[뉴스토마토 김동현 기자] 컴퓨터나 서버를 해킹해 데이터를 암호화한 뒤 금전을 요구하는 랜섬웨어 공격이 진화하고 있다. 특히 랜섬웨어 공격이 일반인뿐 아니라 기업이나 사회기반시설 등이 확대되며 보안 관리자의 사전 대응이 필요하다는 조언이 나왔다.
이재광 한국인터넷진흥원(KISA) 종합분석팀장은 1일 "과거 랜섬웨어 공격은 개인 PC를 중심으로 발생했지만, 최근에는 보안이 열악한 중소·영세기업 등 기업으로 확대됐다"며 "최근에는 (미국) 송유관 관리업체 피해 사례처럼 사회기반시설이나 생활필수 산업으로 대상을 확대하며 일상에서 체감할 정도로 가까워지고 있다"고 말했다.
이재광 한국인터넷진흥원 종합분석팀장. 사진/KISA
랜섬웨어 공격 방법 역시 진화하고 있다. 기업 홈페이지 장애를 일으키는 디도스 공격과 결합하기도 하고 데이터 백업을 대비하는 기업을 목표로 중요 기업 데이터를 외부에 유출하는 방식이다. 특히 해커들의 랜섬웨어 사업화가 일어나며 서비스형랜섬웨어(RaaS)가 등장해 공격자가 RaaS를 구매하면 판매자가 대신 공격하는 형태도 나타났다. 이러한 공격은 다크웹·암호화폐 등과 결합해 공격자와 판매자에 대한 추적을 막고 있다.
랜섬웨어 공격이 고도화하는 만큼 기업·기관의 보안 담당자의 역할이 중요해졌다. 특히 사업의 연속성을 유지하는 측면에서 보안에 대한 기업의 지속적인 투자가 필요하다는 지적이 나온다. 랜섬웨어 공격은 최초 침투부터 '내부이동→거점확보→지속장악→랜섬웨어 실행'까지 실제 공격이 발현되기까지 약 1년의 시간이 소요되는 것으로 평가받는다. 따라서 그 사이에 보안 담당자와 기업이 관심을 기울이고 백신 등을 통해 감지되는 공격에 선제적으로 대응하는 것이 중요하다.
이재광 팀장은 "기업은 백신이 악성코드 잡아내면 그 다음은 문제가 없다고 생각하지만 백신을 잡았다는 것은 굉장히 중요한 징조"라며 "공격자는 탐지되지 않는 또다른 악성코드를 심으면서 방어를 우회·회피한다. 사고 대응 징후 가운데 악성코드가 설치된 이력이 있으면 굉장히 위험한 것"이라고 말했다.
랜섬웨어는 기업의 보안 관리자PC나 서버를 침투하는 방식으로 공격이 이뤄지고 있다. 웹서버에 악성코드를 설치해 서버 관리용 계정을 수집해 주변의 또다른 관리 서버에 접속해 랜섬웨어를 설치·실행하는 방식이다. 또는 기업 보안 담당자에 메일을 전송해 첨부파일을 클릭하면 악성코드를 감염 시켜 관리자PC를 장악해 중앙관리서버(AD서버)를 통해 광범위한 공격을 펼친다. 최근에는 공식 서버가 아닌 상대적으로 보안에 취약한 테스트 서버에 랜섬웨어 공격을 단행하는 경우도 발생하고 있다. 이 팀장은 "해커가 대규모 확산을 위해 공격하는 관리자PC·AD서버 등 거점을 잘 점검하는 것이 굉장히 효과적"이라고 말했다.
KISA에 신고되는 랜섬웨어 피해 사례는 매년 급증하는 추세다. 2018년 22건에 불과하던 랜섬웨어 신고 건수는 △2019년 39건 △2020년 127건 △2021년 상반기 78건까지 증가했다. 지난해에만 전년 대비 3배 가까이 늘었다. 과학기술정보통신부와 KISA는 전국 단위 대응체계를 구축하고, 디도스 공격 발생 시 공격 트래픽을 방어하는 '사이버 대피소'를 운영 중이다. 지난 5월부터는 신속한 대응을 위한 '랜섬웨어 대응 상황반' 운영을 시작했다.
김동현 기자 esc@etomato.com