랜섬웨어 사고 피할 수 있는가? 예방 방법과 최고의 대응 꿀팁!
[랜섬웨어 공격에 대한 예방과 대응 방법]
<백업과 엔드포인트 보안을 통한 랜섬웨어 사고 예방 및 대응>
1. 랜섬웨어가 도대체 뭐길래?
랜섬웨어는 몸값을 뜻하는 'Ransom' 과 'Software'를 뜻하는 'ware' 를 합성해 만든 말로써, 컴퓨터 시스템을 감염시켜 해당 시스템을 마치 인질처럼 붙잡고 접근권한을 차단하여 금전을 요구하는 악성코드 및 그 행위를 일컫는다.
과거에는 빈번히 발생하지 않는 일이었으나 2017년 워너크라이 공격으로 인해 세상에 대대적으로 알려지게 되었다. 그 이후 더욱더 다양한 랜섬웨어들이 등장하였고 그 수법 또한 점진적으로 진화하였다.
랜섬웨어에 감염되면 나타나는 대표적인 증상은 컴퓨터 또는 휴대폰 내 파일을 열려고 하면 팝업창이 뜨면서 파일을 열고 싶으면 해커가 지정한 곳으로 일정 금액을 보내라는 문구가 나오며 해당 파일은 열리지 않게 된다. 사실 이런 경우 컴퓨터 또는 시스템을 싹 지우고 새로 설치하면 별 문제가 없는 일이다. 그러나 해당 시스템에 데이터가 존재하기에, 그 데이터는 개인적이든 비즈니스적이든 중요하기에 포기하지 못하고 돈을 지불해서라도 풀려고 한다. 그래서 해커들은 이런 점을 노리고 랜섬웨어를 통해 공격을 하여 금전적 이득을 취하고 있는 것이다.
2. 랜섬웨어의 피해는 어느 정도일까?
과거에는 크게 이슈가 되지 않았고, 피해 규모도 크지 않아 세간에 많이 알려지지 않았다. 그러나 점차 공격이 확산되면서 사회적 이슈가 되면서 문제 시 되어갔다. 그러나 이렇게 이슈가 되는 시점에서도 개인은 물론 기업들도 이미지가 나빠지는 것을 두려워해 '쉬쉬'하며 처리해 나갔다. 하지만 최근에는 조용히 처리하기에는 그 규모나 파급력이 너무 커지게 되었다.
외신에 따르면 2021년 9억3,990만 달러(한화 약 1조 1,907억 원) 정도까지는 아니지만 올해 상반기에만 4억 4,910만 달러(한화 약 5,691억 원)의 피해가 났다고 한다. 이대로라면 올해 연말까지 9억 달러에 육박하는 피해가 날 것으로 예상이 된다고 한다.
그렇다면 구체적으로 어떤 피해사례가 있었던 것일까?
2023년 상반기에 가장 주목할 만한 랜섬웨어 사건이라고 하면 'TSMC' 의 랜섬웨어 감염사건이다. 대만 파운드리 기업 TSMC는 지난 6월 29일 서드파티 파트너 '킨맥스테크놀로지'가 록빗(LockBit)에게 공격을 당하면서 내부정보를 탈위당했다. 록빗은 무려 7천만달러의 몸값을 요구 했다고 한다.
일본의 대형 제약사 에자이(Eisai)도 지난 6월 3일 랜섬웨어 공격으로 시스템이 마비되었으며, 일부 서버가 마비되어 일부 네트워크를 오프라인으로 전환했던 것으로 알려졌다.
미국의 의료단체인 노턴헬스케어(Norton Healthcare)도 지난 5월 랜섬웨어 공격으로 환자 진료시스템 일부와 실험실 일부가 마비되었으며, 이 때문에 환자들이 피해를 입은 것으로 알려졌다.
특히, 미국 일리노이 주의 세인트마가렛헬스(St. Margaret's Health, SMH) 병원이 랜섬웨어 공격으로 지난 2023년 6월 폐업까지 가게 되었다. 120년 역사와 전통을 자랑하던 병원이었지만 2021년 2월 랜섬웨어 공격으로 약 4개월간 보험과 병원비, 급여 정산 등 돈과 관련된 업무가 마비되면서 결국 문을 닫게 된 것이다. 이는 랜섬웨어로 인해 문을 닫은 최초의 병원이 된 셈이다. 여기서 기억할 것은 이게 최초이지만 최후는 아닐 것이라는 것이다.
이 외에도 리그 오브 레전드(League of Legends)란 게임으로 잘 알려진 게임업체 '라이엇게임즈(RiotGames)'는 2023년 1월 공격을 당했으며, 무려 1천만 달러(한화 127억 원)에 달하는 몸값을 요구 받았다고 한다. 라이엇게임즈는 그 공격으로 리그 오브 레전드와 다른 게임 1개의 소스코드 일부가 유출되었다고 밝혔다.
이렇듯 우리가 모르는 사이에 많은 기업과 기관들이 랜섬웨어로부터 공격을 받고 있었다.
그리고 이런 랜섬웨어 피해 기업들은 몸값을 지불해서라도 피해 복구를 위해 노력했다고 한다. 무려 76%의 기업이 지불했으나 이 중 30%는 데이터 복구를 못한 것으로 조사되었다고 한다. 아마도 몸값을 지불하고 복구한 70%는 운이 좋은 경우라 할 수 있다. 대부분의 랜섬웨어 공격자는 돈만 받고 풀어주지 않는다.
3. 우리는 랜섬웨어 공격을 막을 수 있나? 피해를 받지 않을 수 있을까?
일단 결론부터 말하자면 '없다!'
