최악의 랜섬웨어 피해, 당신도 예외일 수 없다
[IT동아]
소를 잃었다 해도 외양간이라도 제대로 고칠 수 있다면 그나마 다행이지만, 랜섬웨어는 그럴 기회 조차 주지 않는다. 랜섬웨어는 한 번 걸리면 끝이다. 해커들이 '데이터값'으로 요구하는 비트코인 가격이란 게 일반인들은 만져보지도 못할 큰 액수인 경우가 많고, 이를 지불했다고 해도 추적도 안 되는 가상화폐라 해커들이 돈만 받고 잠적하면 그 역시 어찌할 도리가 없다. 비용을 지불하는 것도 랜섬웨어 확산을 부추긴다는 지적도 있다.
2013년, 크립토락커(CryptoLocker)의 등장은 이미 랜섬웨어의 심각성을 예고한 것과 마찬가지였다. 이후 수 없이 많은 신종과 변종을 통해 크고 작은 랜섬웨어 공격을 일삼아왔다. '2017 랜섬웨어 침해분석 보고서'에 따르면, 지난 해 국내 랜섬웨어 감염 피해자는 13만 명으로 약 3,000억 원의 피해가 발생한 것으로 나타났다. 하지만 정부와 기업들은 '백업과 업데이트'만 강조하며 명확한 해결책을 내놓지 못했다.
4년이 지난 지금, 사상 최악의 랜섬웨어 피해가 발생했다. 지난 5월엔 워너크라이(WannaCry) 랜섬웨어 공격으로 전세계 150개 국 20만 대 이상의 컴퓨터가 감염됐다. 한 달 후 국내에서도 결국 사단이 났다. 한 웹호스팅 업체가 에레버스(Erebus) 랜섬웨어에 감염되면서, 5,000여 고객사 서비스까지 모두 마비된 것이다. 이젠 개인(클라이언트)뿐 아니라 기업 서버로 표적을 확대하면서 '최소 노력, 최대 효과'를 누리고 있는 랜섬웨어의 진화에 놀라울 따름이다.
이렇게 랜섬웨어는 날개 날고 활개 치고 있지만, 백업/복구시스템 산업시장 매출은 오히려 감소하고 있다. 왜일까?
'기업은 백업/복구시스템을 반드시 도입해야 한다'는 법적인 강제성이 없기 때문이다. 국가가 지원하는 보안 예산이 제한적인 데다 각 기업체는 개인정보보호, 디지털저작권관리, DB암호화 등 규정된 컴플라이언스를 지키기에도 벅차다. 백업과 복구에 대한 법적 권고사항이 없는데 굳이 비싼 가격을 들여 시스템을 도입할 필요성을 못 느끼는 것이다. 또한 사회적으로 랜섬웨어가 심각하다고 해도, 본인들이 체감할 수 있는 피해를 입기 전까지는 보안시스템을 적극적으로 도입할 기업체는 적은 게 현실이다.
위에서 말했듯 랜섬웨어는 PC 1대만 감염돼도 서버와 네트워크로 연결된 모든 기기가 마비될 수 있는 엄청난 위력을 가졌다. 회사들이 이를 버티지 못해 줄줄이 문을 닫는다면 한 산업 자체가 순식간에 망가질 수 있다. 이제 정부, 기업, 개인이 하나로 뭉쳐야 할 때다. 멈춰있는 보안 의식을 깨워 각자의 위치에서 랜섬웨어에 감염되지 않도록 보안과 예방에 적극 힘써야 한다.
먼저 정부는 보안 관련 예산을 대폭 늘리고, 기업들이 보안시스템을 도입할 수 있도록 제정 지원을 강화해야 한다. 강력한 보안정책 수립도 필요하다. 기업이 반드시 도입해야 하는 보안시스템 중 백업/복구 시스템을 필수로 포함시키고, 법적 권고사항이 아닌 강제사항으로 변경해야 한다.
아울러 각 기업이 보안정책(시스템 도입 여부, 백업 및 망 분리를 잘하고 있는지, 보안 교육을 실시하는지 등)을 잘 수행하고 있는지 방문 감사도 시행한다. 이를 준수하지 않으면 엄격한 조치를 취하는 제도를 만들어야 한다. 전세계에 이슈가 되고 있는 만큼, 글로벌 보안 업체들과 협력하여 악성코드 및 공격유형에 대한 분석 정보를 공유하고 즉시 대응할 수 있도록 시도한다.
기업의 근본적인 예방책은 크게 3가지다. '망 분리'와 '백업', 그리고 '복구 가능성 테스트'다. 외부에서 유입되는 악성코드가 내부 네트워크까지 침투하지 못하도록 아예 물리적, 논리적으로 망을 분리시킨다. 그리고 중요 데이터를 별도 저장공간에 복사해 혹시 데이터가 파괴되더라도 복구할 수 있도록 백업한다.
백업은 로컬 백업(1차), 원격 백업(2차), 매체 백업(3차)까지 단계별로 갖추면 좋다. 매체 백업이란, 테이프 드라이브에 데이터를 별도 저장하는 고도화된 오프라인 백업으로, 네트워크와 연결되지 않은 외부 저장장치를 이용하므로, 데이터 감염 시 이를 복구할 수 있는 중요한 매체가 된다.
"백업을 안 해 해고된 사람은 없어도, 복구를 못 해 직장을 잃은 사람은 많다"는 말이 있듯, 백업도 중요하지만 제대로 복구할 수 없다면 그 백업은 쓸모가 없다. 따라서 평소 랜섬웨어 공격 관련 재해 시뮬레이션을 진행하고, 모든 시스템과 애플리케이션, 데이터를 복구할 수 있는지 테스트해야 한다.
추가적으로는 2단계 인증을 도입하면 좋다. 일반적인 ID/암호 로그인만이 아닌, 홍체/지문/OTP 등 추가적인 인증을 거치는 것이다. 가장 쉽게 도입할 수 있는 것이 바로 OTP 인증. 무료로 제공하는 구글 OTP를 활용할 수 있다. SSH 및 FTP 등 서버 자동 로그인도 모두 해제하는 것이 바람직하다. 그리고 직원 보안 교육도 제안한다. 퇴근 시에는 PC를 모두 끄도록 독려하고, 전사적인 기기 관리 지침을 수시로 안내한다.
끝으로, 개인은 회사/개인용 PC, 스마트폰의 보안 관리에 각별히 신경 써야 한다. 중요 파일의 3중 백업(로컬, 클라우드, 외장하드)은 물론, 최신 업데이트 유지, 운영체제(OS) 및 각종 소프트웨어 최신 보안패치 적용, 수상한 첨부파일 및 URL 실행 자제, 신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안 수칙을 생활화하는 자세가 필요하다. 메일, 메신저, 그 외 애플리케이션의 자동 로그인을 모두 해제하는 것도 잊지 말아야 한다.
글 / 안광해 (가비아 정보보안실장)
정리 / IT동아 이문규 (munch@itdonga.com)