지란지교시큐리티

랜섬웨어는 2021년 전 세계적으로 주목해야 하는 사이버 공격 유형이다. 특히, 최근에는 기업이나 기관 등 특정 대상을 노리고 오랜 기간에 걸쳐 공격할 뿐만 아니라, 기업의 중요정보, 고객 개인정보 등을 유출해 협박하며, 동시에 디도스(DDoS) 공격을 감행하는 등 공격수법과 협박수단이 다양해지고 있다. 특히, 가상자산(암호화폐)과 다크웹 등을 복합적으로 이용하면서 개발조직과 유포조직이 분업하는 서비스형 랜섬웨어가 유행하면서 특별한 전문지식 없이도 랜섬웨어 공격을 감행할 수 있는 환경도 만들어졌다.
 

이처럼 랜섬웨어 공격이 늘어나고, 이로 인한 피해 역시 확산되면서 정부와 민간기업이 함께 대응책 마련에 나섰다. 과학기술정보통신부, 한국인터넷진흥원 등 정부부처와 국내 정보보호 산업계 및 학계 등은 ‘민·관 합동 랜섬웨어 대응 협의체’를 구성하고, 현재 시행 중인 랜섬웨어 관련 주요 정책 현황 검토 및 중소기업 랜섬웨어 대응역량 강화를 위한 각종 지원방안을 모색한다.

협의체 초대 의장으로 선출된 지란지교시큐리티 윤두식 대표는 “최근 피해 규모가 커지고 있는 랜섬웨어 공격은 정상 문서로 위장한 악성 문서형 공격이 주를 이루고 있다. 기업의 주요 비즈니스 채널인 이메일, 웹 등 기업의 업무 프로세스 과정에서 외부와의 빈번하게 파일 교환이 이루어지는 특징을 이용해 정상 파일에 악성 콘텐츠를 삽입하는 형태의 파일리스 공격이 확대되고 있다”고 말했다.

이어 그는 “IT·보안 인프라가 대기업보다 상대적으로 취약한 중소기업을 대상으로 한 공격이 늘어나고 있는 추세다. 한국인터넷진흥원에 따르면 2014년 2,291건이던 사이버 범죄는 2017년 3,156건으로 37.8% 증가했다. 이중 기업 규모별 사이버 침해 사고율을 보면 전체 피해기업 중 98%가 중소기업으로, 중견기업과 대기업이 2%인 것에 비하면 압도적인 수치”라며, “한국랜섬웨어침해대응센터도 2019년 상반기 기준 랜섬웨어 업종별 피해 분석 결과 중소기업(43%)과 소상공인(25%)의 피해율이 대기업(1%)보다 월등히 높다는 사실을 밝혔다. 이처럼 보안 위협으로부터 회사의 디지털 자산을 보호할 자원이나 전문 인력이 부족한 영세·중소기업들이 랜섬웨어 등 사이버 공격의 주요 타깃이 되고 있는 상황”이라고 덧붙였다.

오늘날 랜섬웨어는 세계적으로 기업에게 큰 피해를 입히고 있다. 올해 상반기 미국 최대 송유관 운영사와 글로벌 육가공업체의 미국 지사가 랜섬웨어 공격을 받아 각각 4,400만 달러(약 504억 원)와 1,100만 달러(약 126억 원)에 달하는 몸값을 랜섬웨어 해커조직에게 지급했다. 또한, 전 세계 3만 6,000여개의 고객사를 둔 미국의 IT 보안 관리업체 또한 랜섬웨어 공격을 당하면서 해커 그룹으로부터 랜섬웨어 사상 최대 몸값인 7,000만 달러(약 802억 원)를 강요받은 것으로 알려졌다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만 개의 점포와 라이더들이 피해를 입은 사고가 발생하기도 했다.

윤두식 대표는 “민·관 합동 랜섬웨어 대응 협의체는 과학기술정보통신부, 정보보호산업협회의 정보보호산업체, 그리고 한국인터넷진흥원이 참여하는 협의체로, 랜섬웨어 감염을 예방하고 피해 규모를 최소화하기 위한 민·관 공동 대응조직이다. 협의체는 대한민국 경제의 미래인 중소기업을 랜섬웨어 공격으로부터 보호하기 위한 다양한 활동들을 계획하고 추진한다. 랜섬웨어 대응 역량 강화를 위한 각종 지원방안을 마련하기 위해 준비하고 있으며, 대국민 보안 의식 개선과 경각심 고취를 위한 홍보를 강화할 것”이라고 설명했다.

협의체는 기업의 랜섬웨어 대응역량 강화를 위해 크게 5가지 노력을 기울일 계획이다. 먼저 랜섬웨어 발생과 피해 현황에 대한 정확한 파악을 위해 조사 연구를 진행할 방침이다. 우선 조사연구로, 조사연구를 통해 협의체가 기업에 실질적으로 도움을 줄 수 있는 것이 무엇인지 정확히 파악하고 사업의 범위를 정해 이를 시행할 예정이다. 다음으로 홍보 강화다. 대국민 경각심 고취를 위해 홍보 강화 방안을 마련할 예정이다. 국민들이 사이버 공격에 대한 심각성을 인식하는 것이 가장 우선적인 과제로, 이를 위해 다양한 홍보 채널과 이벤트 등을 기획해 시행할 예정이다.

