랜섬웨어, 기업 시스템 장악까지 1년…”조기 무력화 가능”

“사이버 공격에 노출된 후 시스템이 장악되기까지 최대 1년이 걸립니다. 이 안에 악성코드를 찾아내고 무력화한다면 랜섬웨어 피해 없이 방어하는 것이 가능합니다.”

김진국 플레인비트 대표와 김혁준 나루씨큐리티 대표가 5일 서울 강남구 인터콘티넨탈 파르나스 호텔에서 공동 기자간담회를 통해 침해평가(CA) 서비스를 공개했다.

침해평가 서비스는 이미 기업내 침투한 악성코드나 멀웨어 등 사이버 위협을 감지하고 파악하는 서비스다.

기업망에 침투한 악성코드가 데이터를 탈취하거나 시스템을 장악하기 전 조기에 발견해 무력화함으로써 기업의 비즈니스 연속성을 보장한다.

나루씨큐리티 이재광 센터장은 “한국인터넷진흥원(KISA)에서 14년간 침해사고 분석 업무를 수행하는 과정에서 랜섬웨어 등으로 인해 수많은 기업들이 돌이킬 수 없는 피해를 겪는 것을 봐왔다”며 “이러한 피해를 막기 위해 내부에 이미 침투한 공격자의 활동을 찾아내고 제거할 수 있는 서비스를 고안하게 됐다”고 소개했다.

이어서 그는 사이버 공격에 노출된 후에도 침해평가를 통해 방어할 수 있는 이유에 대해 설명했다. 악성코드는 대부분 보안 시스템의 사각지대에 놓인 취약점 등을 통해 침투한다.

다만 사각 지대를 통해 진입한 만큼 초기 침투로는 기업에 큰 영향을 미치기 어렵기 때문에 직원 계정 등으로 위장해 서서히 전체 시스템을 장악하거나 주요 데이터의 유출을 진행한다.

사이버 공격자가 원하는 목표를 달성하면 이후 시스템을 장악 후 기업에 알려 몸값을 요구하거나 핵심데이터를 외부에 판매하게 된다.

이재광 센터장은 “이렇게 기업에 침투한 악성코드가 실제로 시스템을 장악하는데 걸리는 시간이 약 1년 정도 소요된다”며 “이 기간 내에 이러한 이상 현상을 파악하고 무력화할 수 있다면 실제 피해로 이어지기 전에 막아내는 것이 가능하다”고 설명했다.

실제로 북한 해킹 그룹이 수행한 법원전산망 개인정보 탈취 역시 2021년 1월 7일 이전부터 2023년 2월 9일까지 2년에 걸쳐 진행된 것으로 나타났다.

그는 이러한 피해를 방지하기 위해선 적어도 6개월에 한 번은 침해평가 서비스를 통해 시스템을 점검할 필요가 있다고 설명했다.

최근 엔드포인트 탐지 및 대응(EDR)이나 확장된 감지 및 대응(XDR) 등 이와 유사한 서비스들이 선보이고 있다. 이에 대해 김진국 플레인비트 대표는 서비스가 감지하는 범위와 특성이 다르다고 설명했다.

김 대표는 “우리는 악성코드를 단순히 발견하는 것이 아니라 기업의 전체 시스템을 분석하며 이상 활동을 감지하고 그것이 어떤 의미를 갖는지 분석해 시각화해 제공한다”고 소개했다.

이어서 “이러한 서비스를 위해선 보안분야에 전문적인 노하우가 요구된다”며 “플레인비트와 나루씨큐리티는 10년 이상의 사고 대응 경험을 보유하고 있으며, 지난 5년 동안 4천 건 이상의 사고를 조사했으며, 국가 차원의 중요 사고 대응을 위해서 민관합동조사단에도 지속 참여하고 있다”고 강조했다.