 발견했다.

이셋은 “특정 조직이 개발한 도구를 다른 공격자에게 제공하는 일은 흔치 않으며, 특히 이 중 플레이와 비안리안은 폐쇄적인 집단이기에 더욱 이례적”이라며 “랜섬허브가 세력을 빠르게 확장하기 위해 가능한 한 많은 조직에 공격 도구를 제공한 것으로 추정된다”고 밝혔다.

□ 아키라, 웹캠 보안 취약점 악용해 EDR 우회 (3월 13일자)

지난 3월 ‘아키라(Akira)’ 랜섬웨어가 웹캠(Webcam) 내 보안 취약점을 이용해 EDR을 우회한 사례가 발견됐다. 영국 보안 인텔리전스 기업 ‘S-RM’은 △원격 셸 기능 등 취약점 보유 △기기 내 EDR 도구 미설치 등을 이유로 공격자가 웹캠을 랜섬웨어 유포 경로로 삼았다고 추정했다.

공격자는 자격증명을 탈취하거나 비밀번호를 무차별 대입하는 ‘크리덴셜 스터핑(Credential Stuffing)’으로 기업 내 원격 접근 솔루션을 확보해 시스템에 침투했다. 내부망을 횡적 이동한 다음 랜섬웨어 배포를 시도했다. 하지만 EDR이 이를 탐지하고 파일을 격리 조치해 공격을 막았다.

이에 아키라는 네트워크에서 취약한 기기를 찾는 쪽으로 방향을 선회했다. 이 과정에서 웹캠, 지문 스캐너 등 사물인터넷(IoT) 장치를 발견, 이를 통해 보안 솔루션을 우회해 랜섬웨어 감염을 성공시켰다. IoT 장치는 저장 용량이 제한돼 있어 EDR이 설치되지 않는 경향이 있다고 S-RM 측은 설명했다.

전방위로 들어오는 위협, 겹겹이 쌓는 방어 체계 필수

랜섬웨어는 이메일, 네트워크, 엔드포인트 등 다양한 구간을 통해 유입된다. 더군다나 공격자들은 랜섬웨어를 배포하기 전에 안티바이러스(백신)가 탐지하지 못하는지 테스트하며, 지속적으로 변형·개량 작업을 하고 있다. 또한 RaaS 등장 후로 수많은 신·변종 랜섬웨어가 만들어지며 대응은 더욱 힘들어지고 있다.

보안 업체들은 다층적 보안 체계를 강조한다. 더 이상 기존 안티바이러스만으로는 충분하지 않다는 것이다. 이메일, 네트워크, 엔드포인트 등 공격이 유입되는 지점마다 솔루션을 배치하고, 이를 유기적으로 연계해 방어해야 한다고 조언한다.

안랩은 이메일, 네트워크, 엔드포인트, 파일 서버 등 랜섬웨어가 들어오는 각 지점에 통합 대응 체계를 구현한다. 샌드박스 기반 지능형 위협(APT) 대응 솔루션 ‘안랩 MDS’, 네트워크 통합 보안 솔루션 ‘안랩 XTG’, 엔드포인트 탐지 및 대응 솔루션 ‘안랩 EDR’ 등을 연계해 빠르게 탐지하고 감염을 차단함으로써 피해를 최소화한다.

이스트시큐리티도 전방위적인 랜섬웨어 대응 전략을 제시한다. 알려진 악성코드는 안티바이러스 ‘알약(ALYac)’으로 감지하고, 알려지지 않은 위협은 ‘알약 EDR’로 선제적으로 차단한다. 이와 함께 위협 인텔리전스 ‘스렛 인사이드(Threat Inside)’로 최신 신·변종 랜섬웨어 분류 정보를 제공해 보안 수준을 한층 높인다.

이노티움은 ‘랜섬크런처’로 다계층 랜섬웨어 방어 플랫폼을 제공한다. 확인되지 않은 소프트웨어 접근을 제한하며 행위 감시 차단 기능으로 침해 상황을 감지 및 차단한다. 특히 랜섬웨어 방어 기능을 비롯해 여러 보안 역량을 한데 모은 ‘이노스마트플랫폼’으로 엔드포인트 전반을 아우르는 보호 체계를 지원한다.

