[랜섬웨어⑤] 복구 시스템으로 피해 최소화해야
상태바
[랜섬웨어⑤] 복구 시스템으로 피해 최소화해야
  • 김선애 기자
  • 승인 2022.10.28 09:14
  • 댓글 0
이 기사를 공유합니다

체계적인 복구 정책으로 랜섬웨어 공격당해도 즉시 비즈니스 복원해야
민·관 협력으로 공격자 추적…범죄 자금 현금화 막아 공격자 수익성 낮춰

[데이터넷] 랜섬웨어가 가장 위험한 사이버 공격이 되었다. 서비스형 랜섬웨어(RaaS)를 비즈니스 모델로 확실하게 정착시킨 범죄자들은 공격에 필요한 모든 작업을 분야별로 전문화해 시장을 만들고 있으며, 공격 성공률이 떨어지거나 수사당국에 의해 일부가 검거됐을 때 공격 인프라를 폐쇄한 후 다른 그룹을 만들어 활동한다. 최근 랜섬웨어 동향을 분석하고 대응 방법을 알아본다.<편집자>

피해 최소화하는 복구 방안 필수

모든 사이버 공격을 완벽하게 막을 수 있는 방법은 없다. 공격자는 모든 방법을 동원해 침투하고 데이터를 유출하며, 비즈니스를 중단시켜 돈을 뜯어낸다. 공격을 당하지 않도록 최대한 노력하며, 공격을 당했다 해도 피해를 최소화할 수 있도록 관리하고, 빠르게 비즈니스를 복구할 수 있도록 해야 한다.

아크로니스의 경우 단일 콘솔, 단일 에이전트를 통해 ‘사이버 프로텍트 클라우드’를 지원, EDR, DLP, 이메일 보안, 취약성 평가, 패치관리, 원격 모니터링과 백업 기능을 한 곳에서 통합관리한다. 이로써 공격을 선제적으로 차단하면서 피해를 입었을 때 즉시 비즈니스를 복구할 수 있게 한다.

랜섬웨어 대응을 위해 백업 전략을 체계화하는 것도 필수다. 랜섬웨어 공격자는 데이터 암호화 전 백업 데이터를 먼저 삭제하기 때문에 백업만으로 랜섬웨어로부터 데이터를 지킬 수 있다고 안심해서는 안된다.

IDC 조사에 따르면 랜섬웨어 공격의 50%가 백업 데이터를 표적으로 삼았으며, 23%는 랜섬웨어로 백업 데이터를 잃었다고 답했고, 공격당한 기업의 75% 이상이 데이터를 탈취당했다고 답했다.

백업 데이터가 파괴돼 데이터 복구가 어려워지는 상황을 피하기 위해 반드시 오프사이트·오프라인 백업을 수행하며, 중요한 데이터 복사본은 두 가지 다른 유형의 미디어에 최소 3개 이상 마련한다.

복구체계 갖춘 기업 31% 랜섬머니 지불 않고 데이터 복구

빔소프트웨어는 빠르고 안정적인 복구 체계를 갖춘 기업의 32%는 몸값을 지불하지 않고 데이터를 복구할 수 있었다고 설명했다. 성공적인 데이터 복구 체계는 ▲랜섬웨어 공격 탐지와 대응 시스템과 사고 대응 프로세스를 정립해 데이터 보호 기반 마련 ▲백업 데이터 복사본을 여러 위치에 저장해 보호 ▲복구 시 초기에는 격리된 샌드박스에서 보안팀이 포렌식 진행해 악성 프로그램이나 침입 징후 있는지 검사 등의 체계를 갖출 것을 조언했다. 또한 복구 전략이 수립되면 사고 상황에 대비한 반복 훈련도 필요하다고 설명했다.

빔소프트웨어는 ‘변경불가 백업’ 솔루션을 제공, 설정기간 동안 변경이나 삭제가 불가능해 관리자 권한을 뺏겨도 백업 데이터를 보호할 수 있다. 또한 빔소프트웨어는 랜섬웨어 사고로부터 고객 데이터를 복원하는 것을 안내하는 서비스를 지원하며, 복원 완료 전 이미 지에 대한 바이러스 백신 검사로 복구 도중 다시 랜섬웨어에 감염되지 않도록 한다.

