정보공유와 방어체계에 대한 종합적 대책마련 필요한 상황
국내 랜섬웨어 감염 사례를 살펴보면 2020년 이전은 보안수준이 낮은 중소 제조사나 서비스업 기업을 대상으로 랜섬웨어 공격이 이루어졌고 협상금액이 현재보다는 적은 금액을 요구했다. 2020년부터는 보안수준이 높은 대기업군이 공격대상에 포함되고 대형 피해사례들이 보고되고 있다. 대기업의 경우 보안 수준이 높은 본사 보다 보안 수준이 약한 해외 지점을 주로 겨냥했다.
랜섬웨어 공격에 의한 피해 범위와 규모 역시 급격하게 증가하고 있다. 랜섬웨어에 의한 피해 규모는 2015년 3천8백억에서 2021년 23.6조원으로 약 6천200%가 급증할 것으로 전망 되며, 2031년에는 우리나라 2021년 예산 558조의 약 56%에 달하는 312조를 넘어설 것으로 전망되고 있다.
랜섬웨어 공격은 금전적 거래를 주 목적으로 하고 있으며, 공격시 확보한 정보의 유출을 볼모로 한 협박 등 기존의 사이버 공격과는 다른 특징을 보이고 있다.
◇KISA-CONCERT, 랜섬웨어 스페셜 리포트 발간
이에 한국인터넷진흥원(KISA)과 한국침해사고대응팀협의회(CONCERT)는 기관/기업이 랜섬웨어에 대한 효과적인 대응전략을 수립할 수 있도록 ‘스페셜 리포트: 랜섬웨어’편을 최근 발간했다.
이번 리포트에는 랜섬웨어의 활동 동향과 기술적 이해를 돕기 위한 정보들이 담겨 있으며, 기업 보안담당자들을 대상으로 한 랜섬웨어 설문을 실시해 기업들의 실제 대응상황과 인식수준을 파악해 볼 기회도 가질 수 있다. 또 시중에 출시되어 있는 이른바 ‘랜섬웨어 전문 솔루션’에 대한 기업 정보보호 담당자 입장에서의 고찰도 담고 있다.
◇랜섬웨어 감염 예방대책
보고서에 따르면, 랜섬웨어 공격이 기존 보안 위협과 다른 점은 기업이 보유하고 있는 개인정보 등 중요 정보 자산에 대해 암호화를 통해 이용권을 박탈하고 탈취한 정보의 유통을 빌미로 금전적 거래를 요구하고 있어 그 피해의 영향도가 해당 기업 뿐만 아니라 사회 전반에 미칠 수 있다. 따라서, 랜섬웨어 공격에 노출되지 않도록 사전 대응 체계를 마련 하는 것은 매우 중요하다고 강조하고 있다.
랜섬웨어의 감염은 주로 △메일의 첨부파일이나 URL의 접근을 유도함으로써 사용자 PC 감염 △취약점이 존재하거나 조작된 웹페이지에 사용자의 접근을 유도해 사용자 PC감염 △외부매체나 네트워크를 이용한 파일 동기화를 통한 감염 △네트워크에 노출된 시스템의 취약점을 이용한 감염 등에 의해 이루어진다고 설명한다.
이어 랜섬웨어의 감염 경로에 대해 대응 방안을 강구한다면, 공격 피해로부터 사전 예방이 가능하다. 다만, 모든 전략을 구현하기에는 시간과 비용 등 많은 자원 투자가 필요한 만큼 기업의 사정과 환경을 고려해 효과적이며 효율적인 대응전략 수립이 필요하다고 말한다.
예방 대책 주요활동으로는 △지속적 피싱메일 대응 모의훈련/교육 △SW 최신 업데이트/통합관리 △백업/복구체계 구축/훈련 △악성코드 탐지/차단 (24x365) △보안사고 신고/ 공동 비상대응 △감염경로추적 및 확산방지 조치 △백업데이터 복구 수행 △재발방지대책 수립/조치 등을 강조했다.
