침해사고/위협동향

[딜라이트닷넷] ‘이중갈취’로 진화한 랜섬웨어, 디지털 전환의 걸림돌

이종현
[IT전문 미디어블로그=딜라이트닷넷]

랜섬웨어는 디지털 시스템에 침입해 데이터를 암호화한 뒤 몸값을 요구하는 악성코드 프로그램입니다. 몸값을 뜻하는 랜섬(Ransom)과 악성코드(Malware)의 합성어로, 오늘날 흔히 볼 수 있는 사이버공격 유형 중 하나입니다.

랜섬웨어가 일반 대중에게 각인된 것은 2017년 전 세계를 휩쓴 ‘워너크라이’ 사태입니다. 마이크로소프트(MS) 윈도 이용자를 대상으로 대략 확산된 이 공격은 150개국 20만대 이상의 PC를 감염시킨 것으로 알려졌습니다.

워너크라이 사태 이후 전 세계 기업·기관들은 랜섬웨어에 대비하기 위해 백업에 열을 올렸습니다. 만약 랜섬웨어에 감염되더라도, 굳이 해커와 협상하지 않고 백업해둔 데이터를 불러오는 방식으로 대응할 수 있었습니다.

랜섬웨어을 막는 가장 효율적인 방법이 백업이라는 이미지가 자리 잡을 즈음, 해커들의 공격 수법이 바뀌었습니다. 데이터를 암호화하는 데 그쳤던 과거와 달리 데이터를 직접 훔쳐내는, 암호화+도난의 이중 공격을 수행하기 시작했습니다.

백업은 더 이상 랜섬웨어에 완벽히 대응하는 솔루션이 아니게 됐습니다. 최근 해커는 암호화한 데이터를 복구하는 데 금전을 요구하는 동시에, 협상에 응하지 않을 경우 훔친 데이터를 다크웹 등에 공개할 것이라고 협박하는 ‘이중 갈취’를 하는 중입니다.

특히 이와 같은 공격은 암호화폐의 가격이 급등하면서 더욱 확산되기 시작했습니다. 해커들은 일반 화폐에 비해 추적이 어렵다는 점을 이용해 암호화폐를 요구하는 경우가 많은데, 암호화폐의 가치가 급등하면서 해커들이 더 적극적으로 공격 활동을 펼치기 시작했습니다.

해커들은 더 높은 수익을 위해 지속해서 새로운 유형의 공격을 하고 있습니다. 미국 정보기술(IT) 관리 기업 ‘카세야(Kaseya)’를 겨냥한 공격이 대표적인 사례입니다.

러시아 해커 조직으로 알려진 레빌(REvil)은 카세야의 원격 모니터링 및 관리 소프트웨어(SW) ‘VSA’를 대상으로 랜섬웨어 공격을 수행했습니다. 해당 SW는 전 세계 많은 기업이 이용하는 제품으로, 공격자는 카세야 하나를 공격했음에도 수백, 수천개의 기업을 공격한 것과 동등한 피해를 양산시켰습니다. 이와 같은 공격을 ‘공급망 공격’이라고 합니다.

가령 해커가 마이크로소프트(MS)를 공격, 윈도 업데이트 서버에 랜섬웨어를 심었다면 전 세계 윈도 이용자는 업데이트 과정에서 랜섬웨어에 감염되게 되는, 상상하는 것만으로 끔직한 시나리오가 가능합니다

많은 보안 전문가들은 코로나19가 촉발한 디지털 전환을 가로막는 위협 요소 중 하나로 랜섬웨어를 꼽고 있습니다. 회사 직원 중 한 명이 무심코 메일을 열었다가 전사의 시스템이 감염되는 등의 전파가 이뤄질 수도 있기 때문입니다.

디지털 환경에서의 악성코드는 코로나19와 같은 현실 속 감염병과는 비교할 수 없을 정도로 전파력이 높습니다. 백신을 맞고, 거리두기를 하고, 마스크를 쓰더라도 코로나19를 완벽히 막아낼 수는 없는 것처럼, 많은 투자를 하더라도 랜섬웨어나 악성코드를 100% 예방하지는 못합니다. 오늘날 디지털 전환을 계획 중인 기업들이 망설일 수밖에 없는 이유입니다.

[이종현 기자 블로그=데이터 가드]
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널