해커가 피해자의 데이터를 암호화하고 복호화 대가로 금전을 요구하는 '랜섬웨어' 공격에 국내 피해 사례를 분석한 결과, 해커의 공격 기법 및 특징에서 공통점들이 발견됐다.
민간에서 발생하는 해킹사고 대응을 지원하는 한국인터넷진흥원(KISA)은 랜섬웨어 피해 현장 분석 결과를 토대로 한 해커의 공격 기법 및 공통적 특징, 그에 따른 보안 대책을 지난 30일 소개했다.
■뚫으면 해킹 잘 풀리는 '웹서버·관리자PC·SW공급망'
KISA에 따르면 해커가 랜섬웨어를 유포하기 위해 주로 공략하는 대상은 크게 ▲웹서버 ▲관리자 PC ▲공급망으로 나뉜다. 타 기기로 악성코드를 확산할 수 있는 기능을 갖고 있는 것이 공통점이다.
웹서버의 경우 해커가 취약점 공격을 수행해 보안 패치가 미비한 곳을 노린다. 침투에 성공하면 해커는 웹서버에 악성코드를 설치해 서버 관리자 계정을 탈취한다. 관리자 계정에서 탐색된 서버에 접속을 시도하고, 이 중 관리자 계정과 동일한 계정정보를 사용하고 있는 서버라면 해커의 접근을 허용하고, 랜섬웨어가 설치된다.
관리자 PC는 악성메일 기반 스피어피싱에 노려지는 경우가 많다. 관리자가 무심코 첨부파일을 열면 악성코드에 감염되고, 관리자가 다루는 시스템에 대한 권한을 해커가 장악하는 식이다. 이재광 KISA 종합분석팀장은 "해커는 주로 중앙 관리 역할을 하는 액티브디렉토리(AD)서버에 관심을 갖는다"며 "프로그램 배포 기능을 사용해 악성코드를 다수 기기로 확산하려 한다"고 설명했다.
기업에서 사용하는 소프트웨어(SW) 공급망을 노리는 경우도 있다. SW 업데이트 서버에 침투해 악성코드를 포함한 변조 파일을 배포하고, 이를 내려받은 관리자 PC를 해킹해 타 기기로 랜섬웨어를 유포하게 된다.
■랜섬웨어 피해 막기까지 1년의 시간 있다
랜섬웨어 감염이 실제 피해로 이어진 사례를 살펴봤을 때에도 공통된 특징들이 나타났다.
분석 결과 해커가 공격 대상에 최초로 침투한 이후 실제 랜섬웨어 공격을 수행하기까지 1년 이상의 오랜 시간이 소요된다는 특징이 발견됐다.
이재광 KISA 팀장은 "최근의 랜섬웨어 사고는 오랜 시간 준비된 지능형지속위협(APT) 공격의 결과물"이라며 "실제 특정 기업 사례를 보면 내부망 침투가 이뤄진 뒤 내부에서 이동을 하고, 랜섬웨어를 대량으로 퍼뜨리기 위한 거점을 확보한 뒤 랜섬웨어를 실행하는 데 1년 이상이 걸렸다"고 설명했다.
랜섬웨어를 대량으로 유포할 거점을 구축한다는 것도 발견된 특징 중 하나다. 시스템 접근 권한을 지닌 관리자 PC나, 다양한 시스템이 연결돼 있는 중앙관리 서버 등이 이런 거점으로 악용된다.
이 팀장은 "최근에는 테스트 서버도 이런 거점으로 쓰이는데, 테스트 목적인 만큼 기업이 관리를 소홀히 하는 점을 해커가 악용한 사례"라고 덧붙였다.
데이터 백업 대책이 부족했다는 것도 랜섬웨어 피해 기업에서 나타난 공통점이다. 단순히 백업 데이터를 구축해놓는 것으로 그친다면 해킹 피해를 막기 충분치 않다는 지적이다. 가령 백업 데이터가 인터넷망에 연결돼 있거나 타 서버와 동일한 계정정보를 사용해 해커의 침투를 허용하는 사례가 있다는 것이다.
이 팀장은 "랜섬웨어 감염 전으로 데이터를 복구하는 데 보통 20~30일이 걸리는데, 영업이 정상화되기까지 이런 상당한 시간이 필요하다는 점을 기업들이 잘 모른다"며 "특히 비즈니스 관점에서 연속성이 가장 중요한 사업 영역들은 더욱 잘 관리해야 한다는 점을 염두해 보안 전략을 수집해야 한다"고 강조했다.