빔소프트웨어는 AWS, 구글 클라우드, 쿠버네티스, SaaS 워크로드 등 다양한 퍼블릭 클라우드를 지원하며, 백업, 스냅샷, 복제, CDP, 아카이브를 포함하는 포괄적인 솔루션으로 하이브리드·멀티 클라우드 복원을 지원한다.

김기훈 빔소프트웨어 코리아 지사장은 “랜섬웨어를 완벽하게 막을 수 없기 때문에 올바른 백업 전략으로 비즈니스 중단을 막는 것이 기업의 생존을 지킬 최후의 보루”라며 “데이터 관리를 클라우드 서비스 공급자(CSP)에 맡길 수 있지만 데이터에 대한 책임을 맡길 수 없다. 따라서 IT 부서는 최신 데이터 보호를 채택하고 전체 데이터 관리 프로비저닝에서 모든 데이터가 백업, 복구 및 안전하게 보호되도록 해야 한다. 빔소프트웨어는 고객이 최신 데이터 보호 플랫폼을 구축하고, 워 크로드를 보호할 수 있도록 하기 위해 적극 노력할 것” 이라고 말했다.

클라우드 지원하는 백업 대책 필수

최근 클라우드 네이티브 환경 확산으로 쿠버네티스 보호 대책도 필수로 떠오르고 있다. 베리타스 ‘넷백업 10’은 쿠버네티스 멀티 클라우드 복구까지 지원한다. 클라우드 네이티브 SaaS 애플리케이션 데이터를 보호하며, 클라우드 네이티브 기반 변조불가 스토리지를 제공한다. 더불어 완전 관리형 데이터 보관소 ‘넷백업 리커버리 볼트’도 제공해 예상하지 못한 데이터 트랜잭션 비용을 절감하고, 자동화·통합 데이터 보호 스토리지 관리로 운영을 간소화한다.

퀘스트소프트웨어의 ‘코어스토어’는 장기 데이터 보존을 위한 클라우드 지원 기술을 제공한다. 코어스토어는 복제 시간을 줄이고 데이터 보안을 개선하며 수많은 스토리지 공급업체, 가상화 플랫폼, 백업 제공업 체, 클라우드 서비스 제공업체를 지원해 모든 환경에 서 데이터를 보호한다.

랜섬머니 지급해도 데이터 복구 못해

랜섬웨어를 근절하는 가장 확실한 방법은 공격을 당한다 해도 돈을 주지 않는 것이다. 랜섬웨어는 금전 수익이 목표이기 때문에 공격자가 충분한 수익을 얻을 수 없다면 공격은 사라질 것이다. 그러나 이 방법은 피해를 입은 모든 기업이 돈을 주지 않아야 효과가 있기 때문에 비현실적이다.

공격자는 피해기업이 ▲비즈니스를 복원하고 ▲데이터 피해를 입은 고객과 파트너의 손해를 배상하며 ▲컴플라이언스 위반으로 인한 벌금 ▲기업 신뢰도 하락에 따른 비용 ▲IT 조직이 사고 대응과 복구하는데 쏟는 시간과 비용 등을 종합해 그보다 조금 낮은 금액을 요구한다. 랜섬머니를 지급하는 것이 직접 복구하는 것 보다 낫다고 판단할 수밖에 없도록 하는 것이다. 또한 공격 사실을 언론, 경쟁사, 고객에게 알려 평판을 떨어뜨리며, 다크웹에서 유출한 데이터를 판매하면서 지속적으로 피해를 입게 만든다.

IDC 조사에 따르면 랜섬웨어 공격받은 기업의 28%가 몸값을 지불해 데이터를 복구했다고 밝혔는데, 몸값 지불을 결정하기까지 회사 법무팀을 비롯한 많은 구성원과 논의해야 했으며, 몸값 협상에도 많은 시간이 걸리고, 지불 후 받은 암호해독기도 최적화된 소프트웨어가 아니어서 복구에 오랜 시간이 걸리는데다가 완전하게 복구된다는 보장도 없다.

