[S리포트] ③무차별 폭격하는 랜섬웨어, 대비하려면

랜섬웨어 공격이 업종과 규모를 가리지 않고 무차별적으로 확산되면서 국내 기업들의 긴장감이 어느 때보다 높다. 최근 주요 기업들이 랜섬웨어 공격으로 업무가 중단되고 막대한 피해를 입었다. 랜섬웨어 리스크가 현실화되고 있다는 경각심이 팽배하다.


랜섬웨어는 기업의 컴퓨터 시스템을 암호화하거나 마비시킨다. 피해가 발생하면 기업 운영이 사실상 마비되는 것은 물론 대외 신뢰도 하락 및 고객 이탈 등 연쇄적인 타격이 불가피하다. '서비스형 랜섬웨어(RaaS)'가 확산되면서 기술적 전문성 없는 이들도 손쉽게 공격에 나설 수 있어 피해 규모가 커진다. 관련 프로그램을 만들어 파는 전문 조직에게 프로그램을 빌리면 해커의 능력이 떨어져도 랜섬웨어 공격이 가능하다.

단기적으로 결성됐다가 사라지는 조직들이 기승을 부리면서 기업들이 골머리를 앓고 있다. SK쉴더스 화이트해커그룹 이큐스트(EQST)가 이달 공개한 사이버 위협 분석 보고서 'EQST 인사이트(Insight)'에선 기존엔 락빗(LockBit)과 같이 수년간 활동하며 악명을 떨치는 대형 랜섬웨어 그룹이 대세였지만 최근엔 두세 달가량 집중 공격을 벌인 뒤 자취를 감추는 행태를 보인다고 했다.


올해 들어 마모나(Mamona), TCR 팀(TCR Team), 나가(Naga), 워락(WarLock), 크레이지헌터(crazyhunter), 스키라(Skira), 사이버렉스(Cyberex) 등 14개 조직은 최소 1개월에서 길게는 3개월까지 활동을 마치면 흔적도 없이 사라졌다. 수사기관의 랜섬웨어 조직 단속이 강화되고 공격을 받은 기업이 몸값을 지불하지 않겠다는 사례가 증가하면서 랜섬웨어 조직들이 익명성과 회피력을 높이기 위해 이 같은 전략을 펼친다.

랜섬웨어 조직들의 수법이 고도화되고 정교해지는 만큼 백신이나 방화벽 등 기본적인 보안 설루션으론 역부족이다. 기업들이 평소에도 취약점을 파악하고 최신 시스템 업데이트와 백업 시스템 분리 등 사전 대비를 철저히 해야 한다. 랜섬웨어 공격에 곤욕을 치렀던 예스24는 지원이 중단된 윈도우 시스템을 사용한 것으로 전해진다. 노후화된 시스템은 취약점이 발견돼도 패치 지원이 어려워 랜섬웨어를 대처하기 어렵다.


한국인터넷진흥원(KISA)은 중요 데이터는 서비스망과 물리적으로 분리된 오프사이트(클라우드·외부 저장소·오프라인 저장소 등)에 백업해야 한다고 강조했다. 같은 망에 백업 데이터를 보관할 경우 랜섬웨어에 감염되면 운영 데이터와 동시에 감염돼 복구가 불가능한 까닭이다. 데이터는 최소 3개의 사본으로 만들어야 한다. 2개는 서로 다른 저장매체, 나머지 1개는 오프사이트에 두어야 한다.

백업 저장소를 관리하는 데도 신경을 써야 한다. 최소 권한 원칙을 적용해 백업 담당자 외에는 접근을 차단할 뿐만 아니라 일회용비밀번호(OTP) 등 다단계 인증을 적용해야 한다. 백업 서버와 데이터 무결성을 주기적으로 점검할 수 있도록 백신·EDR(엔드포인트탐지및대응) 솔루션을 통해 상시 모니터링 체계를 구축하는 것도 중요하다.


이메일 보안을 강화하고 주기적인 보안 업데이트와 직원 대상 교육 역시 필수다. 사내에서 의심스러운 메일 첨부파일을 무심코 열지 않도록 전 직원이 랜섬웨어 리스크를 인식하는 일도 요구된다.

보안업계 전문가들은 "보안 수칙을 실천해야 사이버 공격을 예방하고 피해를 최소화할 수 있다"고 입을 모은다. 지속적인 보안 점검과 대응 전략을 강화하는 것이 무엇보다 중요하다는 설명이다.