최근 몇 년간 보안업계에서의 화두는 랜섬웨어다. 랜섬웨어란 무단으로 중요 데이터를 암호화하고, 복호화를 위해 몸값 지불을 요구하는 사이버공격으로 2010년대 중반 등장한 후 사이버 범죄자들의 주된 공격 수단이 되면서 악명을 떨치고 있다.

오늘날의 사이버공격은 금전적 이익을 노리는 범죄다. 개인정보를 탈취해 사이버 암시장인 다크웹에서 판매해 수익을 올리거나 대량의 트래픽을 집중시키는 분산서비스거부공격(DDoS)으로 기업의 비즈니스를 방해하고 공격 중단의 대가로 금품을 요구하는 공격 등은 금전적인 이익을 노리는 대표적인 사례다.

랜섬웨어는 DDoS처럼 협박을 통해 금전적 이익을 획득지만 DDoS보다 더 파괴적이다. 막대한 트래픽을 집중시키는 DDoS는 기업의 웹사이트를 마비시킬 수 있지만, 웹 기반 비즈니스 기업이 아니라면 치명적 피해는 아니다.

이와 달리 랜섬웨어는 데이터를 사용할 수 없게 함으로써 웹 기반 비즈니스 기업이 아니더라도 비즈니스 중단을 야기시킬 수 있다. 

또 수많은 봇(Bot) 컴퓨터를 확보하고 지속적인 공격을 감행해야 하는 노력이 필요한 DDoS와 달리 한 번의 공격이 성공하면 치명적인 피해를 입힐 수 있다. 즉 공격자의 입장에서 노력은 적게 들면서 더 심각한 피해를 입힐 수 있는 가성비 높은 공격 방법이 랜섬웨어다.

랜섬웨어는 등장 후 매년 빈번하게 발생하는 주요 사이버위협으로 꼽히고 있다. 랜섬웨어 공격이 절정을 이뤘던 2019년 이후 일시적으로 감소세를 보이기도 했지만, 코로나19 팬데믹을 계기로 전사회적인 디지털전환(DT)의 바람 속에서 랜섬웨어는 다시 증가세로 반전하면서 가장 빈번히 발생하는 치명적인 위협요소로 자리를 지키고 있다.

버라이즌에 따르면, 지난해 랜섬웨어 공격 빈도는 100% 이상 증가했으며, IDC는 지난해 글로벌 기업의 37%가 랜섬웨어 공격을 받았다는 설문결과를 공개했다.

미국 최대의 송유관 기업인 콜로니얼파이프라인이 랜섬웨어에 감염돼 미국 동부지역에 에너지 대란을 발생시켰으며, 글로벌 매니지드 서비스 기업인 카세야가 해킹 공격을 당해 고객에게 소프트웨어를 업데이트하는 ‘카세야 VSA’가 랜섬웨어가 배포 통로로 악용되는 대형사고가 발생해 카세야를 이용하는 전세계 수천개 기업들에게 랜섬웨어 감염 공포를 일으키기도 했다.

그렇다면 랜섬웨어는 어떻게 방어해야 할까? 우선시되는 것은 사이버보안 강화다. 랜섬웨어는 감염 시 암호화를 수행하는 악성코드다. DOS 시절 특정날짜에 FAT을 메모리로 이동시키고, 잭팟게임 승리 시 메모리의 데이터를 복구시킬 수 있게 했던 일명 ‘카지노바이러스’를 초기 랜섬웨어로 꼽는 이유도 감염시 사용자 데이터를 볼모로 잡는다는 특성 때문이다.

◆디지털 인질범, 랜섬웨어…“몸값 지불하라”
오늘날의 랜섬웨어는 금전적인 이익을 요구하고, 복호화키 없이는 복구가 불가능하게 진화했지만, 본질적으로는 감염을 통해 암호화를 시도하는 악성코드다. 따라서 안티바이러스 프로그램, 방화벽 등의 사이버 보안 솔루션을 통해 방어할 수 있다. 

