[교활해진 다크웨어③] 랜섬웨어, 핵심 데이터 암호화 한 뒤 '몸값' 요구
주기적인 데이터 백업과 소프트웨어 최신 버전 유지 필수
공격 받았다면 감염 시스템 경로 차단하고 전문팀에 연락해 대응책 마련
[서울=뉴시스]송혜리 기자 = #지난 2019년, 서울의 한 대형 종합병원 전산 시스템이 갑자기 먹통이 됐다.
랜섬웨어 공격을 받은 것이었는데, 이로 인해 환자 기록, 진료 정보, 의료 기록 등을 처리하는 전산 시스템이 마비돼 병원은 순식간에 아수라장이 됐다.
예약 혼선과 진료 지연은 물론이고 환자의 과거 진료 기록, 의료 이력 등에 접근할 수 없어 진단과 치료가 불가능했다. 더 심각한 문제는 응급실에서 발생했다. 응급실에서 환자 관리와 기록이 원활하지 않아 신속한 대응이 어려웠으며, 일부 의료 장비가 전산 시스템과 연동돼 있어 장비 사용에도 제약이 발생했다.
결국 병원의 일상적인 운영이 중단됐고 복구 작업이 진행되는 동안 병원 직원들은 수작업으로 기록을 관리하는 등의 비상 대책을 강구해야 했다. 또 이 때문에 시스템 복구와 보안 강화를 위해 많은 시간과 자원이 필요했으며, 병원의 신뢰도와 명성에도 타격을 입었다.
◆데이터 암호화하고 '풀어 줄 테니 돈 달라'…운영 차질·신뢰도 하락
업무 데이터를 암호화시켜서 기업·기관 활동을 마비시킨 다음 이를 해제시켜주는 대가로 몸값을 요구하는 랜섬웨어(Ransomware) 공격이 여전히 기승을 부리고 있다. 보안 기업 이스트시큐리티가 자사 시스템을 통해 조사한 결과에 따르면 올 상반기에만 15만1602건의 랜섬웨어 공격이 발생했고 이를 일간 기준으로 환산하면 일 평균 838여건에 이른다.
최근엔 돈만 내면 랜섬웨어를 제공하는 일종의 '판매하는 랜섬웨어' 서비스형랜섬웨어(RaaS) 생태계가 팽창하고 있다. RaaS 조직이 공격 대상 시스템에 접근할 수 있도록 도와주는 '초기 침투 브로커 IAB(Initial Access Broker)'의 활동도 활발하다.
챗GPT를 활용한 랜섬웨어 공격도 발생했다. 지난해 말 중국 정부는 모 기업에 랜섬웨어 공격을 수행한 혐의로 4명을 체포했다고 밝혔는데, 이들은 랜섬웨어 개발과 기능 개선, 공격 수행에 챗GPT를 악용한 것으로 드러났다.
랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어다. 랜섬웨어는 특정한 목적을 가진 악성코드(멀웨어)의 일종이자, 동시에 이러한 악성코드를 이용해 수행하는 공격 방식을 설명하는 용어이기도 하다. 이용자의 데이터(시스템파일, 문서, 이미지, 동영상 등)를 암호화해 사용자가 접근할 수 없도록 만든 뒤, 공격자가 복구를 위한 금전을 요구하는 형태를 취하기 때문이다.
랜섬웨어는 1989년에 처음 등장했다. 최초의 랜섬웨어로 알려진 'AIDS 트로이목마(Trojan)'는 플로피 디스크를 통해 배포됐으며, 감염된 시스템의 파일을 숨기고 암호화를 통해 접근을 제한했다. 사용자는 파일을 복원하기 위해 특정 주소로 돈을 보내야 했다.
대표적인 글로벌 사례로는 2017년 '워너크라이' 공격이 있다. 당시 150개국 이상의 병원, 기업, 정부 기관 시스템을 마비시킨 대규모 랜섬웨어 공격이 발생했다. 이 공격은 윈도 취약점을 악용해 네트워크를 통해 빠르게 확산했으며, 복구를 위한 비용으로 비트코인 300달러를 요구했다.
국내의 경우 2015년 크립토락커(Cryptolocker) 한글버전이 유포되면서 본격적으로 사회문제가 됐다. 국내 대표적인 사례로는 지난 2020년 발생한 이랜드 그룹 랜섬웨어 공격 사건과 지난해 스크린골프업체 골프존 공격 사건이 있다. 골프존은 해당건으로 개인정보보호위원회로부터 75억원의 과징금 처분을 받았다.
◆정기적인 백업과 소프트웨어 최신 버전 유지는 기본…직원 교육 통해 경각심 가져야
랜섬웨어 공격 첫번째 예방법은 정기적인 백업을 실시하는 것이다.
중요한 데이터는 주기적으로 백업하고, 백업된 데이터를 안전한 오프라인 또는 클라우드 저장소에 보관해야 한다. 또 백업 주기를 짧게 설정해 최신 데이터를 보호해야 한다. 아울러 운영체제, 애플리케이션, 보안 소프트웨어를 최신 버전으로 유지해 구 버전 취약점을 뚫고 들어오는 공격에 대비해야 한다.
안티바이러스·안티랜섬웨어 소프트웨어 사용도 필요하다. 신뢰할 수 있는 안티바이러스·안티랜섬웨어 소프트웨어를 설치하고 실시간 보호 기능을 활성화해 랜섬웨어를 탐지하고 차단할 수 있다. 또 방화벽, 침입방지시스템(IPS), 침입탐지시스템(IDS) 등을 활용해 네트워크를 보호할 수 있다. 원격 데스크톱 프로토콜(RDP) 접근을 제한하고, 강력한 인증 방식을 적용하는 것도 고려할 수 있다.
이와 더불어 중요한 것은 랜섬웨어 공격의 위험성과 예방법에 대해 알려주는 교육이다. 직원들이 피싱 이메일, 의심스러운 이메일 첨부파일이나 링크 클릭, 출처가 불분명한 사이트로부터 다운로드 등에 대한 경각심을 가질 수 있도록 해야 한다.
◆'돈 달라' 협박해도 시간 벌면서 지불하지 말아야
랜섬웨어 공격이 발생했을 때는 감염된 시스템을 네트워크에서 분리해 랜섬웨어가 다른 시스템으로 확산되지 않도록 해야 한다. 네트워크 연결을 차단하고 외부 저장 장치를 제거해야 한다.
아울러 보안 전문가나 IT 지원 팀에 즉시 연락해 상황을 분석하고 대응책을 마련해야 한다. 또 해당 랜섬웨어 공격을 관련 기관에 보고해 추가적인 지원을 받도록 해야 한다.
보안 업계선 공격자가 요구하는 몸값을 지불하지 말아햐 한다고 당부한다. 지불하더라도 데이터를 복구하지 못할 가능성이 높고, 금전을 제공하면 더 많은 공격을 유발할 수도 있기 때문이다.
◎공감언론 뉴시스 chewoo@newsis.com