진화하는 사이버 공격, 디지털 세계 팬데믹 ‘랜섬웨어’
코로나19 사태의 장기화 및 기업과 기관의 디지털 전환이 가속화됨에 따라 원격근무나 재택근무가 일상화되었다.
이런 상황과 맞물려 문제로 대두된 것이 바로 ‘랜섬웨어’다.
보안이 상대적으로 취약한 원격·재택환경을 노린 공격이 늘면서 피해가 빠르게 확산되고 있는 것이다.
특히 암호화폐 시장이 성장하면서 금전을 목적으로 한 랜섬웨어의 공격이 이전보다 훨씬 정교화된 상황으로, 국내외 전반에서 피해 규모가 상당히 커지고 있다.
랜섬웨어는 올해도 세계 기업과 정부, 사회를 위협하는 요소로 꼽히고 있다.
랜섬웨어란?
랜섬웨어는 몸값을 의미하는 ‘랜섬’과 소프트웨어의 ‘웨어’ 의 합성어로, 데이터를 볼모로 잡고 데이터 주인에게 돈을 요구하는, 일종의 유괴와 비슷한 공격 수법이라고 할 수 있다.
시스템 화면 또는 파일을 암호화해 사용자의 시스템 이용을 제한해서 몸값을 요구하는 일종의 악성 소프트웨어이기 때문이다.
만일 피해자가 금전 요구에 응하지 않을 경우, 암호화한 파일을 삭제하거나 다크웹 등을 통해 정보를 무단 유통, 판매하여 2차 피해를 유발한다.
코로나 19 이후 사이버 침해사고 트랜드 변화
랜섬웨어는 주로 시스템, SW 취약점 등 보안 취약점, 악성코드가 삽입된 홈페이지 방문, 이용자를 속이는 이메일 첨부파일 등을 이용한 사회공학적 공격기법 등 다양한 경로를 통해
전파·감염되며, 감염 시 해커들에게 몸값을 지불한 뒤에야 다시 운영이 가능하게 만든다.
하지만 이 과정에서 데이터가 유출되거나 완전히 파괴되는 경우도 발생하기 때문에 피해 복구를 위해선 사전에 백업된 데이터를 활용해 일부 공개된 복구도구를 활용하는 경우가 있으나,
백업 데이터가 없는 경우 대부분 복구가 어려운 것이 현실이다.
뿐만 아니라 보이스 피싱 범죄자들이 조직화, 분업화를 통해 범죄수익을 극대화하고 있는 것과 유사하게, 랜섬웨어 공격자 또한 수익 극대화를 위해 세부 역할을 분배하여 조직화가
진행되고 있다.
랜섬웨어로 금전적 수익을 얻을 수 있다는 것이 알려지면서, 랜섬웨어를 찾는 수요가 생기게 되었고, 이는 랜섬웨어를 제작하여 공급·판매하는 방식인 RaaS(Ransomware as a Service)의
등장을 촉발하게 된 것이다.
게다가 피해 기업을 전문적으로 협박하고 언어장벽 등의 문제를 넘어 협상을 진행하기 위한 협상전문가까지 등장했다.
랜섬웨어 국·내외 피해 사례
<국내 피해 사례>
▶ (유통기업 피해) 백화점, 아울렛 등 OO그룹의 주요 매장이 클롭(Clop) 랜섬웨어 조직의 공격으로 영업 중단되는 사태 발생(’20.11월)
• 랜섬웨어 감염 시스템은 일부 매장의 포스(POS) 단말기 등과 연동되어, 백화점과 아울렛의 매장 50여개 중 23개의 운영에 영향을 미침
▶ (제조업 피해) 부품 제조기업의 서버 및 직원 PC 데이터 암호화(1차 공격), 임직원 개인정보, 해외사업 데이터 다크웹 유출(2차 공격), DDoS 공격으로 홈페이지 마비(3차 공격)(’21.5월)
▶ (병원 피해) 국내 성형외과 의원이 랜섬웨어 공격을 받아, 병원 고객연락처를 탈취한 공격자는 고객들과 직접 연락을 취한 정황이 파악되는 등 2차 피해 발생, 해당 병원은 홈페이지 상에 피해사실을 공지하고, 경찰 등 수사기관에 사건을 의뢰(’21.5월)
▶ (중공업 피해) 해커에 의한 랜섬웨어 공격으로 데이터를 주고받는 네트워크 전산망이 마비되어 설계 등 일부 공정 운영 차질(’22.1월)
<국외 피해 사례>
▶ (미국) 최대 송유관 업체인 콜로니얼 파이프라인社가 랜섬웨어 공격을 받아 시스템 마비로 인해 송유관 가동이 전면 중단(’21.5월)
▶ (독일) 뒤셀도르프대 병원 서버 30대가 랜섬웨어 공격으로 인해 마비, 병원 IT 서비스 운용이 불가능하게 되어, 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망(’20.9월)
▶ (영국) 영국 ‘국민건강서비스(NHS)’가 워너크라이 공격을 당해 당시 16개 병원 폐쇄됐으며, 최소 6,900건에 달하는 국민건강서비스 진료예약이 취소(’17.5월)
▶ (스페인) 스페인 정보 노동기관 SEPE가 렌섬웨어 공격을 받아 네트워크 시스템이 암호화되어 일부 서비스가 중지되는 피해 발생하였으나 개인 및 급여정보 등이 탈취되지는 않음(’21.3월)
▶ (네덜란드) 네덜란드 연구위원회 NWO(Netherlands Organization for Scientific Research)가 랜섬웨어 공격으로 인해 내부 자료가 탈취되고 연구 보조금 관련업무가 중단(’21.2월)
▶ (일본) 후지필름社가 랜섬웨어 공격을 받아, 공격 확산을 막기 위해 일부 네트워크를 차단하는 등의 조치를 통해 손상된 시스템을 복구하였다고 밝히고, 외부로의 정보 유출은 없다고 발표(’21.6월)
주요 국가 사이버 침해사고 대응 현황
2020년 전세계 랜섬웨어 발생 건수는 약 3억 4백만 건으로 추산되며, 이는 2019년 대비 61.8% 증가한 규모다.
