[기고] 랜섬웨어 위협 증가, '랜섬웨어 레질리언시' 강화하자

랜섬웨어 공격은 전 세계적으로 급증하고 있는데, 이제는 인더스트리, 조직의 규모에 상관없이 기업과 조직에 있어 가장 큰 비즈니스 리스크 중의 하나가 됐다. 조사에 따르면 기업을 대상으로 한 랜섬웨어 공격은 11초마다 한 번씩 일어나고 있고, 랜섬웨어 공격을 받은 기업은 전체의 42%에 달한다고 한다. 랜섬웨어 공격이 해커들에게 이미 매우 매력적인 비즈니스가 되어 생태계는 점점 활성화되고 있다. 서비스형 랜섬웨어(ransomware-as-a-service)처럼, 이제는 점점 더 지능화되고 조직화된 방법으로 진화하는 추세다.

최근에는 한국 기업을 집중적으로 노리는 ‘귀신(GWISIN)’ 랜섬웨어가 등장해 국내 보안솔루션 등 국내 기업 보안환경과 비즈니스에 대한 높은 이해도를 바탕으로 고도의 지능형 공격을 가하고 있다. 한국인터넷진흥원(KISA)에 따르면 ‘귀신’은 국내 DRM 솔루션등 기업 내부에서 사용하고 있는 솔루션과 비지니스를 이해하고 이를 통해 더 위협적으로 기업에게 협박을 가하며, 수사기관의 수사, 대응 및 조치를 방해하기 위해 기만 작전까지 펼쳤다.

또한 빠르게 변화하는 업무 방식과 디지털 전환이라는 환경 변화로 클라우드나 컨테이너 환경 등에서의 사이버 공격에 대한 대비도 중요해졌다. 실제로 베리타스 조사에 따르면 쿠버네티스를 도입한 조직의 약 33%만이 랜섬웨어와 같은 데이터 손실 위협으로부터의 보호 체계를 갖추고 있는 것으로 나타났다. 많은 기업들이 기존 워크로드의 데이터 보호를 멀티클라우드나 컨테이너 환경 전체로 확장하지 못함으로써 위험에 노출된 데이터들을 신속하게 보호할 기회를 놓치고 있는 것이다.

이처럼 사이버 공격은 더욱 정교화되고, 보호해야할 환경은 복잡해지고 있지만, 기존의 보안 솔루션들과 프로세스로는 해킹과 사이버 공격의 완벽한 탐지 및 차단이 불가능한 것이 현실이다. 그러므로 기업들이 랜섬웨어 공격에 효과적으로 대비하기 위해서는 어떠한 방법으로도 모든 침투를 막아낼 수는 없다는 전제로 랜섬웨어 공격 발생을 가정한 ‘랜섬웨어 레질리언시’ 전략 수립이 중요하다.

랜섬웨어 레질리언시란 조직, 프로세스, 기술, 아키텍처 등 포괄적인 접근을 통한 멀티레이어드 데이터 보호 전략이다. 보안의 본질은 프로세스에 있으며, 하나로 모든 문제를 해결할 수 있는 완벽한 솔루션은 없으므로 하나의 방편이 뚫리더라도 연계된 다른 구성 요소를 통해 데이터를 보호할 수 있는 환경을 마련해야 한다. 이를 위해서는 랜섬웨어에 대한 탐지(Detection), 보호(Protection) 및 복구(Recovery) 전반에 걸쳐 대응이 효과적으로 이루어져야 하며, 보안과 백업, 인프라, DR 간의 충분한 커뮤니케이션과 상호 협업이 보장돼야 하지만, 실제로는 그렇지 못한 경우가 많다.

예를 들어 해커는 DR 센터와 백업 인프라를 같이 공격하는 경우가 많은데, 백업본이 공격을 받아 복구가 불가능하다면 피해 조직은 대응 수단 자체가 없어진다. 이를 위해서 기업이 준비해야 하는 것들은 3-2-1 백업 골든 룰 같은 백업 정책, 백업 인프라 내의 이상 징후를 감지할 수 있는 가시성과, 에어갭, 불변 스토리지(storage immutability, WORM), 백업 시스템에 최적화된 IPS/IDS 및 애플리케이션 화이트리스트 정책, 백업 프로세스 레벨의 접근 제어 및 모니터링, 백업 인프라의 OS 취약성 제거 등 프로세스와 기술에 걸쳐 포괄적인 준비가 필수적이다.