국가정보원(국정원)이 사이버 위기 경보를 ‘정상’에서 ‘관심’으로 상향 조정한 데 이어, 과학기술정보통신부(과기정통부)도 사이버 위협 증가에 따른 선제적 방어를 위해 사이버 위기 ‘관심’ 경보를 발령했다.
이에 따라 한국인터넷진흥원(KISA) 인터넷침해대응센터는 비상 근무 체계에 돌입하게 되며, 악성코드 유포 및 디도스(DDoS·분산 서비스 거부) 공격 등 사이버 위협에 대한 전반적인 모니터링을 확대하고 유관 기관 공조 강화 등 대응 태세를 강화한다.
사이버 위기 경보 ‘정상-> 관심’ 상향
사이버 위기 경보 단계는 정도에 따라 ‘정상→관심→주의→경계→심각’으로 구분된다. 민간 분야 경보 발령 체계는 과기정통부 장관이 담당하고 있으며, 공공 분야는 국정원이 담당한다.
과기정통부가 사이버 위기 관심 경보를 상향한 데는, 최근 국내외 기업의 랜섬웨어 피해와 악성코드 감염, 재난지원금 관련 피싱 등의 사이버 위협 증가가 주요 원인으로 분석된다.
실제로, KISA가 발표한 국내 기업 랜섬웨어 피해 신고 현황에 따르면 랜섬웨어 신고 건수는 2019년 39건에서 지난해 127건으로 3배 이상 늘었고 올 상반기에만 78건의 신고가 접수됐다.
지난 5월에는 국내 한 차량부품제조 업체가 '아바돈' 랜섬웨어 공격을 받아 백업을 복구했지만, 정보 유출, 디도스 공격 협박을 받기도 했다.
주목할 점은 랜섬웨어가 공격 대상화 방식이 진화하고 있다는 점이다. 이재광 KISA 종합분석팀장은 최신 랜섬웨어 트렌드에 대해 "공격 대상이 개인 PC에서 보안이 열악한 영세 중소기업이나 사회 기반 시설·생활 필수 산업으로 확대되는 추세다. 우리의 실제 삶과 점점 가까워지는 것이다"라고 말했다. 그는 또 "협박 방식 역시 단순히 데이터를 암호화하는 것을 넘어 아예 유출해버리거나 디도스 공격을 결합하는 삼중 협박의 형태로 고도화되고 있다"고 설명했다.
특히, 다크웹 상에서 가상자산을 받고 대신 공격해주는 서비스형 랜섬웨어(RaaS)가 빠르게 퍼지고 있는 점은 큰 문제로 지적된다. Raas를 이용하면 별도의 전문 지식 없이도 랜섬웨어 공격이 가능하고 추적도 어려워 사이버 범죄의 문턱이 낮아지기 때문이다.
랜섬웨어 왜 당할까?
랜섬웨어 사고 발생 사례는 웹 서버, 관리자 PC, 공급망 침투를 통한 확산 등이 대표적이다. 관리자 계정에 동일한 패스워드가 사용되고 추가 인증 수단이 없는 등 관리가 소홀하고, 중요 관리자 PC가 인터넷에 연결돼 있어 망 분리가 제대로 이뤄지지 않는 등의 문제점들이 랜섬웨어 확산을 키운다.
최근, 랜섬웨어 감염이 실제 피해로 이어진 현장 사례들을 살펴보면 공통된 특징을 알 수 있다. KISA 관계자는 "최근의 랜섬웨어 사고는 오랜 시간 준비된 지능형 지속 위협(APT) 공격의 결과물이다. 실제 특정 기업 사례를 보면 내부망 침투 및 장악이 먼저 이뤄진 뒤 내부에서 이동하고, 랜섬웨어를 대량으로 퍼뜨리기 위한 거점을 확보하고 랜섬웨어를 실행하는 데 1년 이상이 걸렸다"고 설명했다.
