“국산 보안 솔루션만으론 모든 공격을 파악하기 어렵다.”
비탈리 캄룩 카스퍼스키 아태 연구분석팀장은 최근 한국에서 발생한 이랜드 랜섬웨어 감염 사태와 관련해 이같이 말했다. 이랜드는 지난달 '클롭(Clop) 랜섬웨어'에 감염돼 엔씨백화점과 뉴코아아울렛 일부 점포를 휴점하는 등 피해를 입었다.
카스퍼스키 분석에 따르면 올해 아태지역에서 약 61개 업체가 '표적형 랜섬웨어'에 당한 것으로 나타났다. 랜섬웨어 공격은 과거 무작위로 이메일을 유포한 뒤 감염 조직을 갈취하던 방식에서 이제 특정 기업을 집중 공격하는 방식으로 진화했다.
카스퍼스키는 이 공격을 '랜섬웨어 2.0'이라고 이름 붙였다. 공격자는 암호화 전에 정보를 빼돌린 뒤 이를 외부에 유포하겠다고 협박하는 '압박 전술'을 펼친다. 이런 방식의 공격을 시작한 '메이즈(Maze) 랜섬웨어' 공격자는 지난 1년간 334개가 넘는 기업을 감염시켰다.
이랜드를 타격한 '클롭 랜섬웨어' 공격자는 올해 이랜드를 포함해 최소 16개 기업을 공격한 것으로 조사됐다. 캄룩 팀장은 “메이즈 랜섬웨어에 비해 클롭 랜섬웨어는 공격 기업 수도 적고 느리게 움직이는 것처럼 보이지만 공격 결과가 치명적”이라면서 “한국 기업을 공격한 사례는 거의 없었지만 우연한 계기로 이랜드를 갈취할 기회를 포착한 것으로 추정 된다”고 말했다.
지금까지 '클롭 랜섬웨어'는 주로 유럽 기업을 대상으로 유포됐으며 미국과 인도에서도 일부 피해 사례가 나왔다. 피해 기업은 내부에서 영어를 사용한다는 공통점이 있었다. 카스퍼스키는 이랜드가 어떤 이유에서 '클롭 랜섬웨어'의 눈에 포착됐는지 불투명하지만 공격자가 보다 쉽게 접근할 만한 계기가 있었을 것으로 본다.
'클롭 랜섬웨어' 공격자가 1년 전부터 이랜드 네트워크에 침투해 있었다고 주장한 것과 관련해서 캄룩 팀장은 “5년 전 마이크로소프트(MS) 윈도 기반 원격 데스크톱에서 접속 가능한 서버와 로그인 정보가 대대적으로 판매된 적이 있었고, 당시 매물로 올라 온 정보 상당수가 한국 정보였으며 범죄조직이 해당 정보를 구매했을 수 있다”고 설명했다.
앞서 '클롭 랜섬웨어' 공격자는 외신 인터뷰를 통해 “1년 전 이랜드 네트워크에 침투해 포스(POS) 멀웨어를 설치했으며 1년간 내버려뒀다”고 주장했다. 이랜드 측은 '클롭 랜섬웨어' 공격자가 공개한 정보가 조작된 것이라고 반박했다.
캄룩 팀장은 “범죄조직을 무조건 믿을 수는 없지만 주장을 믿을 만한 근거가 일부 있다”면서 “주장이 완전히 사실이라면 이랜드 측에 보안 솔루션이 없었거나 해당 솔루션이 작동을 안 했을 것으로 보인다”고 말했다.
이랜드 외에 다른 기업에도 포스 멀웨어가 설치됐을 수 있다고 경고했다. 이런 멀웨어는 백신에 의해서 포착되지 않으며 설치된 뒤 발견까지 몇 주가량 시간이 소요된다.
캄룩 팀장은 “보안을 고려하지 않으면 결국 더 큰 손실을 입는다”면서 “비즈니스 연속성과 재정적 출혈을 막기 위해 보안에 투자해야 한다”고 권고했다.
오다인기자 ohdain@etnews.com