랜섬웨어 대응 준비 태세

  • 위협자들의 생태계가 어떻게 진화하는지 파악하고 대응 방안을 마련할 것
  • 손실된 치명적 데이터가 사업에 끼치는 영향을 분석하고 피해를 최소화 할 수 있는 방법을 마련할 것
  • 내·외부 랜섬웨어 준비상태를 평가하고 부족한 부분을 파악해 대비할 것
  • 사건 대응 계획을 검토하고 주기적으로 훈련할 것
  • 제로 트러스트 원칙의 보안 정책을 재정립할 것
  • 노출된 자산을 식별해 외부 침입 가능성을 줄일 것
  • 알려진 위협과 알려지지 않은 위협을 빠르게 파악해 대응할 것
  • 공격 가능 지점을 자동으로 식별해 제거할 것
  • 클라우드 워크로드의 안전성을 확보할 것

(자료: 팔로알토 네트웍스 ‘2022 유닛42 인시던트 대응 보고서’)

협력과 공유로 랜섬웨어 방어

기업 각자의 노력만으로 랜섬웨어를 완전히 막을 수 없기 때문에 ‘협력’이 필요하다. 관계기관과 보안 기술 기업, 그리고 일반 조직이 위협에 대한 정보를 공유해 인텔리전스를 만들어 현재 진행되는 공격 유형을 식별하고 빠르게 조치할 수 있도록 하는 노력이 진행되어야 한다.

또한 랜섬웨어 복호화 도구를 개발해 배포하는 것도 필요하다. 글로벌 랜섬웨어 대응 조직 ‘노모어랜섬’이 랜섬웨어 관련 정보 공유와 주요 랜섬웨어 복구도구를 배포하고 있으며, 한국인터넷진흥원은 이 도구 외에 자체 개발한 하이브 랜섬웨어 등의 복구도구를 배포하고 있다.

공격자에게 어쩔 수 없이 랜섬머니를 지급했다면, 이 돈이 공격자의 자금으로 환전되는 것을 막는 방법으로 공격자 수익을 악화시킬 수 있다. 전 세계 수사당국이 공조해 공격자가 탈취한 자금의 흐름을 추적해 범죄자를 검거하는 방법으로 랜섬웨어 범죄조직을 와해시키고 있다.

콜로니얼 파이프라인 공격자인 다크사이드가 그 대표적인 예로, FBI를 비롯한 미국 수사기관이 다크사이드 운영진을 검거하고 인프라를 회수하면서 몸값으로 지급한 돈의 상당부분을 회수했다. 이외에도 2020년과 2021년 랜섬웨어가 성행했을 때 여러 랜섬웨어 그룹이 범죄자금을 회수당했다. 잔당들이 다른 랜섬웨어 그룹을 조직하거나 다른 그룹에서 활동하지만, 어쨌든 악명높은 여러 공격그룹의 활동을 주춤하게 만든 것은 사실이다.

범죄자금 현금화 차단해 공격 활동 위축시켜

해외 수사기관은 공격자가 수신하는 자금을 동결시키는 방법으로 랜섬웨어 공격 그룹을 줄이고 있다.

랜섬웨어 성공으로 범죄자의 지갑에 비트코인이 입금되면 이는 즉시 수백개의 다른 암호화폐 지갑으로 분산 저장되는 단계를 여러 번 거친다. 블록체인 네트워크 내에서 이 돈을 추적하기 쉽지 않다. 그러나 범죄자금 추적에 AI가 접목되면서 자금 추적 성공률이 높아지게 됐다. 공격자가 비트코인을 현금화하는 거래소에서 해당 지갑을 동결시키거나, 자금화하려는 범죄자를 현장에서 검거할 수 있다.

미국 해외자산관리국(OFAC)이 러시아 기반 다크넷 하이드라(Hydra)와 에스토니아 등록 가상화폐 거래소 가란텍스(Garantex)를 제재했는데, 하이드라가 이 조치 전에 벌어들인 수익은 2020년 13억달러에 이르는 것으로 알려진다.