시그니처는 옛말…지능형 위협 막는 '안티랜섬웨어'

기존 안티바이러스는 특정 악성코드를 식별하는 고유의 코드 문자열 ‘시그니처(Signature)’로 위협을 탐지한다. 하지만 랜섬웨어는 너무 많은 신·변종이 나오기 때문에 안티바이러스가 이를 충분히 걸러내지 못하고 있다. 이에 안티랜섬웨어 업체들은 시그니처 없이 행위 기반으로 랜섬웨어를 실시간 탐지하는 솔루션으로 대응하고 있다.

체크멀 ‘앱체크’는 시그니처리스(Signature-less) 방식으로 파일 변경 행위를 실시간 분석하고, 랜섬웨어 여부를 판단해 신·변종까지 차단한다. 특히 자체 개발한 ‘상황 인식 기반 탐지 엔진(CARB)’으로 파일, 시스템, 프로세스 등 여러 요소를 모니터링해 암호화 시도를 감지할 수 있다.

체크멀 관계자는 “최근 한 고객사 사례에서 앱체크의 효과를 확인했다. 본사를 시작으로 랜섬웨어 공격이 지사로 퍼져 나갔다. 그런데 일부 지사에 설치된 앱체크가 랜섬웨어를 차단하며 피해를 막아냈다. 이를 계기로 본사까지 앱체크를 도입하며 전사 차원에서 보안 체계를 강화했다”고 설명했다.

에브리존 ‘화이트디펜더’도 시그니처리스 행위 탐지 기술을 갖췄다. 엔드포인트에 설치돼 행위 기반으로 랜섬웨어를 실시간 감지해 발견 시 차단한다. 신·변종 랜섬웨어, 파일리스(Fileless) 공격 등 최신 위협에 대응하며 프로세스, 서비스, 커널 단의 다중 방어 구조를 지원한다. 또한 기업은 ‘화이트 시큐리티 센터’로 조직의 랜섬웨어 보안 현황을 모니터링하고 그룹·사용자별 정책을 실시간 관리할 수 있다.

랜섬웨어 감염, 최후의 보루는 ‘백업’

보안에 100%는 없다. 뛰어난 방어 체계를 갖추고 전문 인력을 투입한다 해도 ‘절대’ 뚫리지 않으리란 법은 없다. 공격자는 고도화된 보안을 공략하기 위한 방법을 찾아내고 있다. 특히 RaaS가 등장하며 랜섬웨어 공격은 홍수를 이루고 있다. 보안 업체에서 파악하기 어려울 정도로 늘어나는 데다 유포 전에 테스트까지 마치기에 대응하기란 매우 힘들다.

이노티움 이형택 대표(한국랜섬웨어침해대응센터장)는 “RaaS 조직이 활발히 활동하는 데다 AI로 악성코드를 만드는 일까지 가능해졌다”며 “이제 랜섬웨어가 쏟아지는 속도를 보안 업체들이 따라잡기 불가능한 수준에 이르렀다”고 말했다.

백업은 급증하는 랜섬웨어로부터 시스템을 지키는 최후의 보루다. 랜섬웨어 감염으로 주요 시스템이 마비돼도 준비한 백업으로 데이터를 신속히 복구한다면 피해를 최소화할 수 있다. 백업이 없는 채로 데이터가 암호화될 경우, 공격자가 제시한 조건에 응하지 않을 수 없다. 게다가 암호화폐로 돈을 건넨다고 복호화 키를 돌려받으리란 보장이 없으며, 공격자가 재차 시스템을 침해할 가능성도 제외할 수 없다. 백업이 랜섬웨어 대응에 꼭 필요한 이유다.

변경 불가 스냅샷, 에어갭으로 백업 공격 차단

랜섬웨어 조직도 백업의 중요성을 인지하고 있다. 때문에 백업을 먼저 공격하는 사례가 늘어나는 추세다. 빔 소프트웨어가 발표한 ‘2023년 랜섬웨어 트렌드 리포트’에 따르면, 랜섬웨어 공격 93% 이상이 백업 데이터를 공격했고 75%는 피해 복구 능력을 떨어뜨리는 데 성공했다.

백업 저장장치(스토리지) 및 소프트웨어 업체들은 공격자가 백업 데이터를 삭제, 위·변조할 수 없도록 보호하는 기술을 지원하고 있다. 랜섬웨어에 의해 암호화되지 않는 ‘변경 불가(Immutable) 스냅샷’을 적용하는 한편, 외부 위협이 닿지 못하도록 운영 시스템과 격리된 ‘에어갭(Air-gap)’ 환경을 구현하고 있다.

