랜섬웨어 악명이 나날이 높아가고 있다. 피해를 줄이기 위해서는 본질을 파악해 대처하는 `지피지기 백전불태(知彼知己 百戰不殆)` 전략이 요구된다.
먼저 랜섬웨어를 단순한 악성코드 종류로 접근해서는 피해를 줄일 수 없다. 비즈니스 모델로서 랜섬웨어는 사이버 범죄 조직의 수익성 높은 사업이다. 표적에 막대한 운영 손실을 안기는 효과 높은 공격 수단이 된다. 랜섬웨어는 피해자를 가리지 않아(victim agnostic) 전 세계 모든 산업군의 크고 작은 기업은 물론 일반 개인 소비자까지도 잠재 표적이다.
다양한 형태로 진화를 거듭해 온 랜섬웨어는 특히 최근 3년 동안 빠른 속도로 공격의 주요 구성 요소에 대한 완성도를 높였다.
랜섬웨어 공격이 성공하기 위해서는 5가지 단계를 거친다. 먼저 표적 시스템이나 디바이스 제어 기능을 확보한다. 표적이 된 기기 소유자가 부분 또는 전체 시스템에 접근하지 못하도록 막는다. 모든 조치를 끝낸 후 기기 소유자에게 랜섬웨어 공격 대상이 됐음을 알리고 지불 방법을 명시한다. 입금이 확인되면 원래 기기 소유자에게 모든 제어의 권한을 넘긴다.
이 단계 가운데 하나라도 완수되지 않으면 랜섬웨어 공격은 비즈니스로서 실패다. 랜섬웨어의 기본 개념은 이미 십수년 전부터 존재해 왔지만 기술과 기능 측면에서 앞의 단계에 모두 부합하면서 이를 대규모로 실행시킬 수 있게 된 것은 불과 몇 년 되지 않았다.
팔로알토네트웍스는 랜섬웨어 역사와 비즈니스 모델로 정착하게 된 경위를 분석, 앞으로 어떤 방향으로 진화할지 세 가지 결론을 도출했다.
표적형 랜섬웨어 공격이 급속히 확산한다. 랜섬웨어는 이미 윈도 컴퓨터에서 안드로이드 디바이스로 이동해 가는 추세다. 최근 맥 OS X도 공격당했다. 어떤 시스템도, 디바이스도 완벽한 면역 체계를 갖추지 못하는 이상 랜섬웨어의 잠재 표적이다.
이러한 문제는 사물인터넷(IoT) 시대와 함께 부각된다. 인터넷에 연결된 냉장고를 해킹한다고 해서 당장 수익원이 되진 않는다. 랜섬웨어 비즈니스 모델에서는 공격자가 앞의 5단계를 거쳐 공격을 실행한다. 즉 원격으로 냉각 시스템을 제어해 작동을 중단시킨 뒤 피해자가 입금을 한 뒤에야 다시 냉장고를 사용할 수 있도록 해 준다.
`랜섬(몸값)`은 더욱더 높아질 것으로 전망된다. 단일 시스템 랜섬웨어는 보통 500달러(60만원)를 요구하는 것으로 알려져 있다. 몸값은 훨씬 더 높아질 수 있다. 공격자는 침입한 시스템에 자료 가치가 높은 정보가 저장돼 있거나 표적이 더 높은 금액을 지불할 수 있을 것으로 판단되면 이에 맞춰 요구 금액을 높이기도 한다. 실제로 올해 초 대형 병원에 1만 달러(1200만원) 이상의 금액을 요구한 하이프로파일 랜섬웨어 사례 신고가 접수됐다.
예측 가능한 변화는 표적형 공격으로의 발전이다. 특정 표적을 정해 네트워크에 침입하는 방식은 공격자에게 여러 가지 이점을 제공한다. 보통은 갈취한 정보를 판매하거나 또 다른 공격에 활용한다. 이를 위해서는 현금화하기 위한 별도의 계획이나 추가 시스템이 요구된다. 네트워크 침입 행위만으로 수익을 내기 어려운 공격자에게 표적형 랜섬웨어 공격은 매력을 끄는 대안이다. 정보 가치가 명확한 표적을 정해 네트워크에 진입하면 고부가가치 파일, 데이터베이스(DB), 백업 시스템을 식별하고 일시에 모든 것을 암호화해 높은 수익이 보장된다.
랜섬웨어를 단순 해킹으로 취급해 위협이 발생했을 때 이를 신속하게 탐지해 대응해야 한다는 사후 대응 방안으로는 선제 방어를 포기하는 것과 같다. 랜섬웨어는 비즈니스 모델로 완성도를 높여 가는 만큼 데이터 인질범으로부터 기업과 조직을 지켜 내기 위해서는 정확한 진단과 분석을 통해 리스크 노출을 줄이는데 집중해야 한다.
백업 복구 체계 전략을 갖추는 것은 물론 기업 내 전체 네트워크에 대한 폭넓은 가시성을 확보해야 한다. 네트워크를 세분화하고, 접근을 제어하며, 알려진 악성코드는 곧바로 중단시킨다. 알려지지 않은 악성코드는 발생 즉시 신속하게 탐지하고 대응한다. 선제 대응 체계 구축이 뒷받침돼야 한다. 이와 더불어 최신 악성코드를 주의 깊게 살피고, 관계 부처 법령에 따른 계획을 수립한다.
사이버 보안은 국가와 기업 최고 경영자가 생존을 걸고 논의해야 할 주제다. 공격은 끊임없이 진화하고 있는 상황에서 수동 대응으로는 위협에 노출된 사실 탐지조차 어렵다.
치료보다는 예방이 우선이라는 생각으로 네트워크를 세분화해 랜섬웨어 확산의 단계별 연결고리를 끊고, 알려졌거나 알려지지 않은 악성코드도 신속히 탐지해 대응하는 선제 방어 전략에 주목해야 할 때다.
최원식 팔로알토네트웍스코리아 대표 cchoi@paloaltonetworks.com