랜섬웨어뉴스

RanCERT 접수 사고 매년 ↑…"귀신 랜섬 탈취 데이터 개인정보 포함"

[아이뉴스24 김혜경 기자] "한 국내기업은 취약점 진단 결과 문제가 발견되지 않았지만 15일 후 '귀신(Gwisin)' 랜섬웨어 공격을 받았다. 현재 대응 체계로는 감당할 수 없을 정도로 공격 기법이 빠르게 진화하고 있는 상황이다. 랜섬웨어는 '악성코드의 미래'이자 '해커의 꿈'이다. 신·변종 랜섬웨어에 신속하게 대응할 수 있도록 보안인증 제도의 전면 재검토도 필요하다."

이형택 이노티움 대표가 이달초 서울 구로구 본사에서 진행한 본지와의 인터뷰에 앞서 사진촬영을 하고 있다. [사진=이노티움] 

이달초 서울 구로구 이노티움 본사에서 만난 이형택 대표는 이같이 강조했다. 이노티움은 2015년부터 민간단체인 '한국랜섬웨어침해대응센터(RanCERT)'를 운영하고 있으며, 이 대표가 센터장을 맡고 있다. 랜섬웨어 침해사고 신고접수와 초기 대응, 진단 등을 지원한다.

이 대표는 "랜섬웨어는 데이터베이스(DB) 서버 표적화로 진화해 클라우드, 스마트공장 등을 겨냥하는 등 최악의 사이버보안 위협으로 자리 잡았다"며 "RanCERT에 접수된 랜섬웨어 침해사고는 연간 2천~4천 건에 달하고 매년 피해 규모는 늘어나고 있다"고 설명했다.

이 대표는 최근 주의해야 할 랜섬웨어 중 하나로 귀신 랜섬웨어를 꼽았다. 지난해 하반기 국내에서 처음 탐지됐으며, 다른 랜섬웨어 그룹과 비교했을 때 상당히 높은 수준의 공격 기법과 협상 기술을 보유하고 있다고 평가했다.

올해까지 제조·금융·제약·헬스케어 분야 등에서 총 5곳이 피해를 입은 것으로 알려졌다. RanCERT가 파악한 귀신 랜섬웨어 관련 최초 피해는 지난해 8월 발생했고, 같은해 9월 한국인터넷진흥원(KISA)에도 피해가 접수된 바 있다. 현재까지 알려진 최근 공격 사례는 지난 7월 말이다.

공격자가 ▲한국 기업을 타깃으로 한다는 점 ▲한글 키보드 사용에 능숙하다는 점 ▲국내 사이버보안 유관기관을 랜섬노트(협박 메시지)에 언급했다는 점 등으로 미뤄봤을 때 한국어를 사용하는 조직이거나 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다. 시스템 침투 후 짧게는 45일, 길게는 90일에 걸쳐 기업을 탐지한다.

이 대표는 "올해 2월 발생한 피해 사례를 살펴보면 공격자들은 협상 과정에서 보안 담당자보다 해당 기업의 시스템을 더 잘 알고 있다고 언급하기도 했다"며 "목표 기업에 대한 이해도도 상당한 것으로 추정되는데 매출 규모 등을 분석한 후 자신들의 요구보다 낮은 수준의 금액을 제시할 경우 타사와 비교하는 방식으로 협박하기도 한다"고 말했다.

귀신 랜섬웨어 그룹은 3단계에 걸쳐 금전을 요구한다. 첫 번째는 복호화 키와 프로그램은 제공하지만 데이터는 돌려주지 않으며, 백도어도 삭제 불가능하다. 두 번째는 데이터 회수와 백도어 삭제가 가능하며, 세 번째는 취약점 분석 보고서를 제공한다.

복수의 암호화 파일을 생성한다는 점과 탈취 데이터에 개인정보가 포함됐다는 점도 주목해야 한다고 이 대표는 강조했다. 그는 "이들은 암호화 파일을 단수가 아닌 확장자 2개의 복수로 만드는데 파일이 복구되지 않을 경우를 대비한 장치로 보인다"며 "복호화 비용을 요구사항에 맞게 지불한다면 애프터 서비스는 확실하게 지원한다는 것이 이들의 전략"이라고 설명했다.

또 "이들 조직은 휴일 새벽 1시부터 4시까지 공격을 감행했는데 평균 2TB의 데이터를 빼돌렸다"며 "이들이 탈취한 데이터 대부분은 설계도면 등 용량이 큰 자료보다는 개인정보가 많았다"고 분석했다. 피해기업만 협박하는 것이 아닌 탈취한 개인정보를 이용해 개별 고객에 문자를 발송한다는 점도 특징으로 꼽았다.

이 대표는 현재까지 알려진 사례 외에도 피해기업이 더 있을 것으로 추정했다. 그는 "올해 초 한 피해기업의 경우 이들 조직이 원하는 수준의 몸값보다 낮은 금액을 제시한 바 있다. 공격자는 당시 협상과정에서 자신에게 모욕감을 줬다며 '당신들 기업보다 규모가 적은 곳도 더 많은 비용을 지불했다'고 언급했다"고 말했다.

백업은 필수지만 일반백업으로는 소용없다는 것이 이 대표의 설명이다. 그는 "현재 일반백업은 100% 삭제되고 있으므로 랜섬웨어 공격을 방어할 수 있는 보안백업이 필요하다"고 강조했다.

이어 "향후 보안 솔루션도 스스로 문제점을 파악하고 업데이트를 실행하는 등 머신러닝(ML) 기반의 플랫폼 형태로 발전해야 한다"며 "자율주행 기술 기반 모빌리티처럼 솔루션도 '자율운영' 방향으로 고도화될 것"이라고 덧붙였다.

[ 아이뉴스24 ] 김혜경 기자원문보기