HS효성인포메이션시스템은 ‘WORM(Write Once, Read Many)’ 기반 스토리지 ‘히타치 콘텐츠 플랫폼(HCP)’을 제공한다. HCP에 보관된 백업은 손상되더라도 데이터 보호 정책에 의해 자동 복구되며, 실수로 인한 파일 삭제·훼손 시에도 버저닝(Versioning) 기능으로 이전 버전 파일을 복원할 수 있다. 네트워크 연결 저장장치(NAS) 환경에 대해서는 변경 불가 스냅샷 기능을 내장한 ‘VSP 원 파일(VSP One File)’을 제공하고 있다.

델 테크놀로지스는 백업과 재해 복구(DR)를 넘어 사이버 복구(Cyber Recovery)를 강조한다. 언제든 침해당할 수 있다는 가정하에 운영 환경과 격리된 복구 체계를 마련해야 한다는 것이다.

사이버 복구를 구성하는 핵심 요소는 변조가 불가능한 데이터 복제와 데이터 금고다. 변조 불가능한 데이터 복제본은 설정된 기간 내엔 어떠한 경우에도 삭제와 수정을 할 수 없어 랜섬웨어가 감염시킬 수 없다. 데이터 금고는 네트워크를 자동 차단하는 ‘에어갭’ 기술로 핵심 데이터를 안전히 격리 보관하는 장소다. 델 테크놀로지스는 △델 파워프로텍트 △델 파워맥스 △델 파워스케일 등 제품군으로 고객 환경과 요건에 맞는 사이버 복구 방안을 제공하고 있다.

데어터 보호 솔루션 업체 ‘베리타스’를 인수한 코헤시티도 안정적인 백업·복구를 위한 솔루션 제품군을 강화하고 있다. ‘넷백업 11.0’은 비정상 사용자 행위 감지 기능을 고도화했으며 위험 점수 평가를 개선해 악의적 행위를 동적으로 탐지·차단하도록 구현했다. 온프레미스, 클라우드 등을 통합 관리하는 ‘코헤시티 데이터 클라우드’는 최근 구글 위협 인텔리전스와 통합돼 백업 내 숨겨진 위협을 신속히 탐지하는 기능이 더해졌다.

중소·중견기업 피해 증가세…“백업 격리 등 대비책 갖춰야”

보안 업계는 진화하는 랜섬웨어에 맞서 다양한 기술적 해법을 제시하고 있다. 하지만 이러한 최신 기술 앞에는 ‘비용’과 ‘인식’이라는 현실적인 장벽이 존재한다. 많은 기업이 여전히 백업 대상을 축소하거나 저사양 장비에 의존하며 랜섬웨어를 ‘나에게는 일어나지 않을 일’처럼 여기고 있다. 이러한 경향은 인력, 예산이 제한적인 중소·중견기업에서 더욱 두드러진다.

랜섬웨어 조직은 이같은 중소·중견기업의 약점을 파고들고 있다. 지난 1월 한국인터넷진흥원(KISA)이 발표한 ‘2024년 하반기 사이버 위협 동향 보고서’에 따르면, 지난해 신고된 랜섬웨어 공격 가운데 중소기업과 중견기업의 비중은 94%를 차지했다. 지난 2022년 88.5%, 2023년 92%와 비교하면 꾸준히 증가하고 있음을 알 수 있다.

코헤시티 관계자는 “랜섬웨어 등 보안 사고가 발생하지 않으면 백업에 든 비용을 ‘버려진 돈’으로 여기는 인식이 남아있다”며 “이는 데이터 백업의 중요성을 간과하게 만들고, 최신 솔루션 도입을 주저하게 만드는 요인이 되고 있다”고 꼬집었다.

업체들은 여력이 부족한 중소·중견기업일지라도 최소한 백업을 운영 시스템과 분리할 것을 권고한다. 가령 ‘3-2-1’ 전략을 준수함으로써 백업이 손상될 우려를 차단해야 한다는 지적이다. 3-2-1 전략이란 백업 세트 3개를 유지하고 서로 다른 2개의 저장매체를 활용하며 1개는 격리된 위치에 보관하는 방법론을 뜻한다.

HS효성인포메이션시스템 권필주 전문위원은 “랜섬웨어는 기업 규모와 관계없이 치명적인 피해를 낳기에 최소한의 대비책은 갖춰야 한다”며 “예산과 자원이 부족하더라도 기초 보안 체계, 데이터 백업 전략은 반드시 준비해야 한다”고 강조했다.

