#노르웨이 세계 최대 알루미늄 제조회사 '노르스크 하이드로'는 최근 랜섬웨어 피해로 공장 가동을 일시 멈췄다. 해외 모든 공장과 운영 네트워크를 분리하기 위해 자동화 공정 일부는 수동으로 전환했다. 세계 최대 알루미늄 생산업체 랜섬웨어 감염은 세계 알루미늄 가격까지 일부 상승을 가져왔다.
#이달 초 영국과 웨일즈 경찰조직 연합 웹사이트도 랜섬웨어 공격으로 기존 데이터뿐 아니라 백업 데이터까지 모두 암호화됐다. 데이터유출 여부 등 피해규모는 아직 밝혀지지 않다. 미국 조지아주 잭슨카운티도 이달 랜섬웨어 공격으로 행정업무가 마비됐다. 결국 해커에 100비트코인(약 40만달러)가량을 지불했다.
최근 랜섬웨어가 제조업, 공공기관을 목표로 공격을 감행하면서 피해가 눈덩이처럼 불어난다. 단순히 데이터를 인질로 잡고 몸값을 요구하는 것을 넘어 공장가동, 행정마비사태가 발생해 기업 대응도 어렵다. 해커 공격이 과거 개인 등을 대상으로 무차별 유포하는 방식에서 특정 목표 공격를 정하고 사회공학적 방법을 동원해 주의가 요구된다.
노르스크 하이드로는 '록커고가(LockerGoga)' 랜섬웨어에 당했다. 프랑스 엔지니어링 기업 '알트랑(Altran)'이 감염됐던 것과 같은 악성코드다. 해당 랜섬웨어는 기업을 목표로 공격한다. 랜섬노트는 개인을 지칭하는 단어가 아닌 '당신의 회사(Your Company)'라는 문구를 담고 있다. 지난해 8월 등장한 류크 랜섬웨어도 마찬가지다. LA타임스 등 신문 제조회사를 목표로 공격을 감행했으며 올해 초 미국 조지아주 잭슨카운티 등 수많은 기업을 대상으로 공격에 성공했다.
국내는 록커고가, 류크 랜섬웨어 감염사례는 발견되지 않았지만 클롭(Clop) 랜섬웨어가 주요 제조 기업을 공격해 일부 기업은 시스템 내부, 백업시스템까지 피해를 입었다.
전문가는 최근 랜섬웨어 공격이 과거와 달리 개인뿐 아니라 기업 등 특정 목표를 설정하고 공격을 감행한다고 설명한다. 시만텍에 따르면 지난해 랜섬웨어 감염은 전년 대비 20% 감소해 2013년 후 첫 하락세를 보였다. 반면에 기업 랜섬웨어 감염은 12% 증가했다. 랜섬웨어 감염 10건 중 8건 이상은 기업에 영향을 미쳤을 정도다.
이동근 한국인터넷진흥원 침해사고대응단장은 “전체적인 랜섬웨어 숫자 자체가 줄어든 것은 맞지만 범죄감소가 아닌 해커 목표의 변화를 봐야 한다”면서 “기업대상 랜섬웨어 비중이 늘고, 성공확률이 높지 않지만 큰 돈을 얻을 수 있는 방향으로 공격이 변한다”고 말했다.
공격 방식도 교묘하다. 백신우회, 파일리스 형태가 늘었다. 제조업체 등 보안 수준이 낮은 곳을 대상으로 한다. 쇼단(Shodan) 검색엔진을 이용해 원격 데스크톱 프로토콜(RDP)용 포트를 검색, 열린 포트를 찾아내기도 한다. 표적을 정하고 공격하는 방식까지 다양해졌다.
장성민 트렌드마이크로 기술지원팀 소장은 “공격 형태는 피싱이 가장 많지만 제조업체 보안 업데이트 소홀 구멍을 찾아 공격하는 사례도 많다”면서 “데이터 중요성이 높아지면서 이를 악용한 공격은 앞으로도 계속될 것”이라고 말했다.
정영일기자 jung01@etnews.com