랜섬웨어 공격자는 신기술 기반 공격보다 오래된 취약점을 노린 공격을 더 선호하는 것으로 나타났다. 보안 패치가 개발됐지만 업데이트하지 않아 그대로 노출된 취약점이 랜섬웨어 공격자의 먹잇감이 되고 있는 것이다. 취약점이 발견된 솔루션에 최신 보안 패치를 신속히 적용하는 등 각별한 주의가 요구된다.
SK쉴더스 이큐스트(EQST)가 올해 상반기 국내 기업을 타깃으로 한 랜섬웨어 공격을 분석한 결과, 공격자들은 패치하지 않은 서버의 오래된 취약점을 노리는 경향을 보였다. 공격자 입장에선 힘들여 알려지지 않은 취약점을 찾을 필요가 없어 이미 공개된 공격루트가 최우선 순위가 된다.
특히 공격자들은 주로 기업에서 사용도가 높은 솔루션을 초기 침투로로 삼았다. 다양한 기업 환경에 침투할 수 있어 짧은 시간 안에 큰 피해를 입힐 수 있기 때문이다.
국내에서만 20건 이상 랜섬웨어 피해가 발견된 ESXi 서버 공격이 대표 사례다. 가상화 플랫폼 ESXi 서버의 해당 취약점은 2년 전 발견돼 보안 패치도 완료된 상태다. 공격자들은 이 취약점을 패치하지 않은 서버만을 노렸다. 2년이나 지난 오래된 취약점이지만 대비하지 않은 기업이들 랜섬웨어 공격을 받았다. 전 세계적으로 3800개 이상의 서버가 감염된 것으로 알려졌다.
데이터베이스 서버 MS-SQL의 취약점을 노린 랜섬웨어 공격도 국내 중소기업에서 다수 발생했다. 데이터베이스 서버 감염 시 기업은 서비스 대부분을 정상적으로 제공할 수 없다. 서버가 랜섬웨어 공격을 당하면 그 피해가 매우 커 공격자들의 주요 침투 경로 중 하나다. 데이터베이스를 노린 공격은 다양한 형태와 방법으로 오래 전부터 해커의 타깃이며, 이를 악용한 랜섬웨어 공격이 지속하고 있다.
이호석 EQST 랩(Lab) 담당은 “올해 상반기 국내에서 발생한 랜섬웨어 공격을 살펴보면 신기술을 접목해 공격을 시도하기 보다는 오래된 취약점을 보완하지 않은 서버를 노리거나 전통적으로 공격에 사용했던 기법을 도입한 공격이 많았다”고 설명했다.
이어 “보안에 투자하지 않지만 중요 정보를 다루는 1차 협력·관계사나 계열사 등 중소기업을 타깃으로 하는 경우가 많았다”면서 “서버나 보안장비, 솔루션은 반드시 최신 보안 패치를 적용하고 보안 설정·조치에 관심을 기울여 운영해야 한다”고 덧붙였다.
한편, SK쉴더스는 민간 랜섬웨어 대응 협의체 ‘KARA’를 주도해 운영 중이다. 보안 솔루션을 제공하는 트렌드마이크로, 지니언스, 베리타스와 보안 위협 정보를 분석하는 맨디언트, 에스투더블유(S2W)를 비롯해 피해 보상 보험 상품을 제공하는 캐롯손해보험과 법률 자문 법무법인 화우로 구성됐다. 사고 접수와 대응, 복구, 대책까지 통합적으로 대응하는 프로세스를 갖췄다.
조재학 기자 2jh@etnews.com
