[CIOCISO매거진 김은경 기자] 랜섬웨어에 당할 가능성이 매년 높아지고 있다. 파일이 암호화 되는 것도 무서운 일인데 공격자들은 파일을 가져가 공개한다고 하고, 심지어 디도스 공격까지 한다는 둥 협박을 이중 삼중으로 둘러쳐서 한 번 잘못 걸리면 빠져나갈 수가 없다. 그렇기 때문에 이들에게 내야 할 돈도 점점 많아지고 있고, 실제로 피해액은 커져만 가고 있다. 그래서 2031년 랜섬웨어 피해액이 2650억 달러에까지 이를 전망이라는 예측도 나오고 있다.

한 번 협박, 두 번 협박, 세 번 협박
랜섬웨어 공격자들이 ‘데이터를 암호화만 할 것이 아니라 이를 가지고 한 번 더 협박을 하면 어떨까?’라는 방향으로 발상을 전환한 이후 랜섬웨어 생태계는 매우 복잡해지고 추악해졌다. 무게추가 상당히 공격자들 쪽으로 기울었다. 이전처럼 백업으로 랜섬웨어 공격을 막을 수 있는 단계는 저 멀리 지나갔다. 그러자 공격자들은 한 번 더 생각하기 시작했다. 두 번 협박하는 게 이렇게 잘 먹히는데, 세 번하면 어떨까? 그러면서 이들은 피해 당사자들의 데이터만이 아니라 피해자와 엮인 고객사나 파트너사의 정보를 유출하겠다고 협박하기 시작했다.

‘정보를 엉뚱한 사람에게 제공한다’는 방향의 협박을 보다 효과적으로 진행하기 위해 공격자들은 ‘검색 기능’까지 추가했다. 피해자의 데이터베이스에서 특정 데이터를 찾게 해 주기 위함으로, 공격자들이 정말로 파트너사나 고객의 데이터를 가지고 있다는 것을 누구라도 확인할 수 있게 되었다. 압박의 수위가 높아진 것이다. 블랙캣(BlackCat)이라고 알려진 랜섬웨어 그룹이 지난 6월 제일 먼저 이러한 서비스(?)를 시작했고 많은 단체들이 그 뒤를 따르고 있다.

다중의 협박에서 살아남으려면
이런 협박 공격의 물결 속에서 살아남으려면 어떻게 해야 할까? 제일 먼저는 공급망 전체를 모니터링하여 침해 여부를 항상 확인할 수 있어야 한다. 파트너사나 벤더사에서 발생한 해킹 공격도 최대한 면밀하게 관찰해 어떤 영향을 미치는지 살펴야 한다. 또한 다크웹의 동향을 살펴 어떤 데이터가 새롭게 등장하거나 거래되기 시작했는지 알아보고, 그런 데이터들 속에 우리 기업의 것이 있는지를 확인하는 활동도 필요하다. 이 정도면 매우 능동적인 대처법이라고 할 수 있다. 이런 일을 할 수 있는 조직이 있고 없는 조직이 있을 것이다.

만약 다크웹이나 공급망 전체의 모니터링이 어렵다면 어떨까? 그래도 할 수 있는 일이 있다. 먼저는 정기적인 백업이다. 현대 랜섬웨어 공격에서 백업이 예전만큼 강력한 방어책이 될 수 없는 게 사실이지만, 초기 방어에는 큰 힘이 된다. 아직 이중, 삼중의 협박 공격을 하지 않는 랜섬웨어도 사이버 공간에는 어마어마하게 많이 남아 있다. 이런 전통적인 랜섬웨어들이라면 백업으로서 충분히 방어가 가능하다.

하지만 백업 하나만으로 랜섬웨어에 대비했다고 할 수는 없다. 이중협박이라는 전술이 나오기도 했거니와, 백업 드라이브를 찾아서 암호화 하는 랜섬웨어들도 존재하기 때문이다. 그렇기 때문에 최근에는 ‘오프라인 백업’을 많이 추천한다. 주기적으로 백업을 하되, 백업 드라이브를 인터넷과 회사 네트워크로부터 분리시키는 것이다. 하지만 이 역시 공격자가 정보를 공개하겠다고 협박하는 상황에서는 큰 도움이 되지 않는다.

이중협박에 대응하기
이중협박과 삼중협박의 덫에 걸리지 않으려면 공격자들이 가장 민감한 정보에 도달할 수 없도록 해야 한다. 아주 중요한 정보가 공격자의 손에 걸렸다면, 피해를 막을 방법이 그리 많지 않다. 그러므로 기업들은 제일 먼저 정보를 항목화 하고 따로 분류하는 작업부터 해야 한다. 그리고 절대로 유출시켜서는 안 되는 정보에서부터 공개되어도 큰 상관이 없는 정보까지 전부 따로 모아둔다. 상위권에 있는 정보일수록 접근 방법과 경로들을 최소화 해야 한다. 내부 임직원들조차 해당 정보에 접근하기가 어렵도록 해야 한다. 그 외에 실천하면 좋은 것들이 있는데, 다음과 같다.

1) 데이터가 실제로 저장되어 있는 곳이 어디인지를 파악하고 있어야 한다. 특히 민감하고 중요한 정보가 어디서부터 어디로 어떻게 왜 누구에 의해 이동되고 저장되고 처리되는지를 실시간에 가깝게 확인할 수 있으면 데이터 보호에 큰 도움이 된다.

2) 새로운 장비나 직원 계정이 네트워크에 연결될 때나 접속 해제될 때의 리스크에 대해서 이해하고 있어야 한다. 특히 퇴사자의 장비나 계정이 연결되었을 때 즉각 상황 파악을 할 수 있도록 하는 게 중요하다.

3) ‘정상적인 행동’이라는 것이 무엇인지 이해하고 있어야 한다. 이는 조직마다, 상황마다 다를 수 있다. ‘정상 범주’에 대한 개념이 있어야 비정상적인 행위를 짚어낼 수 있다.

그럼에도 침해가 되었다면
위의 모든 내용들을 실천해도 여전히 침해가 발생할 수 있다. 그럴 경우에 할 수 있는 일들은 다음과 같다. 피해 확산을 최대한 저지하는 게 핵심이다.

1) 공격과 관련이 있을 것으로 의심되는 모든 비밀번호들을 빠르게 재설정한다.
2) 침해와 관련된 정보의 출처를 확인한다. 침해됐다는 내용의 피싱 메일 혹은 사기 메일일 가능성도 존재하기 때문이다.
3) 멀웨어를 삭제하고(디스크를 포맷하고) 다시 처음부터 OS를 복구하는 것만으로 사후 대처가 끝나는 게 아니다. 보다 꼼꼼하게 시스템 전체를 살펴 공격자들의 흔적을 찾아내 없애야 한다.
4) 공격자들의 최초 침투 경로를 확인해야 한다. 그래야 또 다시 시도되는 공격을 막을 수 있다.