시스템 접근 권한을 지닌 관리자 PC나, 다양한 시스템이 연결된 중앙 관리 서버 등도 타깃이 되기 쉽다. 최근에는 기업이 관리를 소홀히 하는 테스트 서버를 노려 랜섬웨어를 대량으로 유포할 거점으로 사용하는 사례가 늘고 있다.
아울러, 데이터 백업 대책 부족도 랜섬웨어 피해 기업에서 나타나는 공통점이다. 단순히 백업 데이터를 구축해놓는 것에 그친다면 해킹 피해를 막기 충분치 않다. 가령, 백업 데이터가 인터넷망에 연결돼 있거나 타 서버와 동일한 계정 정보를 사용할 경우 해커의 침투를 허용할 수 있기 때문이다.
랜섬웨어 맞설 기업 핵심 대응 전략 '3가지'
이에 정부에서는 기업들의 랜섬웨어 피해를 최소화하기 위한 ▲점검 ▲대응 ▲훈련 등의 3가지 핵심 대응 전략을 마련했다.
먼저, 랜섬웨어 공격은 상당한 기간에 걸쳐 이뤄지고 있으므로 보안 점검을 통한 선제 대응이 무엇보다 중요하다. 시스템 관리자 PC 악성코드 감염 여부는 물론, 주요 서버 비정상 접근 시도 여부, 주요 서버 악성코드 존재 여부 등을 중점적으로 점검해야 한다.
점검 단계에서 특이 사항이 발견되는 경우, 단편적 조치에 그칠 것이 아니라 후속 대응이 매우 중요하다. 이 때문에 KISA 등에 신고해 기술 지원을 받거나 정보보호 기업을 통해 침투 경로 및 해커 활동 범위 식별 등 상세한 점검을 해야 한다.
감염된 상황을 가정하고 데이터 복원을 위한 훈련도 필요하다. 훈련으로 복원 우선순위를 결정하고 백업 설정이 안 된 영역 등도 파악할 수 있다. 아울러, 안전한 저장매체에 데이터가 보관되고 있는지도 확인할 필요가 있다.
KISA와 과기정통부는 보안 인프라가 취약한 중소기업을 중심으로 랜섬웨어의 예방을 적극적으로 지원하고 있다. 우선, 코로나19의 확산으로 비대면 환경이 활성화되면서 내 PC 돌보미 서비스를 지원해 국민이 사용하는 PC와 사물인터넷(IoT) 기기가 랜섬웨어에 취약한지를 원격으로 점검하고 개선할 수 있도록 돕는다. 내 PC 돌보미는 디지털 뉴딜 사이버 안전망 구축 사업의 일환으로 지난해 9월 서비스를 개시해 누적 이용 건수가 6만 건을 넘어섰다.
이외에도 점검 분야에는 ▲홈페이지 보안 강화를 위한 무료 보안 솔루션 및 취약점 점검 ▲보안 공지 및 기술 문서 배포 등을 지원하고 있으며, 대응 분야에서는 ▲전국 원스톱 대응 체계 운영 ▲사이버 대피소 ▲랜섬웨어 대응 지원반 운영 등을 추진하고 있다. 아울러, 훈련을 위해서는 ▲사이버 위기 대응 모의 훈련 진행 ▲랜섬웨어 예방 수칙 및 대응 가이드 배포 ▲중소·영세기업 대상 맞춤형 컨설팅 및 보안 솔루션 도입 ▲민관합동 랜섬웨어 대응 협의체 등을 운영·진행하고 있다.
임혜숙 과기정통부 장관은 “사이버 보안은 끊임없는 창과 방패의 레이스로 단 한 순간도 주의를 늦춰서는 안 되며, 한 번의 랜섬웨어 공격이 사회 전반에 막대한 피해를 발생시킬 수 있는 만큼, 랜섬웨어 대응 강화 방안을 차질 없이 이행해 국민과 기업들이 안심할 수 있는 디지털 환경을 구축하겠다”고 전했다.
