사이버 위협, 볼모잡고 금전적인 이득 노린다

[아이티데일리] 랜섬웨어가 기승을 부리고 있다. 연일 스미싱, 피싱 메일 등을 통해 배포되는 악성코드, 랜섬웨어와 관련된 뉴스가 나오고 있다. 특히 최근 랜섬웨어는 개인을 노리는 것뿐만 아니라 기업을 노린 타깃형 공격으로도 이어지고 있다. 단순히 데이터를 암호화하고 복호화를 위한 몸값을 요구하는 것을 넘어, 데이터를 유출시키겠다는 협박으로 더욱 많은 비용을 요구하는 정황도 발견되고 있다. 랜섬웨어 외에 분산서비스거부(DDoS, 이하 디도스) 공격도 계속되고 있다. 디도스 공격 또한 단순히 서비스에 장애를 발생시키는 것을 넘어, ‘또 다시 디도스 공격을 실행하겠다’는 협박성 메시지로 비용을 요구하고 있다.

이와 같이 금전적인 이득을 노리고 진행되는 사이버 공격 사례가 다수 발견되고 있다. 올해에도 협박성 사이버 공격이 계속 기승을 부릴 것으로 전망된다.

① 전 세계 랜섬웨어 기승…작년 3분기부터 50% 이상 급증
② 정보유출, 디도스 공격으로도 랜섬웨어처럼 몸값 요구
③ 고도화되는 사이버 위협 대응 위해 보안 및 백업 체계 갖춰야


랜섬웨어 대응 위해 백업 및 보안 체계 갖춰야

올해에도 랜섬웨어, 랜섬디도스 등 협박성 공격은 고도화될 것으로 전망된다. 이미 글로벌 보안 기업, 한국인터넷진흥원 등 많은 조직에서 내년의 주요 보안 이슈로 랜섬웨어를 꼽고 있다.

안랩 관계자는 “향후에도 랜섬웨어 공격자는 수익 극대화를 위해 영역을 가리지 않고 공격을 전개할 것으로 예상된다. 특히 앞선 ‘랜섬웨어 감염으로 인한 의료 시스템 마비 사건’처럼 유사 사건이 발생할 수 있으므로 사회 전반적인 보안 강화와 인식 제고가 필요하다”라고 강조했다.

랜섬웨어를 예방하기 위해서는 ▲출처가 불분명한 메일의 첨부파일 실행 자제 ▲‘알려진 파일형식의 확장명 숨기기’ 설정 해제 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW 등 프로그램의 최신 보안 패치 적용 ▲최신 버전 안티바이러스 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다. 특히 기업 보안 관리자에게는 랜섬웨어를 활용하는 공격자에 대비해 현재 운영하고 있는 보안 인프라 및 방어 체계를 꼼꼼히 점검하는 게 필수적으로 요구된다.

랜섬웨어 피해예방 5대 수칙(출처: KISA)
랜섬웨어 피해예방 5대 수칙(출처: KISA)

랜섬웨어에 대응할 수 있는 보안 솔루션을 활용하는 것도 한 가지 방법이다. 안랩은 안티바이러스 솔루션 ‘V3’를 통해 랜섬웨어에 대응할 수 있도록 지원하고 있다. ‘V3’는 악성코드 통합 분석 및 대응 시스템 ‘다차원 분석 플랫폼’으로 다양한 보안위협에 대응하고 있다. 더불어 클라우드 기반 악성코드 위협 분석 및 대응 기술인 ‘ASD(AhnLab Smart Defense)’, 악성코드 고유의 특성을 파악해 다양한 신/변종 악성코드를 진단하는 ‘TS(Total Security) 엔진’ 등 자체 개발한 악성코드 탐지/분석 엔진으로 강력한 랜섬웨어 대응 기능을 제공하고 있다.

특히 ‘ASD’는 랜섬웨어 의심파일을 별도의 가상 공간에 격리해 한 차례 더 검사하는 ‘랜섬웨어 정밀검사’ 기능을 제공한다. 미끼 파일로 랜섬웨어를 유인하는 ‘디코이(Decoy)’ 기술, 랜섬웨어 감염 시 특정 폴더를 보호하는 ‘랜섬웨어 보안폴더’ 등 랜섬웨어 대응 특화 기능이 적용돼 있다.

<솔루션 소개> 지란지교시큐리티, 3가지 랜섬웨어 대응 방안 제시

지란지교시큐리티는 랜섬웨어에 대응하기 위한 방안으로 ▲콘텐츠 무해화(CDR: Content Disarm and Reconstruction) 솔루션 ‘새니톡스(SaniTOX)’ ▲문서중앙화 솔루션 ‘다큐원(DocuONE)’ ▲악성 이메일 모의훈련 솔루션 ‘머드픽스(MudFIX)’ 등을 제안하고 있다.

콘텐츠 무해화 솔루션 ‘새니톡스’는 다양한 네트워크 경로를 통해 기업 내부로 유입되는 문서를 악용한 공격을 예방한다. 파일 내 포함돼 있는 액티브 콘텐츠(매크로, OLE 오브젝트, 임배디드 객체 등)를 분석하고 무해화를 거쳐 안전한 요소만 재조합해 문서의 안정성을 확보할 수 있다.