■주요 침투 경로는 수시 보안 점검…백업은 복구 훈련도 병행해야
KISA는 이같은 분석에 따라 랜섬웨어 피해를 예방할 수 있는 보안 대책들을 짚었다.
우선 해커가 최초 침투 및 랜섬웨어 대량 유포를 위해 노리는 주요 서버와 관리자PC에 대한 보안 점검을 실시해야 한다고 강조했다. 이 팀장은 "평균적으로 랜섬웨어 공격이 발현되기까지 1년이 걸리는 만큼, 기업은 보안 측면에서 선제적으로 대응할 시간적 여유를 갖고 있다"며 "주요한 점검 포인트에 대해 악성코드가 있는지 살펴야 한다"고 당부했다.
웹서버에 대해서는 최신 보안 패치를 신속히 적용하고, 서버별 계정정보를 다양하게 설정하고 다중 인증 체계를 적용할 것을 권장했다.
관리자 PC에 대해서는 해킹 시 피해가 큰 만큼 인터넷망과 분리해 악성코드 감염에 따른 피해를 최소화하라고 조언했다. AD 서버나 SW 공급망도 중앙에서 파일을 배포할 권한이 있는 만큼 랜섬웨어 유포 흔적이 있는지 파일 배포 현황 및 정책을 주기적으로 점검하라고 강조했다.
사후 대응 측면에선 해킹 원인 파악 및 재발 방지 조치의 중요성을 언급했다. 이 팀장은 "보안 점검 과정에서 특이사항이 발견될 경우 포맷 같은 단편적 조치를 해선 안 되고 KISA에 신고해 기술지원을 받는 것이 바람직하다"며 "포맷을 하면 왜 해킹이 이뤄졌는지 원인 분석을 할 수 없어 지원할 방법이 없다"고 말했다.
보안 제품 중에서는 백신과 로그관리 솔루션의 중요성을 강조했다. 랜섬웨어 악성코드가 발견될 경우 KISA와 백신 개발사가 신속히 정보를 공유하고, 이를 백신에 반영하는 체계가 구축돼 있다는 설명이다. 로그관리는 해킹 원인을 파악하는 데 효과적이라고 평가했다.
이 팀장은 "데이터를 복구하더라도 해커의 침투 경로는 여전히 존재한다"며 "해킹이 재발되는 것을 막기 위해 침투 경로와 침투 원인, 해커의 시스템 장악 범위, 랜섬웨어 유포 거점 등을 명확히 식별해 대응한 뒤 데이터를 복구해야 한다"고 덧붙였다.
관련기사
- 랜섬웨어 극성인데…4명 중 1명 "보안 기능 안 쓴다"2021.07.27
- 올해 벌써 78곳 피해...'랜섬웨어' 모의 훈련도 실시2021.07.06
- KISA, 악성코드 특징정보 산·학·연에 공유한다2021.06.08
- 해커는 즉각 움직이는데…기업은 1년 전 악성코드도 대응 못해2021.07.23
사고 상황을 가정한 모의 데이터 백업 훈련도 필수 보안 대책으로 꼽았다. 이 팀장은 "가장 먼저 데이터를 복구해야 하는 시스템은 무엇인지도 확인해야 하고, 실제 훈련을 해보면 데이터 백업이 제대로 돼 있지 않거나, 백업이 잘 되지 않는 경우도 존재한다"며 "해커가 백업 데이터도 감염시키는 경우가 많기 때문에 안전하게 관리되고 있는지도 살펴야 한다"고 말했다.
암호화된 데이터가 필요하더라도 해커의 협박에 응해 복호화 비용을 지불해서는 안 된다는 점도 강조했다. 이 팀장은 "비용을 지불해도 데이터를 복구해주지 않는 사례가 의외로 많이 있고, 비용을 지불하면 랜섬웨어 해킹 산업이 훨씬 활성화돼 결국 전체적으로는 사이버보안에 치명적인 결과를 가져온다"며 "비용을 지불하면 해커들에게 소문이 날 뿐더러 비용 지불 대가로 데이터를 복구하더라도 이 경우 해킹 원인 파악 및 재발 방지에 소홀할 가능성이 있다"고 언급했다.