백용기 체이널리시스 한국 지사장은 “지난 몇 년 동안 많은 랜섬웨어 공격자들이 훔친 자금을 중앙화 거래소로 보내 세탁했다. 2020년 이후 랜섬웨어로부터 전송된 자금의 56%가 6개의 가상자산 사업자 중 한 곳으로 모이는 것으로 확인했다”며 “가상자산은 다른 법정 화폐에서 찾아볼 수 없는 투명성을 제공하기 때문에 범죄자금을 투명하게 추적할 수 있다”고 말했다.

▲수신한 불법자금 중 가상자산 서비스 유형별 비중(자료: 체이널리시스)
▲수신한 불법자금 중 가상자산 서비스 유형별 비중(자료: 체이널리시스)

AI로 암호화폐 추적해 범죄자 검거

체이널리시스는 정부기관, 가상자산 기업, 금융 기관, 사이버 보안 분석가들이 범죄자금 분석, 추적을 용 이하게 한다. 실제 서비스(entity)에 수억 개의 주소를 매핑해 다크넷 시장, 스캠, 랜섬웨어와 같은 불법 서비스와 판매 서비스, 분산 거래소, NFT 플랫폼 및 브리지와 같은 합법적인 서비스를 포함해 매주 100개 이상의 새로운 서비스를 추가한다.

자동화된 인텔리전스, 전문적인 포렌식 기술, 데이터 무결성을 보장하는 엄격한 평가 프로세스를 결합해 심층 연구를 진행한다. 이를 통해 수집된 증거나 ‘현장 자료(ground truth)’를 통해 모든 속성을 검증할 수 있 다. 이후 현장 자료는 클러스터링이라는 프로세스를 통해 자동으로 수백만 개의 온체인 주소와 지갑으로 안정적으로 확장시킬 수 있다.

지난해 체이널리시스는 OFAC의 러시아 기반 장외 거래소(OTC) ‘수엑스(Suex)’ 제재를 지원했다. 수엑스가 폐쇄된 거래소 BTC-e와 관련된 주소와 여러 형태의 사이버 범죄와 관련된 주소로부터 수천만 달러 상당의 가상자산 결제를 받았다는 분석 결과를 발표하면 서 범죄 수사에 도움을 줬다. 국내에서는 N번방, 웰컴 투 비디오 등을 추적하는데 체이널리시스 데이터와 소프트웨어가 사용됐다.

백용기 지사장은 “체이널리시스는 사법 기관, VASP를 포함한 가상자산 기업, 주요 금융 기관, 규제 기관, 법무 기업, 게임 기업에 혁신적인 조사 및 규정 준수 솔루션을 제공한다. 체이널리시스는 앞으로도 한국 고객 과 비즈니스를 보호할 수 있는 새로운 기능과 솔루션을 지속적으로 출시할 것”이라고 말했다.

블록체인 및 가상자산 추적 분석 기술을 국내에 가장 먼저 제공해 온 인섹시큐리티는 미국의 ‘안체인 에이아이’를 국내에 새롭게 소개하면서 시장 공략에 나섰다. 안체인에이아이는 10개 이상 국가에서 100개 이상 금융·정부기관에 공급됐으며, 자금세탁방지(AML) 엔진으로 매일 10억 달러 이상의 가상자산 거래를 분석한다.

안체인에이아이는 AI 기술을 적용해 가상자산 거래를 모니터링하고 의심스러운 주소 활동을 감지하며 알 려진 취약점에 대해 스마트 계약 코드를 스캔할 수 있다. 또한 가상자산지갑 주소를 이용한 트랜잭션을 추 적해 악용여부를 확인하고, 대화형 조사 도구로 조사 업무를 신속하게 수행할 수 있다.

김종광 인섹시큐리티 대표는 “인섹시큐리티는 국내에서 가장 먼저 가상자산 불법 자금흐름을 추적하는 글로벌 기업 제품을 공급하고 교육사업을 진행해왔다. 이번에 총판계약을 맺은 안체인에이아이는 업계에서 가장 빠르고 정확하며 자동화된 추적 기능을 통해 수 사기관이나 금융·기업의 AML 담당자들이 쉽게 사용할 수 있도록 해 불법 자금 활동을 빠르게 식별하고 조치할 수 있도록 한다”며 “국산 솔루션과도 적극 협력해 가상자산 불법 활동을 제한하는데 도움이 되도록 할 것”이라고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.