‘새니톡스’ 파일 무해화 결과 상세화면(출처: 지란지교시큐리티)
‘새니톡스’ 파일 무해화 결과 상세화면(출처: 지란지교시큐리티)

또한 주요 기능으로 내·외부에서 유통되는 다양한 파일 포맷의 무해화를 지원한다. 단일 장비에서 웹, 폴더, 메일, 파일서버 연동 등 다양한 인터페이스를 통합해 다수의 문서 파일 유통 채널에서 활용이 가능하다. 상세 리포트를 제공해 악성 문서의 무해화 결과 및 상세·연관 분석 내용을 직관적으로 파악할 수 있다.

문서중앙화 솔루션 ‘다큐원’은 기업의 중요 문서를 별도 격리/암호화하고 중앙 저장 및 관리하도록 지원한다. 때문에 사용자의 PC에서 랜섬웨어에 감염되는 상황을 방지, 랜섬웨어 등 보안위협으로부터 문서 자산을 안전하게 보호할 수 있다. 더불어 ‘문서 버전 관리’, ‘시점별 복원’ 기능을 통해 외부 보안위협 및 개인 과실로 인한 문서 유실 시 빠른 복구를 지원한다.

최근에는 비대면 업무환경의 확산으로 문서중앙화가 기존의 데이터 격리/보안 목적뿐만 아니라 재택/원격근무 시 업무 생산성 및 연속성을 유지/보장하는 도구로 범위 확장되고 있다. 지란지교시큐리티는 이런 추세에 맞춰 재택근무 기능을 제공한다. 재택근무 환경에서도 업무용 노트북 또는 PC에 에이전트 설치만으로 사내 주요 데이터에 편리하게 접근하고, 내부 자료를 안전하게 공유할 수 있다.

악성 이메일 모의훈련 솔루션 ‘머드픽스’는 최신 유행하는 랜섬웨어 공격이 반영된 다양한 템플릿의 이메일을 임직원 대상으로 배포, 반복적인 점검 훈련과 보안 교육을 통해 악성코드 피해사고를 사전에 예방할 수 있도록 돕는다. 최신 이메일 위협에 대한 최다 패턴 수집 및 분석 데이터를 적용해 신종 패턴의 이메일 위협에 빠르게 대응할 수 있는 것이 장점이다.


추가적인 디도스 공격 대응 체계 필요

국내에서는 디도스 공격에 대응하기 위한 체계가 이미 마련돼 있다. 대기업 및 공공기관은 디도스 대응 솔루션을 갖추고 있다. 솔루션을 갖출 수 없는 중소기업을 대상으로는 한국인터넷진흥원에서 운영하는 인터넷침해사고대응센터(KrCERT)에서 사이버 대피소를 운영하고 있다. 한국인터넷진흥원은 중소기업을 대상으로 디도스 공격이 발생하면 사이버 대피소로 트래픽을 우회해 서비스를 정상적으로 운영할 수 있도록 무료 지원하고 있다.

또한 KT 등 인터넷서비스사업자(ISP)도 디도스 공격 대응을 위한 클린존 서비스를 제공하고 있다. 디도스 공격 발생 시 유해 트래픽을 차단하고 정상 트래픽만 서버로 전달해 정상적인 서버 운영이 가능하도록 지원한다.

하지만 대규모의 디도스 공격에 대응하기 위해서는 미리 대응 체계를 갖춰 놓는 것이 좋다. 안랩, 윈스, 시큐아이 등 네트워크 보안 벤더들은 디도스 대응 솔루션을 제공하고 있다. 또한 아카마이, 라임라이트네트웍스 등 CDN 기업들도 디도스 대응 서비스를 제공하고 있다.

아카마이는 디도스 대응을 위해 ‘아카마이 프롤렉식 서비스(Akamai Prolexic)’를 제공하고 있다. 더불어 디도스 관련 플랫폼 역량이 중요하다는 점에 초점을 맞춰, 아카마이 SOCC(보안운영관제센터), 에지 기반 웹 애플리케이션 방화벽, 권한 DNS 서비스, 디도스 전용 클라우드 스크러빙 센터 등 역량을 강화하고 있다. 특히 ‘아카마이 프롤렉식 서비스’는 168Tbps 이상의 CDN 용량을 기반으로 하고 있다는 것이 강점이다.


협박성 공격에 굴복하지 않아야

랜섬웨어, 랜섬디도스 등 협박성 공격에 대응할 때, 가장 중요한 것은 공격자의 요구를 따르지 않는 것이다. 특히 랜섬웨어나 랜섬디도스 공격의 경우, 공격자가 요구하는 비용을 지불한다고 해서 데이터 복호화, 디도스 공격 중단 등을 장담할 수 없다. 더불어 복호화 비용을 지불하더라도 추후 다른 사이버 범죄의 타깃이 되는 등 더 많은 위협을 발생시킬 수 있어 지양해야 한다.

협박성 공격에 가장 좋은 대응 방안은 예방이다. 기본 보안 수칙 준수 및 백업 생활화, 임직원 보안 교육 등을 통해 랜섬웨어에 감염될 가능성을 줄여야 한다. 대부분의 랜섬웨어가 이메일로 유포된다는 점에 주목해, 발신자가 불분명하거나 내용이 의심스러운 메일을 확인할 때는 주의를 기울여야 한다.

랜섬웨어에 감염됐을 때 가장 좋은 방법은 백업 데이터로 복구하는 것이다. 백업 데이터가 없다면 한국인터넷진흥원 인터넷 보호나라, 노모어랜섬, 랜섬웨어침해대응센터 및 보안 기업들이 제공하는 복구 프로그램 등을 통해 복호화 방법을 찾아보는 것도 한 가지 방법이다. 하지만 복호화 방법이 모두 있는 것은 아니기 때문에 무엇보다 백업이 중요하다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지