[인터뷰] “삭제, 위·변조 막는 백업 기술, 선택 아닌 필수”

Q. 공격자들은 백업까지 노리고 있다. 이에 대응하는 방안은.

“랜섬웨어에 대응하는 가장 확실하고 검증된 방법은 백업이다. 이 사실을 공격자들도 잘 알고 있다. 그래서 시스템에 침투하면 가장 먼저 백업 데이터를 삭제하거나 암호화한다. 사이버 공격에 대비하기 위해선 최대한 자주 백업을 할 수 있으면서도 삭제, 위·변조로부터 안전해야 한다.”

“전통적인 백업 방식은 백업, 복구 모두에 시간이 오래 소요된다. 이를 보완하기 위해 나온 기술이 ‘스냅샷(Snapshot)’이다. 스냅샷은 특정 시점의 데이터 이미지를 생성해 저장하는 방식이다. 전통적인 백업보다 적은 용량을 차지하고 더욱 빠른 속도로 데이터를 복사할 수 있다. 특히 수정이나 삭제가 불가한 ‘변경 불가(Immutable)’ 스냅샷은 저장장치가 악성코드에 감염되는 등 복구가 어려운 상태에서도 시스템을 이전 상태로 복원할 수 있다.”

“데이터 무결성도 중요한 요소다. HS효성인포는 ‘WORM’ 스토리지를 통해 데이터를 변경, 삭제, 위·변조할 수 없도록 보호한다. WORM은 저장장치에 데이터를 한 번만 쓸 수 있고, 삭제나 수정을 방지하는 기술이다. 따라서 어떤 침해 시도에도 데이터를 원천적으로 보호할 수 있다. 회사는 WORM 스토리지 제품으로 ‘히타치 콘텐츠 플랫폼(HCP)’를 제공하고 있으며, ‘VSP 원 파일(VSP One File)’을 통해 NAS 환경에서도 WORM 파일 시스템을 지원한다.”

Q. 다양한 백업 기능의 현장 적용이 더딘 원인은.

“먼저 백업 대상과 범위에 대한 인식 부재다. 실제 랜섬웨어 사례를 보면 공격자들은 데이터뿐 아니라 서버 OS 등 가능한 한 모든 데이터를 암호화하는 경향을 보인다. 하지만 기업들은 중요 데이터만 백업하는 경향이 있다. 이 때문에 DB나 사용자 정보는 스냅샷을 통해 복구할 수 있었으나, 서버 OS 영역은 대비하지 못해 이를 다시 포맷하고 설치하는 일도 일어난다. 이 경우 서비스를 복구하는 데 더 오랜 시간이 걸린다.”

“저장장치의 성능도 기업이 백업 보안을 강화하지 못하는 이유 중 하나다. 변경 불가 스냅샷을 이용하기 위해선 고성능 저장장치가 필요하다. 구형 또는 중저가의 저사양 저장장치에서는 변경 불가 스냅샷을 적용하기 어렵다.”

Q. 중소기업이 갖춰야 할 최소한의 랜섬웨어 대응책은.

“중소기업은 인력과 예산 모두 부족하기에 보안 투자가 상대적으로 어렵다. 하지만 랜섬웨어는 기업 규모와 무관하게 치명적인 피해를 주기 때문에 최소한의 대비책은 마련해야 한다. 우선 자동화된 정기 백업 체계는 필수다. 시스템이 마비되더라도 백업 데이터로 빠른 복구가 가능해야 한다.”

“기본적인 보안 정책과 계정 관리 체계 정비도 필요하다. MFA, 패치 자동화, 관리자 권한 최소화 등으로 각종 위협에 선제 대응할 수 있다. 직원 대상으로 보안 인식 교육을 정기적으로 실시하는 것도 중요하다. 이메일, 문서 등을 통한 사용자 실수로 랜섬웨어에 감염되는 사례도 빈번하게 일어난다. 전 직원의 보안 의식을 제고하는 일만으로도 큰 예방 효과를 거둘 수 있다.”

“예산과 자원이 부족하더라도 데이터 백업 전략만큼은 반드시 준비해야 한다. 핵심 데이터 보호와 신속한 복구를 위한 기본이다. HS효성인포메이션시스템은 중소기업에도 실질적 보안 효과를 제공할 수 있도록 운영 복잡도를 최소화한 데이터 보호 솔루션을 지속적으로 확대해 나가고 있다.”