[포커스온] 진화하는 랜섬웨어, 본격화되는 디지털 팬데믹

늘어나는 랜섬웨어 공격

랜섬웨어란 해커들이 악성코드를 일반 기업이나 정부 기관 등의 시스템에 침투시켜 문서·동영상 등 중요 파일에 암호를 걸어 접근하지 못하게 하고 돈을 뜯어내는 것을 말한다. 최근 코로나 사태로 원격근무가 늘고 사물인터넷(IoT), 자율주행자동차, 스마트팩토리 시대가 본격화됨에 따라 공격 범위와 피해 규모도 갈수록 커지고 있다.

대표적으로 지난 2019년 노르웨이에서는 알루미늄 제조회사 노르스크 하이드로가 랜섬웨어 공격을 받아 생산 공정이 마비되면서 글로벌 알루미늄 가격이 1.2%나 상승했고, 2018년에는 반도체 생산기업 TSMC의 한 직원이 바이러스 검사를 하지 않은 USB를 꽂으면서 생산라인 3곳이 멈춰 3000억 원의 피해를 입기도 했다.

시장조사기관 스태티스타는 지난해 전 세계 랜섬웨어 공격 건수가 3억 400만 건으로 전년 대비 62% 증가했다고 집계했고, 분석 솔루션업체 체이널리시스는 지난해 랜섬웨어 피해자들이 지불한 금액이 총 3억 5000만 달러(약 4031억 원)에 달한다고 분석했다. 이는 전년 대비 311% 증가한 수치로 올해는 더욱 늘어날 것으로 보인다.

최근, 사이버 범죄자들은 데이터의 대가로 암호화폐를 요구하는 사례가 늘고 있다. 2019년 랜섬웨어의 피해로 지급한 암호화폐 가치는 9294만 달러(약 1070억 원)로 추정됐는데 2020년에는 4억 634만 달러(약 4680억 원)로 급증했다. 2021년에 공격받은 피해자들은 1월에만 이미 8155만 달러(약 939억 원)에 상당하는 암호화폐를 지급했다.

전문가들은 “코로나19 사태와 암호화폐 시장의 성장이 랜섬웨어에 날개를 달아줬다”고 분석했다. 기업과 사회 인프라의 디지털 전환이 가속하면서 공격 가능한 대상이 다양해졌고, 비트코인을 이용해 쉽고 안전하게 몸값을 받아낼 수 있게 됐다는 설명이다.

사람 목숨까지 위협한다

랜섬웨어 공격의 피해는 사회 전반으로 확산하고 있다. 미국 IT 관리 솔루션 기업 카세야를 공격한 해커 그룹은 회사의 원격 모니터링과 네트워크 관리 소프트웨어를 주요 표적으로 삼아 이 회사 제품을 사용하는 전 세계 기업 상당수에 피해를 줬다. 카세야 고객사 중 한 곳은 랜섬웨어 공격 직후 결제 시스템 오류로 전국 800개 매장을 임시 폐쇄하기도 했다.

더 큰 문제는 랜섬웨어는 단순히 금전적인 피해를 입히는 데 그치지 않고 사람의 목숨까지 위협하고 있다는 점이다. 작년 독일의 한 대학병원에서는 랜섬웨어로 병원 시스템이 마비돼 긴급 이송 중이던 위급 환자가 끝내 입원하지 못한 채 목숨을 잃는 사건이 발생했다. 병원과 대학, 정부 기관의 온라인 의존도가 높아지는 만큼 범죄자들은 이를 악용해 더 큰 몸값을 받아내기 위해 지속적으로 랜섬웨어 공격을 감행하고 있다.

한국도 안전지대는 아니다. 국내 기업을 타깃으로 한 랜섬웨어 공습도 계속해서 이어지고 있다. 작년 12월에는 유통그룹 이랜드가 랜섬웨어 공격으로 운영의 차질을 빚는 등 피해를 입었고, 올 들어선 배달 대행 플랫폼인 슈퍼히어로와 자동차 부품 제조기업 에스엘의 시스템 등이 타깃이 됐다. 정부 관계자는 "전체 사고의 80% 이상이 중소기업에서 발생했고, 해외 사례처럼 국내 제조시설을 노린 공격도 본격화하고 있다" 고 말했다.

또, 최근에는 방위산업 핵심 기관과 기업인 한국원자력연구원과 한국항공우주산업(KAI)·대우조선해양이 해커 조직의 공격을 받기도 했다. 랜섬웨어 공격이 일선 기업을 넘어 국가 인프라에까지 리스크를 현실화하는 것이다. 한국랜섬웨어침해대응센터에서 추정하는 올해 국내 피해액 규모는 2조 5000억 원에 이른다.

국제 사회 대응 본격화

랜섬웨어 공격은 본래 기술적 진입장벽이 높은 범죄였다. 그러나 랜섬웨어의 서비스화(Ransomware-as-a-Service, RaaS)로 이제는 기술력이 없어도 다크웹 등에서 다양한 랜섬웨어를 구입할 수 있다. 실제로 사이버 보안업체 그룹IB는 2020년 벌어졌던 랜섬웨어 공격 3건 중 2건은 악성코드 프로그램을 구입하거나 임대해 벌어졌다고 밝혔다.

아울러 기존에는 랜섬웨어 공격자가 개인인 경우가 많았으나, 지금은 조직을 중심으로 해커들이 모이면서 그 규모가 거대해지고 있다. 대기업을 상대로 여러 공격 그룹이 카르텔이나 갱단 형식으로 협정을 맺어 돈을 받아내는 경우도 많아져 대응에 어려움이 있는 것이 현실이다.