허나 범죄로 발전한 사이버공격이 각종 사회공학적 기법을 접목하고 발전된 기술을 접목해 전개된다는 점이 문제다. 기업 대상의 타깃형 공격의 하나로 랜섬웨어가 이용될 때 내부 침투와 탐색, 장악이 먼저 이뤄진 후 랜섬웨어를 통한 암호화가 이뤄지는 경우가 종종 발견되며, 이는 단순히 기존 보안 솔루션의 나열로는 방어할 수 없다.

따라서 랜섬웨어 뿐 아니라 지능화된 공격에 효과적으로 대응하기 위한 사이버보안 체계의 업그레이드가 필요하다. 특히 팬데믹 이후 원격근무, 클라우드의 확산은 기업 네트워크의 내외부에 대한 구분을 없애고 있어 전통적인 표면 방어 기술을 보완하는 보안 강화가 요청된다. 

전사적 보안강화의 방안으로 떠오르는 것이 제로트러스트, 사이버보안메시아키텍처(CSMA)와 같은 개념이다. 

먼저 제로트러스트는 모든 접속 기기와 사람을 신뢰하지 않는다는 개념으로, 포레스터리서치가 제안한 보안모델이다. 네트워크의 모든 사용자는 항상 위험하며, 위협이 네트워크에 항상 존재한다는 원칙 아래 지속적으로 사용자와 기기를 검증하고, 감염 징후를 끊임없이 확인함으로써 공격에 활용될 수 있는 보안상의 허점을 제거한다.

엔드포인트 기기를 점검하는 엔드포인트위협탐지·대응(EDR), 이메일과 파일 등을 재조합해 유해 요소를 제거하는  콘텐츠무해화·재조합(CDR)과 같은 보안 솔루션은 제로트러스트 개념을 밑바탕에 둔 것으로, 표면 방어가 아닌 기업 네트워크 전반적인 보안을 구현한다.

CSMA는 가트너가 차세대 보안 아키텍처로 주창한 보안모델로, 개별 보안 솔루션간 상호운용성을 극대화한 통합 보안을 구현함으로써 보안능력을 업그레이드한다는 개념이다.

개별 보안 솔루션간 긴밀한 협업은 사이버보안을 단순화하고 더 적은 리소스로 더 강화된 보안을 제공하며, 유연성과 확장성을 높여 하이브리드·멀티클라우드 환경으로의 환경에도 적합하다. 

이외에 격리 공간의 마련도 지능형 공격을 방어하는 방법이라고 제안된다. 지원이 종료된 플래시를 이용하는 경우, 고위험 전용 네트워크에서 구동되도록 하거나 샌드박스처럼 사용자와 앱이 별도의 격리 공간에서 실행되도록 함으로써 보안 위험을 낮출 수 있다.

가트너는 랜섬웨어 등 사이버 위협 완화를 위해 임직원 보안 교육과 평가의 중요성도 언급하고 있다. 완벽한 기술이나 보안 정책도 사용자가 이를 지키지 않으면, 허점을 발생시킬 수 있으며 사이버 범죄자 또한 이러한 약한고리를 노려 침투하고 피해를 입힌다. 보안에 대한 임직원 교육과 보안 평가를 통해 보안 위협을 줄어야 한다는 것이다.

◆“물론, 100% 방어는 불가능…대안은?”
사이버보안 강화의 노력과 더불어 데이터 보호전략을 재점검할 필요가 있다. 어떤 최신 보안기술과 솔루션도 100%의 완벽한 방어를 자신할 수 없다. 알려지지 않은 멀웨어, 보안패치 전의 최신 취약점을 악용한 제로데이 공격이 보안의 장벽을 뚫어낼 수 있다. 

이때 데이터 보호 전략은 랜섬웨어 피해를 최소화할 수 있다. 백업 데이터를 통해 랜섬웨어 감염 이전의 깨끗한 상태로 복구함으로써 랜섬웨어가 기업 비즈니스에 치명적 상처를 입지 않게 하는 것으로, 데이터 보호가 랜섬웨어에 대한 최후의 방어선으로 역할한다.