자본주의 사회에서 모든 사람들이 자본과 돈을 추구한다. 그렇기에 그런 금전적 욕심을 포기하지 않는 것이다. 범죄이기는 하지만 랜섬웨어 공격은 쉽게 돈을 버는 방법 중에 하나이기 때문이다. 이는 충분한 동기가 될 수 있다.
또한 랜섬웨어 공격 대상이 갈수록 늘어나고 있다. 다시 말해 공격자들의 먹잇감이 점점 풍부해져 가고 있다는 것이다. 과거에는 중앙 서버 내지 사용자 PC 정도였다면, 지금은 중앙 서버와 PC는 물론 스마트폰, 태블릿 PC, 클라우드 등 엄청난 수의 IT기기들이 사용되고 있다. 게다가 최근에는 IoT 기술의 발달로 일반 사물들도 모두 그 공격감이 될 수 있는 상황이다.
그렇다고 손을 놓고 있을 수는 없기에 많은 보안업체에서 랜섬웨어를 차단하거나 치료할 수 있는 솔루션들을 앞다투어 내놓고 있다.
그러나 아무리 좋은 예방약과 백신이 나온다고 하더라도 우리는 여전히 바이러스성 인플루엔자나 감기 등은 막지 못하고 있다. 각자가 위생관리와 건강관리를 하여 예방하는 방법 뿐이다. 랜섬웨어도 마찬가지이다. 모든 사용자들이 관심을 갖고 보안의 생활화 습관을 만들면 그 피해는 조금 줄어들 수 있다.
너무 원론적인 이야기일 수도 있을 것이다. 그러나 가장 기본적인 것이 정답이다. 대부분 기본에 충실하지 못하기에 그 문제가 커지고 감당이 안되는 수준으로 치닫게 되는 것이다.
물론 많은 돈을 들이고 고도의 장비와 인프라를 통해 이런 위협을 막는 노력들이 계속 진행되고 있다. 그에 병행해 사용자 측면에서 조금 더 구체적으로 더 효율적인 방법을 찾아본다면 두 가지로 압축할 수 있다.
첫 번째는 '백업' 이고 두 번째는 '엔드포인트 보안' 이다.
많은 기관 및 기업에서는 데이터 보호 차원에서 다양한 백업 시스템을 도입하여 운영하고 있다. 특히 과거 재난 사고에 대한 대비 목적으로 많이 도입하여 운영 중이다. 그러나 단순히 데이터의 보관이라는 측면에서 운영과 관리를 하다 보니 가끔은 소홀한 운영도 하게 된다.
위에서 한번 언급했지만 랜섬웨어는 결국 보유 자원에 대한 인질극을 벌이는 것이다. 그러니 인질이 없으면 아무런 공격도 피해도 받지 않게 되는 셈이다. 그래서 그 감염된 시스템을 모두 제거하고 백업된 데이터로 복원을 할 경우 없던 일이 되게 된다.
기업이나 기관의 경우는 정기적으로 백업을 하지만 작은 기업이나 개인들은 백업을 자주 하지 않거나 거의 하지 않는다. 결국 무방비 무대책 속에 피동적 대응만을 하게 되는 것이다.
따라서, 랜섬웨어 공격을 받으면 가급적 빠른 시간 내 피해 범위를 확인하여 백업 데이터를 통해 원래 시스템과 데이터를 복원하는 것이 가장 빠르고 효과적인 대응 방법이다. 결국 주기적인 '백업'이 답이다.
두 번째는 엔드포인트 보안이다. 첫 번째는 공격 이후 대응 방법이라면 엔드포인트 보안은 사전 예방 차원의 조치이다.
랜섬웨어 대부분은 중앙서버를 직접 타겟으로 삼지 않는다. 스피어피싱, APT와 같은 방법을 동원하여 엄청난 양의 악성메일을 배포한다. 엄청난 양의 낚시 그물과 바늘을 뿌려놓고 걸려들기를 기다리는 어부와 같이 기다린다.
결국 랜섬웨어 공격자들은 최종 사용자들을 경유지 또는 먹잇감으로 활용하려고 한다. 그게 제일 쉽고 효율적이기 때문이다. 그렇다고 사용자인 우리들은 가만히 앉아 호구가 될 수는 없는 법이다. 나름 준비가 필요한 것이다. 사용하는 단말기에 악성코드 유입 방지를 위한 백신 설치, 필요한 보안 솔루션 설치 등을 해서 시스템적인 차단막을 세워야 한다.
이와 함께 KISA 등 정부기관에서 홍보하는 안전한 이메일 사용 방법을 숙지하여 해킹메일 공격을 피하며 이메일을 사용할 수 있는 환경을 만드는 것이 중요하다.
- 모르는 수신자의 이메일을 함부로 열람하지 말 것
- 무심코, 습관적으로 이메일 리스트를 클릭하여 열람하지 말 것
- 이메일 송신자 주소를 반드시 먼저 확인하는 습관 필요
- 출처를 알 수 없거나 불분명한 메일은 무조건 지우는 것이 상책
- 설령 이메일을 열람했더라도 의심스러우면 이메일 내의 링크 클릭 금지
- 의심 이메일의 첨부파일은 다운받아서도 열어봐서도 안됨
해커들은 100개의 구멍을 다 찾아 공격하지 않는다. 단 하나의 구멍을 찾으려고 한다. 그러나 방어자의 입장은 최대한 100개의 구명을 다 막으려 한다. 그래서 어려운 것이다.
하나하나 차근차근 막다가 보면 어느덧 100개 모두 막을 수 있으니 자신이 할 수 있는 부분부터 하나씩해서 랜섬웨어 공격으로부터 피해를 받는 일을 최대한 줄일 수 있을 것이다.