사고 대응체계로는 △보안사고 신고/공동 비상대응 △감염경로추적 및 확산방지 조치 △백업데이터 복구 수행 △재발방지대책 수립/조치 등이다.
예방대책 보안솔루션으로는 △URL Filter, Firewall, IPS/IDS, 복호화△SPAM Mail Filter △Malware Sand Box △Network Forensic Tool △SIEM (Security Info. Event Mgt.) △EDR (Endpoint Detection & Response) 등이다.
사고대응 보안대책으로는 △C&C(악성코드 유포지) 접속차단 △피싱메일 차단(발송자, 첨부, 컨텐츠) △악성코드 분석/탐지 △감염확산 경로추적 △보안 이벤트 통합 로그분석/관제 △단말의 상세 로그분석/대응 등이 필요하다고 전했다.
◇랜섬웨어 대응, 전직원 대상 지속적 피싱메일 대응훈련 필요
특히 랜섬웨어 감염사례 대다수가 피싱메일을 통해서 이루어지는 만큼 피싱메일에 대한 모든 사용자의 효과적인 대응이 가능하다면 이보다 더 좋은 랜섬웨어 예방대책이 없다고 강조했다.
한편 피싱메일 대응훈련이 입사시 또는 1~2년에 한번 하는 형식적인 절차에 그친다면 기대할 수 있는 효과는 크지 않다. 매월 또는 매 분기마다 시행하고 최고 경영층을 포함한 전 직원이 지속적으로 참여한다면 랜섬웨어 예방효과는 그 어떤 보안시스템보다 효과적일 것이라고 덧붙였다.
리포트 편집에 참여한 엔씨소프트 장석은 실장은 “수년 전부터 많은 이슈가 되고 있었던 랜섬웨어의 확산이 실제 기업에게 얼마나 많은 피해를 주고 있는지, 기업은 랜섬웨어를 어떻게 대응하고 있을까에 대한 궁금함을 갖고 설문조사를 준비하고 결과를 정리했다”며 “조사대상 절반의 기업이 크고 작은 랜섬웨어의 피해를 당했던 것을 확인했고, 좀더 적극적인 정보공유와 방어체계에 대한 종합적인 지원이 필요하다는 것을 느꼈다”고 말했다.
신세계디에프 최병훈 CISO는 “공격을 하는 방법은 다양해 지고 피해는 지속적으로 커져가고 있는 이 시대에 최근 화두가 되고 있는 랜섬웨어에 대한 정의 및 각 기업에서의 준비항목, 솔루션 도입의 체크포인트 등에 대해 정리하는 뜻 깊은 시간이었다”며 “특히 소수의 정보보안담당자들이 있는 기업 또는 많지 않은 정보보안 예산으로 운영을 하는 정보보호 담당자들이 이번 랜섬웨어 레포트를 통해 보다 효율적인 랜섬웨어 방어대책을 세우는데 도움이 되었으면 한다”고 소감을 밝혔다.
이번 리포트 편집에는 △김창오(야놀자) △윤우희(에스케어) △김형기(카카오) △장석은(엔씨소프트) △안소희(ENKI) △김형준(현대오토에버) △박제석(안랩) △최병훈(신세계디에프) △이익준(KGC인삼공사) △심상현(CONCERT) △이동근(KISA) 등이 참여했다.
이번 랜섬웨어 스페셜 리포트는 보호나라 홈페이지와 데일리시큐 자료실에서 다운로드 가능하다.
[AIS 2021] 국내 최대 인공지능·머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!
-인공지능·머신러닝 적용 정보보호 기술과 위협 정보 공유의 장
-2021년 9월 16일 온라인 개최
-공공·금융·기업 정보보호 관계자라면 누구나 무료참석
-보안교육7시간 이수증 발급
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★