이에 따라 국제 사회의 대응도 본격화하고 있다. 우선, 미국 법무부는 지난 6월 랜섬웨어에 대한 수사 대응을 9·11 테러 사태에 준하는 수준으로 격상하고 모든 랜섬웨어와 관련된 수사 정보를 랜섬웨어 태스크포스(RTF)로 보낸다고 밝혔다.

RTF에는 미국 FBI(연방수사국)와 CISA(사이버보안국), 영국 NCSC(국립사이버보안센터)와 Europol(유럽형사경찰기구) 같은 사법 기관은 물론 아마존, 시스코, 파이어아이 등 IT·보안 기업도 참여하고 있다. 필립 라이너 RTF 최고 책임자는 지난 한 해 코로나19 백신 생산과 유통을 방해함으로써 돈을 벌려는 시도를 예로 들면서 “랜섬웨어는 그냥 금전적 손해를 발생시키는 문제가 아니라, 생명과 직결된 문제다. 랜섬웨어는 반드시 근절되어야 할 것”이라고 강조했다.

국내에서도 지난 5월부터 과학기술정보통신부 정보보호네트워크 정책관을 총괄로 해 한국인터넷진흥원(KISA) 내 인터넷침해대응센터(KISC)에 설치했다. 랜섬웨어 관련 24시간 신고 접수와 함께 분석과 피해 복구를 지원한다.

과기정통부는 “랜섬웨어 공격자가 데이터 복구를 미끼로 해 금전을 요구할 때 복구키를 제대로 제공하지 않은 채 금전만 갈취하고 잠적하는 사례가 존재하며, 협상에 응하면 또 다른 피해자가 발생하는 등 악영향이 발생할 수 있어, 금전을 요구하는 협상에 응하지 말고 침해 사고 신고를 통해 시스템 복구 등의 기술 지원을 받아야 한다”고 권고했다.

지난해 랜섬웨어에 의한 국내 인터넷 침해 사고 신고 건수는 127건으로 전년(39건) 대비 3배 이상 늘어났다. 한 번 이 같은 공격을 당하거나 내부 정보를 탈취당하면 또다시 협박 대상이 될 수 있다. 따라서 조직은 보안 솔루션 활용뿐 아니라 내부 임직원 보안 교육을 강화하는 등 랜섬웨어 공격에 상시 대응해야 할 필요가 있다.

랜섬웨어 예방 조치

정보보안 기업 안랩은 올 상반기 주요 보안 위협 트렌드로 ▲표적형 랜섬웨어 공격 증가 ▲조직 인프라 솔루션을 악용한 공격 지속 ▲업무 메일을 위장한 정보 유출형 악성코드 유포 ▲사회적 이슈를 사이버 공격에 적극 활용 ▲국가 지원 추정 해킹그룹 활개 등을 선정하고 대응 역량을 위한 매뉴얼을 배포했다.

먼저, 조직 내부 자원 관리나 서비스 제공에 사용되는 솔루션을 장악당하면 해당 조직과 서비스를 이용하는 고객사에도 랜섬웨어 유포나 정보 탈취 등 큰 피해를 유발할 수 있다. 사람들은 일반적으로 외부 유입 공격에는 민감하게 대응하지만 사용 중인 기존 프로그램 및 관련 파일에 대해서는 쉽게 신뢰하는 경향이 있다. 따라서 보안 관리자는 일반적인 보안 정책 외에 TI(위협 인텔리전스) 서비스를 활용해 정보를 수집하는 등 위협 대응 역량을 높일 필요가 있다.

또한, 업무 메일로 위장한 정보 유출형 악성코드의 유포 가능성이 있으므로 사용자는 메일 발신자와 첨부 파일을 유심히 살펴보고 출처가 불분명한 이메일 속 첨부 파일이나 URL은 실행하지 말아야 한다.

특히, 사회적 관심이 높은 이슈를 활용한 공격은 공격자가 자주 사용하는 방식이다. 상반기에는 ‘(코로나)확진자 동선’, ‘재난 지원금’, ‘소상공인 지원 종합 안내’ 등 코로나19 상황 관련 키워드를 사용한 공격이 다수 발견됐다. 최근에는 ‘한미 정상회담’ 등 특정 그룹에서 관심을 가질만한 사회적 이슈를 악용한 공격도 있었다. 사회적 이슈를 악용한 공격은 이메일에 악성 첨부 파일 및 URL을 첨부하거나 코로나 관련 안내를 위장한 문자메시지 내 URL 클릭을 유도하는 등 다양한 방법으로 시도됐다.

앞으로도 공격자는 사용자를 유인하기 위해 생활 밀착형 키워드를 활용할 가능성이 높기 때문에, 사용자는 문자메시지나 메일 속 출처가 불분명한 URL의 실행을 금지하고 이슈를 검색할 때도 검증된 웹사이트나 플랫폼을 이용해야 한다.

아울러, 인터넷 익스플로러(IE)나 크롬 등 웹브라우저 취약점을 악용하는 것뿐 아니라 국내 웹브라우저와 연동돼 실행되는 프로그램 취약점을 악용하거나 국내 유명 포털을 사칭한 피싱 사이트를 제작하는 등 공격 방식도 점차 고도화되고 있다. 이에 따라 개인과 조직은 사용하고 있는 모든 프로그램을 최신 버전으로 업데이트하고 보안 패치를 적용하는 등 기본 보안 수칙을 필수적으로 실천해야 한다.

안랩 한창규 ASEC 센터장은 “공격자는 사이버 공격의 전 과정에서 시스템 취약점부터 사용자까지 가장 ‘약한 고리’를 노리고 있다. 점차 정교해지는 보안 위협으로 인한 피해를 최소화하기 위해서는 기관과 기업, 사용자 등 모든 주체의 대응 방안 준비와 보안 수칙 준수가 필수적이다”라고 전했다.