랜섬웨어가 우리 산업계 데이터 전반을 노리고 있다. 랜섬웨어 공격 기법에 대해 해커 전지 시점에서 분석해 보자. 모두 3단계로 구성됐다. 1단계는 부유하지만 보안이 취약한 대상자를 물색한다. 세계 최초의 사물인터넷(IoT) 검색엔진 쇼단과 인공지능(AI)을 이용해서 보안에 취약한 서버 시스템을 찾아내거나 공격 목표 국가의 로컬 해커와 협업해서 대상자를 정한다. 2단계는 인터넷과 이메일 등 다양한 사회공학 해킹 툴과 고도화한 침해 기법으로, 사내 네트워크에 침투한 후 맨 처음 하는 일이 백업 시스템을 완전히 파괴한 후 서버 데이터를 차례로 암호화한다. 필요한 경우 중요한 정보를 탈취한다. 3단계는 피해 시스템에 랜섬노트를 남겨서 피해 책임자가 직접 이메일로 문의해 오면 기업의 규모와 데이터 종류에 따라 금액을 책정한 후 거래할 암호화폐를 정해 피해자에게 이메일로 회신한다. 만약 해당 금액을 지불하지 않을 경우 할인해 주거나 인터넷에 이를 유포, 협박 또는 피해자의 해외 경쟁사에 이 데이터를 판매한다.
향후 악성코드는 '기-승-전-랜섬'으로의 전환이 예측된다. 2015년에 한국랜섬웨어침해대응센터를 설립해서 2만2000건의 랜섬웨어 피해를 지원하는 한편 예방을 위해 공개 콘퍼런스 개최, 공공기관과 그룹사 대상 보안 강연, 경찰청 및 대검 사이버수사팀과의 공조로 해커 추적, 과학기술정보통신부와 한국인터넷진흥원(KISA) 지원 등을 수행했다. 이 피해를 분석해 보면 중소기업 45%, 소상공인 23%, 개인 22%, 공공기관 및 대기업 10%로 구분돼 보안의 빈익빈 부익부 현상이 심화했다.
랜섬웨어 피해자에게는 두 가지 공통점이 있다. '우리에게 이런 일이 일어날 줄 미처 몰랐다'와 '데이터가 이렇게 중요한지 미처 몰랐다'이다.
왜 한국이 쉬운 먹잇감이 됐을까. 첫째 원인은 데이터 관리 부재다. 데이터가 회사의 가장 중요한 가치 자산이라고 생각하지만 데이터 백업 및 보호는커녕 관리도 하지 않았다. 둘째 원인은 해킹 기법 고도화다. 랜섬웨어는 기존 보안 체계를 완전히 무력화시키고, 매번 새로운 형태로 공격한다. 셋째 원인은 암호화폐 등장과 결합이다. 기존에 거래를 위해 은행을 이용할 경우 추적 위험성이 있었지만 암호화폐는 해커 추적이 불가능해 안전하다.
어떻게 방어할 것인가. 기술 조치, 법 조치와 정책 조치를 통해 방어할 수 있다. 기술 방안으로는 AI 보안과 다계층 보안 기반으로 랜섬웨어 탐지 및 차단율을 대폭 높이고, 정보기술(IT) 재해를 대비하는 일반 백업을 해킹 방어까지 수행하는 보안 백업으로 전환해 안정성을 강화한다. 데이터 백업은 보안기술의 중요한 한 부문이다.
특히 중소기업에서 데이터 백업은 랜섬웨어 공격에 대비하는 것 외에도 부수 효과가 있다. 퇴직자에 의해 중요 데이터 삭제와 변형되는 심각한 문제를 해결할 수 있다.
법 조치로는 미국과 같이 해커와의 거래를 불법화해서 해커에게 가는 암호화폐를 차단해 해커들에게 한국은 수익성 없는 시장으로 인식시켜야 한다. 정책 조치로는 취약계층인 중소기업, 소상공인, 개인의 데이터를 보호하기 위해 정부의 사회문제 해결형의 투자가 필요하다.
기존 보안시스템으로는 강력하게 변신한 해커를 잡을 수 없다. 이에 따라 다수의 보안 기능을 하나로 통합해 보안성·경제성·사용성을 높이고 AI를 융합해 스마트한 보안 플랫폼을 구성, 차세대 보안의 표준으로 정해야 한다.
정부가 강력하게 추진하고 있는 스마트X 사업과 디지털 전환 사업이 실패한다면 1순위 요인은 '보안 실패'로 단언한다. 디지털 뉴딜의 각 사업 부문에 반드시 보안 요소를 기본으로 반영, 디지털 전환의 근간이 될 우리 데이터를 안전하게 지킬 수 있다.
이형택 한국랜섬웨어침해대응센터장(이노티움 대표이사·공학박사) htlee@innotium.com