"해커는 랜섬웨어 공격을 하기 위해 평균 1년 이상의 시간을 들입니다. 바꿔말하면 기업이 랜섬웨어 피해를 막을 수 있는 시간도 있다는 것입니다."

이재광 한국인터넷진흥원(KISA) 종합분석팀장은 1일 랜섬웨어 사고 현장의 공통점에 대해 이같이 말했다. 공격자인 해커가 공을 들이는 시간이 긴 만큼, 방어자 역시 같은 시간을 가졌다는 것이다.

이 팀장은 랜섬웨어 사고 현장에는 발견할 수 있는 4가지 특징이 있다고 말했다. 구체적으로는 ▲공격에 상당한 시간이 걸린다는 점 ▲공격자가 거점을 구축한다는 점 ▲백업이 있다고 해서 방어하기에 충분하지 않다는 점 ▲원인을 분석하는 것이 중요하다는 점 등이다.

이재광 한국인터넷진흥원(KISA) 종합분석팀장 / KISA
이재광 한국인터넷진흥원(KISA) 종합분석팀장 / KISA
이 팀장은 "최근 랜섬웨어 사고는 기업 타깃형 공격(APT)의 결과물이고, 최초 침투에서 거점 확보 후 랜섬웨어를 실행하기까지 1년 이상이 소요된다"며 "전체 공격 과정을 들여다 보면, 공격시 상당한 시간이 걸린다"고 말했다.

이어 "해커는 시스템에 접근할 수 있는 권한을 가진 관리자 PC와 다양한 시스템이 연결된 중앙관리 솔루션을 주 타깃으로 한다"며 "최근에는 기업의 관리가 소홀한 테스트 서버를 노리는 경우도 많다"고 경고했다.

인터넷 연결이 돼 있거나 동일계정으로 시스템을 관리하는 경우, 관리자의 등을 노린 백업 데이터 감염이 발생할 수 있다.

이 팀장은 "백업을 이용해 데이터를 완전히 복구하는 데는 20~30일쯤 걸린다"며 "서버는 영속성이 중요한데, 이런 리스크가 발생할 수 있는 만큼 관리에 신경써야 한다"고 말했다.

해커의 공격을 받은 시스템을 초기화할 경우 원인 분석에 사용하는 로그가 유실될 수 있는 만큼, 관계 기관에 신고한 후 섣불리 시스템을 포맷해서는 안 된다고 조언했다. 그래야 해커의 침투 경로와 활동 범위를 식별해 재발을 방지할 수 있기 때문이다.

랜섬웨어 대상 넓어지고 공격도 고도화
KISA에 따르면 최근 국내외 구분 없이 많이 랜섬웨어가 늘고 있다. 랜섬웨어 공격은 예전에도 발생했지만, 최근 해킹 대상이 확 늘어나는 추세다. 해커의 공격 형태도 더 고도화된다.

이 팀장은 "해킹 대상은 개인 PC에서 기업시스템으로, 더 나아가 사회기반시설과 생활필수 산업으로 확대되고 있다"며 "데이터 암호화, 개인정보 등 내부데이터 유출, 디도스 공격 등을 결합한 3중 협박도 유행하고 있다"고 말했다.

이어 "다크웹과 가상자산이 합쳐진 서비스형랜섬웨어(RaaS)가 생겨나며 별도의 전문지식 없이도 비용만 지급하면 랜섬웨어 공격을 하는 경우도 늘어나는 추세다"고 말했다.

그는 국내 발생한 랜섬웨어 해킹 사고 사례에 비추어 대응 방안으로 ▲운영체제 및 소프트웨어 최신 보안패치 적용▲관리자 IP 접근제어 및 다중인증 설정 ▲인터넷 오픈 서버 보안점검 ▲악성 이메일 대응 체계 강화 ▲중요 관리자 PC 망분리 ▲관리자 PC 및 AD 운영 관련 보안점검 강화 등을 추천했다.

몸값 협상은 NO

이 팀장은 기업이 정보통신망법 상 불이익을 받을까 봐 신고를 기피하고 순간의 위기를 모면하기 위해 해커에게 몸값을 줘선 안 된다고 강조했다.

그는 "협박에 응하면 돈을 주는 기업이라는 소문이 나면 해커들의 주요 타깃이 될 수 있고, 돈을 주더라도 데이터 복구를 해주지 않는 사례도 의외로 많기 때문에 협상에 응해선 안 된다"며 "데이터 복구를 받게 되더라도 원인을 제대로 살피지 않을 경우 사태가 재발할 수 있다"고 말했다.

또 "기업의 피해는 고객의 피해로 이어지는 만큼 과징금이나 벌금을 기피해 신고하지 않기 보다 조사를 잘 진행한 후 재발을 방지하는 것이 맞다고 본다"며 "기업 신뢰와 연결된 부분이기도 하다"고 덧붙였다.

가상자산 추적의 어려움에 대해 이 팀장은 "현재 과기정통부에서 가상자산 추적 R&D를 연구하고 있다"며 "국제적으로도 많이 연구되고 있기 때문에 향후 연구 성과가 있을 것으로 기대된다"고 말했다.

류은주 기자 riswell@chosunbiz.com