이노티움과 명정보기술, 트렌드마이크로가 손잡고 랜섬웨어 침해대응 글로벌 방어군을 결성했다.
이노티움(대표 이형택)은 데이터 보안, 명정보기술(대표 이명재)은 데이터 복구 전문회사다. 글로벌 보안 기업 트렌드마이크로가 가세해 랜섬웨어 예방에서 침해 사고 후 대응까지 원스톱 처리한다.
세 회사는 11일 서울 구로 랜섬웨어침해대응센터에서 랜섬웨어 침해 예방과 공동 대응에 관한 업무협약을 맺었다. 3사는 이노티움이 설립한 랜섬웨어침해대응센터를 공동 운영한다. 랜섬웨어 침해사고 신고 접수와 초기 대응 지원, 유포 랜섬웨어 기술분석, 피해복구와 예방을 위한 컨설팅, 침해사고 통계·분석업무를 수행한다.
악성코드를 분석해 공격자를 추적하고 보안과 백업 융합보안기술을 개발한다. 랜섬웨어에 침해되지 않는 외장형 저장장치를 개발할 계획이다.
이형택 이노티움 대표는 “지난 2월 국내 처음으로 ‘랜섬웨어침해대응센터’를 열고 현재까지 약 1500건에 대해 침해대응과 사후관리를 지원했지만 기업 혼자 랜섬웨어를 막기에는 역부족이었다”며 “세 회사가 힘을 합쳐 랜섬웨어에 효과적으로 대처할 것”이라고 말했다.
김용민 한국트렌드마이크로 본부장은 “트렌드마이크로는 랜섬웨어 위협에 대비해 행동유형 규칙성을 파악해 행위기반 모니터링 기술로 실행을 강제 종료하는 기능을 구현한다”고 설명했다.
이명재 명정보기술 대표는 “랜섬웨어는 사전 백업을 통한 예방이 최선책이지만 암호화되면 최단시간 안에 복구할 수 있도록 노력할 것”이라고 말했다.
연합군까지 결성한 것은 랜섬웨어 진화 속도가 빠른 탓이다. 속수무책으로 피해가 급증했다. 랜섬웨어 공격자는 다양한 변종과 신종을 개발하고, 침해경로를 이메일 첨부파일 방식에서 인터넷 접속만으로 감염되는 방식으로 확대했다. 일부에서는 다단계 해커 연합 형태로 랜섬웨어를 확산시켰다.
9월 말부터 발견된 랜섬웨어 ‘키메라(Chimera)’는 피해자 PC에 저장된 사진과 비디오 파일을 가져가 공개한다는 협박형이다. 분석결과 실제 랜섬웨어에 감염된 PC에서 특정 파일을 가져가는 기능은 없다.
키메라는 기존 문서나 그림 파일 등만 암호화하던 랜섬웨어와 달리 프로그램 실행파일(exe)이나 dll 파일까지 암호화한다. 대부분 공격자는 사용자에게 대가를 받으려고 운용체계(OS) 관련 파일은 건드리지 않는다. 키메라는 독특하게 윈도 폴더 내 시스템 파일까지 암호화한다. PC 정상 부팅이 불가능하다.
리눅스 서버를 암호화하는 랜섬웨어 ‘리눅스엔코더1(Linux.Encoder.1)’도 등장했다. 그동안 주로 PC나 스마트폰 등 개인 기기를 노렸는데 서버까지 영역이 확대됐다. 서버가 암호화되면 기업 서비스 운영에 차질을 줘 더욱 위험하다.
리눅스엔코더1은 홈과 백업 디렉터리, 시스템 폴더와 관계된 웹 사이트 파일, 페이지, 이미지, 코드 라이브러리, 스크립트까지 모두 암호화한다. 리눅스엔코더1은 MySQL, 아파치, 루트 디렉터리 등 리눅스 웹 서버 설정을 찾는다. doc와 jpg 등 문서나 그림 파일 확장자를 암호화하는 기존 랜섬웨어와 달리 css, php, js 같은 웹 개발 환경과 관련된 확장자를 노린다.
김인순기자 insoon@etnews.com