2031년에는 전세계 랜섬웨어 피해규모가 304조 원에 달할 것으로 전망되고 있다.
때문에 개인 사용자 뿐 아니라 기업 및 국가 차원에서의 철저한 예방과 대응책 마련이 시급하다.
이에 세계 주요 국가들은 국가 차원의 디지털 안전 정책 마련을 진행 중에 있다.
미국은 바이든 대통령이 정부와 민간 분야의 사이버보안 역량을 강화하는 내용의 행정명령에 서명한 데 이어, 교통안전국은 주요 송유관 시설 소유자와 운영자를 대상으로 보안지침을 발표했다.
또한 최근 미국에서 발생한 사이버 테러의 배후를 러시아로 지목하고 푸틴에게 랜섬웨어 조치 요구 후, 랜섬웨어 방지 대책을 발표했다.
유럽 연합은 디지털 기술·인프라 의존도 증가 및 사이버 범죄에 대응하기 위해 유럽 연합 보안 전략을 발표하고 미래 보안 환경을 구축하고 있다.
영국은 안전기술 산업 육성을 중심으로 이용자의 사이버 안전 도모를 위해 사이버보안 지침을 마련했으며, 호주는 사이버안보 전략을 발표하고 사이버보안 분야 투자 확대를 통해
국가 사이버 보안수준을 강화하고 있다.
일본과 중국 또한 사이버와 데이터 보안 대책을 발표한 바 있다.
국내 랜섬웨어 대응 현황
우리나라는 랜섬웨어로부터 피해를 최소화하기 위한 예방·대응·기반의 3단계전략으로 구성된 「랜섬웨어 대응 강화방안」을 아래와 같이 수립·발표했다.
<전략1> 국가중요시설-기업-국민 수요자별 선제적 예방
①튼튼한 국가중요시설 관리 체계 구축, ②중소기업 보안역량 지원 강화,
③대국민 랜섬웨어 면역력 향성
<전략2> 국가중요시설-기업-국민 수요자별 선제적 예방
①정보공유·협력 채널 강화, ②확산방지 및 신속한 피해지원,
③2차 피해 방지를 위한 사이버 공격 수사 강화
<전략3> 진화하는 랜섬웨어에 대한 핵심 대응 역량 제고
①랜섬웨어 등 사이버공격 대응 핵심기술력 확보,
②사이버보안 생태계 강화 기반 마련
▶랜섬웨어 정보를 통합 제공하는 한국형 ‘Stop Ransomware’ 사이트 오픈·운영
*랜섬웨어 감염 시 대응방안부터 복구 프로그램 사이트 링크까지 랜섬웨어 정보 일괄 제공
참고 링크: https://boho.or.kr/ransom/main.do
▲출처: Stop Ransomware 공식 홈페이지 메인 캡쳐본▲
정책 추진 효과의 지속적인 관리·보완 필요성
앞으로 우리나라는 정책 추진효과의 극대화를 위해 「랜섬웨어 대응 강화방안」 발표 후 강화방안이 적절히 추진되고 있는지,
철저한 관리와 함께 동향 등 변화에 따른 기존 정책 보완의 지속 관리가 중요하다.
아울러 지속적인 추진에도 불구하고 현재와 같은 피해상황이 지속 될 경우, 이용자 보호와 랜섬웨어 대응 강화 등 추가적인 보완대책의 마련·추진 등도 검토가 필요하다.