랜섬웨어가 기승을 부림에 따라 주요 데이터 보호기업도 랜섬웨어 대응기능을 속속 추가해 발표하고 있다.

스토리지나 백업·복구 데이터 저장 시 랜섬웨어 위협 여부를 판별하는 무결성검증 기능이나 백업 데이터가 변경되지 않도록 하는 변조불가 기능, 혹은 외부 네트워크와의 완벽 격리를 통해 백업 데이터를 보호하는 격리형 데이터 보호 등을 통해 랜섬웨어 감염이 되더라도 범죄자의 위협에 굴복하지 않을 수 있게 하는 것이다. 

관련 업계의 기업들도 발빠르게 대응하고 있다. 베리타스는 최신 ‘넷백업10’에서 인공지능(AI)를 기반으로 악성코드, 이상징후를 탐지할 수 있게 해 데이터 백업·복구의 신뢰성을 높였으며, 데이터 불변 기능도 아마존웹서비스(AWS), MS애저 등의 클라우드 환경까지 확대했다.

델테크놀로지스도 자동으로 동작하는 안전한 에어갭 공간에 물리·논리적으로 중요 데이터를 격리하는 ‘델 EMC 파워프로텍트 사이버 리커버리'를 AWS 마켓플레이스에 선보여 클라우드 환경의 사이버 금고를 제공하고 있다.

데이터 보호 전략에는 복구까지 포함해야 한다. 한국인터넷진흥원(KISA)는 랜섬웨어 대응방안에서 데이터를 복구 훈련의 중요성을 강조하고 있다. 사고가 발생하면 빠르게 데이터를 복구해 피해를 최소화하기 위해서는 훈련이 반드시 필요하며, 백업 데이터의 안전한 관리 여부도 점검해야 한다는 설명이다.

가트너도 랜섬웨어의 위험 완화 방안으로 데이터 스토리지 정책 평가와 더불어 랜섬웨어 공격에 대응하기 위한 계획 검토가 필요하다고 언급하고 있다.

◆기업 존폐까지 위협하는 랜섬웨어
한 번 랜섬웨어가 발생한 기업의 피해는 막심하다. 팔로알토네트웍스는 지난해 상반기 랜섬웨어 피해 기업들은 평균 530만달러를 요구받아 평균 57만달러를 지불한 것으로 집계했다.

카세야 공격그룹은 기존 최대액이었던 3천만달러보다 2배 이상 많은 7천만달러를 복호화키 전달 대가로 요구, 랜섬웨어 범죄의 요구 최고액도 경신됐다. 

공격집단에게 건낸 금액 외에도 기업은 비즈니스 중단에 따른 손실비용은 물론, 기업 이미지 손상까지 감수해야 한다. 더 큰 문제는 랜섬웨어 공격집단과의 협상과 몸값지불을 통한 해결이 법적으로 규제될 수 있다는 점이다.

가트너는 랜섬웨어 공격자와의 협상, 몸값지불을 규제하는 국가가 2025년에는 30%까지 증가할 것으로 예측하고 있다. 기업들이 직접적인 금전 손실을 감수하고, 범죄자와 협상하는 이유는 비즈니스 중단의 피해가 크기 때문이다.

협상과 몸값지불이 법적으로 규제될 경우, 비즈니스 중단 손실은 눈덩이처럼 불어날 것이 분명하며, 기업 존폐까지 이어질 수 있다. 

랜섬웨어 공격은 향후 더 활발히 전개될 것이라는 전망도 나온다. 소닉월에 따르면, 지난해 전년비 2배 이상 증가한 6억2000만건의 랜섬웨어 공격을 탐지했으며, 사이버시큐리티벤처는 11초당 1회의 랜섬웨어 공격 발생을 집계할 정도다.

특히 각종 조사에서 아시아 지역이 랜섬웨어를 비롯한 사이버공격의 주요 타깃으로 지목되는 가운데 KISA 랜섬웨어 피해신고 건수도 계속해서 증가하는 모습을 나타내고 있어 각별한 대비책이 요구된다.