세 번째는 대응강화다. 랜섬웨어 공격에 대한 기업의 대응력 강화 방안을 마련할 예정이다. 보안 솔루션 무상 지원 등 중소기업이 쉽게 활용할 수 있는 기술적인 대응 방안을 준비할 계획이다. 네 번째는 지원 강화로, 기업의 정보보호 역량 강화를 위한 지원 방안도 준비 중이다. 중소기업의 부족한 IT 역량을 메워주기 위한 실질적인 지원책들을 마련하고 수행할 계획이라는 설명이다. 마지막으로 교육훈련이다. 랜섬웨어 예방을 위한 교육 훈련 방안을 마련해 실행할 방침이다. 간단한 교육으로도 쉽게 대응할 수 있는 가이드라인을 마련할 예정이다.

중소기업의 경우 보안 취약성은 주로 인적·물적 자원이 부족한 데서 나온다. 전문적인 IT·보안 인프라 구축을 위한 예산의 부족과 운영·관리 인력의 부재로 대기업에 비해 상대적으로 열악한 것이 현실이다.

이러한 중소기업이 랜섬웨어 등 사이버 공격을 예방하기 위해서 윤두식 의장은 몇 가지 사항을 당부했다. 우선 임직원의 PC 소프트웨어(운영체제, 백신, 웹 브라우저 등)를 주기적으로 업데이트 해 최신 상태로 유지하는 것이다. 다음은 백업체계 구축 및 운영을 통한 보안성 강화다. 자료 백업 관리를 위한 정책 수립과 함께 백업 체계를 구축해 운영해야 하며, 구글 드라이브, 원 드라이브, 드롭박스 등 클라우드 저장소를 활용하거나 네트워크가 분리된 저장장치를 이용해 주요 자료를 백업하고 별도로 보관해야 한다.

특히, 임직원 대상으로 주기적인 보안교육을 실시해 보안의식 개선이 선행돼야 한다고 강조했다. 정상 문서로 위장해 침투한 공격은 사용자가 쉽게 열람할 수밖에 없다. 이에 실제와 유사한 최신 피싱 메일 템플릿을 통해 지속적인 보안 교육 및 훈련을 병행함으로써 사용자의 보안 인식을 강화하고 보안 수칙 준수를 습관화해야 한다고 설명했다.

윤두식 대표는 “협의체는 중소기업 지원 대책 중 한 가지로, 여러 정보보호 벤더가 중소기업에게 일정 기간동안 무상으로 보안 제품을 사용할 수 있도록 지원할 예정이다. 이를 통해 중소기업은 벤더들이 무상 지원하는 보안 제품을 실제로 사용해보면서 기업 환경에 가장 필수적이고 현실적인 보안 제품이 무엇인지 테스트해볼 수 있다. 무상지원 기간이 만료된 후에는 각종 바우처 사업과 연계해 예산 문제를 최소화할 수 있도록 지원할 계획이다. 상세한 무상지원 기간과 제품들은 현재 논의 중에 있다”며, “이후의 문제는 중소기업에는 지속적으로 보안을 운영 관리할 인력이 부족하다는 점이다. 이에 업계에서는 향후 기업 내 보안 운영·관리 인력 없이도 자동으로 필수적인 보안을 통합 제공하고 전반적인 보안을 숙련된 전문가가 운영·관리해주는 ‘매니지드 서비스’를 더욱 강화할 예정이며, 이는 세계적인 트렌드로 자리잡고 있다”고 덧붙였다.

또한, 협의체는 국민들에게 랜섬웨어의 위험성과 심각성, 그 예방법에 대해 지속적인 교육과 홍보를 진행할 계획이라고 밝혔다. 그는 “국민이 체감하지 못하더라도 스스로 지켜지는 보안 서비스를 제공하기 위해 매진하는 것이 중요하다고 본다. 보안 시스템 및 서비스는 처음 접근하기가 매우 어렵기 때문에 그 장벽을 없애 주는 것이 가장 중요하다고 생각한다. 어렵지 않은 보안, 기업이 지켜야 할 최소한의 보안이 무엇인지 알려주는 그런 홍보와 서비스를 제공하기 위해 노력하겠다”고 말했다.

마지막으로 “보안의 중요성은 기업 보안담당자가 가장 잘 안다. 대부분의 임직원들은 보안에 대해 거의 신경 쓰지 않는 경우가 많으며, 보안 사고가 발생하면 보안담당자가 소홀한 탓으로 돌리는 경우를 흔히 볼 수 있다. 보안과 위협 예방은 지속적인 관리와 점검, 그리고 평가가 중요하다. 그리고 이를 경영진이 알게 하는 것이 기업 보안담당자의 중요한 역할이다. 기업 보안담당자들의 업무활동에 대한 자세한 노력과 세부적인 과정, 진행사항 등을 수시로 공유하여 경영진에게 보안에 대한 중요성을 알릴 필요가 있다. 임직원 대상 교육 훈련 결과, 내부 네트워크 시스템 등의 테스트 사항 등과 더불어 개선사항들을 수치화하여 경영진에게 현재 현황을 어필하는 것이 매우 중요하다고 생각한다”고 강조했다.