[아이티데일리] 올 한해 랜섬웨어 공격이 기승을 부리는 가운데 국내 중소기업의 보안 공백에 대한 지적이 제기되고 있다. 보안 인력 채용이나 예산 투자를 고려조차 하지 않는 중소기업들이 상당수인 가운데, 이들은 공격 탐지나 대응 체계가 없어 이메일 피싱이나 악성코드 유입에 그대로 노출돼 있는 실정이다.

한국인터넷진흥원(KISA)이 지난해 조사한 ‘경기지역 중소·벤처기업 정보보호 실태조사’에 따르면, 중소기업의 64.5%가 정보보호 예산이 없거나 규모를 모른다고 응답했다. 또한 매출 50억 원 이하 기업의 84%는 정보보호 전담인력이 없거나 존재 여부조차 인지하지 못한 것으로 나타났다. 이 같은 실태에 대해 보안 업계 전문가들은 중소기업의 현실적인 여건을 고려하더라도 최소한의 3단계 방어체계 즉 △이메일 보안 △엔드포인트 탐지·대응 △백업·복구 등만큼은 반드시 갖춰야 한다고 조언한다.

먼저 이메일을 통한 악성코드의 유입 차단이다. 전체 랜섬웨어 감염의 상당수가 악성 첨부파일이나 링크를 통해 시작되기 때문에, 메일 수신 단계에서 위험 요소를 사전에 제거하는 것이 중요하다. 이 단계에서 가장 선행돼야 할 것은 물론 사용자 교육이다. 피싱이 의심되는 메일의 첨부파일은 절대 클릭 및 실행해서는 안 되는 것이 기본이다.

하지만 고도로 정교하게 제작된 맞춤형 피싱 메일에는 속을 수밖에 없을 수 있다. 이에 대응하기 위해서는 메일 게이트웨이 기반 이메일 보안 솔루션이나, 파일 내 악성 스크립트를 사전에 제거하는 콘텐츠 무해화(CDR, Content Disarm and Reconstruction) 솔루션 도입이 효과적이다. 이러한 솔루션은 첨부파일을 열기 전 자동으로 분석하고, 위험 요소를 제거한 안전한 버전만 사용자에게 전달한다. 이밖에 사용자가 이용하는 인터넷 브라우저를 격리된 가상화 환경에서 실행해 악성코드가 포함된 이메일을 열어보더라도 사용자 시스템에 피해가 없는 RBI(원격 브라우저 격리) 솔루션을 사용할 수도 있다.

다음으로 기업 내  PC와 서버를 보호하는 엔드포인트 탐지 및 대응(EDR) 솔루션이다. 이는 일반적인 안티바이러스(AV; 백신)보다 한 단계 진화한 솔루션으로, PC·서버 등 단말기에서 발생하는 비정상 행위를 실시간으로 탐지하고 감염 및 확산 전에 자동으로 차단하는 역할을 한다. 최근에는 안랩, 이스트시큐리티, 지니언스 등 국내 보안기업들이 중소기업을 위한 경량형 EDR이나 구독형(XaaS) 서비스를 잇따라 출시하고 있다.

마지막으로 최악의 경우 랜섬웨어에 감염됐을 때 피해를 최소화하기 위한 백업·복구 체계도 필수적이다. 중요 데이터를 주기적으로 별도 저장소나 클라우드에 백업하고, 특히 물리적으로 네크워크가 연결되지 않은 ‘오프라인 백업’을 병행해야 한다. 실제로 최근 공격자들은 백업 시스템에 네트워크가 연결돼 있을 경우 백업 파일까지 암호화하거나 삭제하는 경우가 많아, 다계층 백업과 자동 복구 테스트의 중요성이 커지고 있다.

한 국내 보안 기업 관계자는 “상당수의 중소기업이 비용 부담을 이유로 보안 투자를 미루는 경우가 많지만, 한 번의 랜섬웨어 피해가 영업 중단과 고객 신뢰 상실로 이어질 수 있다”며 “이메일–엔드포인트–백업의 기본 3단계만 갖춰도 피해를 예방하고, 랜섬웨어에 감염돼도 비즈니스를 복구할 수 있어 최악의 상황으로 번질 확률을 크게 낮출 수 있다”고 강조했다.