[첨단 헬로티]

랜섬웨어란, 몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어로, 사용자의 컴퓨터에 해킹 및 바이러스 감염을 통해 사용자의 파일을 암호화시켜 금전을 요구하는 악성 프로그램을 말한다. 랜섬웨어 해커는 중요한 파일의 목록과 RSA 공개키를 확보하고 각 파일에 AES 키를 생성해 암호화한다. 가장 큰 문제점은 감염되면 복구가 매우 어렵다는 점이다. 현재 랜섬웨어 복구 도구들이 시중에 출시된 바 있으나 실질적으로 과거에 유행했던 랜섬웨어의 피해 일부만 복구할 수 있고 랜섬웨어 감염 자체에 대해서는 복구가 불가하다.

랜섬웨어에 걸리면 일반적으로 파일들이 암호화되며 암호화된 파일을 열 수 없고, 중요 시스템 프로그램도 열리지 않으며 윈도우 복원 시점이 제거되거나 업데이트가 불가해진다. 이밖에도 별도의 다른 악성코드가 사용자의 컴퓨터에 심어지기도 한다.

감염 경로는 일반적인 바이러스와 비슷하다. 신뢰할 수 없는 사이트에서 단순한 접속만으로도 감염될 수 있다. 특히 음란물, 무료게임 사이트 등은 보안에 취약한 경우가 많아 큰 주의가 필요하다. 출처가 불분명한 스팸메일의 첨부파일이나 첨부 URL 또한 유의해야 한다. 이외에도 토렌드, 와레즈, 웹하드 등과 같은 파일공유사이트에서 파일을 다운받고 이를 실행했을 때 악성코드에 감염되는 경우도 있다. 최근에는 해커가 특정 회사를 대상으로 수 개월동안 치밀하게 타겟팅해 랜섬웨어를 감염시킨 사례도 발생했다. 이제는 랜섬웨어에 대한 적극적인 대응책을 준비해야할 것이다.

그림 1은 랜섬웨어 연대표이다. 랜섬웨어는 2012년 경에 처음 발견됐으며 2015년부터 본격적으로 다양한 형태를 띄며 분화과 되었고 2016년부터는 랜섬웨어의 종류가 폭발적으로 증가하고 있다. 이 현상에 대한 결정적인 원인 중 하나가 바로 비트코인의 활성화이다. 데이터 인질에 대한 몸값을 지불하는 수단으로 가상화폐의 사용이 시작됐기 때문이다. 가상화폐는 소유주의 확인이 어렵고 전 세계 어디에서도 현금화가 가능하기 때문에 추적이 거의 불가능하다. 이런 흐름이 맞물리면서 2015년 35종이었던 랜섬웨어가 2016년에는 193종까지 증가했으며 올해는 더 분화된 랜섬웨어로 전 세계를 공격하고 있다.

그림 2. 매년 새로 발견된 신종 랜섬웨어

랜섬웨어는 국내에서도 맹위를 떨치고 있다. 지난 6월에는 국내의 호스팅 업체에서 신종 랜섬웨어 공격을 받아 호스팅으로 관리된 약 5,000여 개의 공공기관, 쇼핑몰, 게임 등의 업체 서비스가 중단되는 사태가 발생됐다. 결국 13억 원 규모의 비트코인을 지불하고 서비스의 약 90% 정도를 복구했다. 이 과정에서 다양한 복구방법을 시도했으나 신종 랜섬웨어는 알려진 복구 도구로는 복구가 불가능했다. 이 호스팅 업체는 고객사의 피해를 최소화하기 위해 해커와의 협상을 진행할 수밖에 없었다.

국내 제조업체 피해사례는 많이 알려져있지는 않지만 실제로는 많은 업체들이 랜섬웨어 공격을 받고 있다. 매출 7,000억 원 규모의 한 자동차 부품 업체도 50여 대의 운영서버 중 3대가 랜섬웨어에 감염됐다. 이 업체는 다양한 CADCAM 솔루션을 활용해 설계를 진행하는데, 설계도면은 그 자체로 매우 큰 부가가치를 지닌 지적재산이다. 그렇기 때문에 스토리지도 수십 테라바이트 규모로 운영되고 있었다. 랜섬웨어에 감염된 3대의 서버는 다행히 백업정책에 의거해 백업을 정상적으로 운영했기 때문에 복구가 가능했지만, 그래도 복구하는 데 3일의 시간이 소요됐다. 이 기간동안 추가적인 피해확산을 예방하기 위해 사내 네트워크도 제한적으로 사용할 수 밖에 없어 업우에 지장이 발생하기도 했다. 

반면 한 소규모 기계설비 제조업체는 랜섬웨어에 감염됐을 때 정기적인 백업이 이뤄지지 않고 있어 복구가 불가했다. 이 업체는 복구를 시도하는 동시에 추가적인 피해를 방지하기 위해 회사의 모든 PC 및 서버에 랜섬웨어를 예방하는 솔루션을 곧 도입할 예정이라고 한다.

그렇다면, 랜섬웨어에 대응할 수 있는 현실적인 방법은 무엇일까? 그림 3은 한국인터넷진흥원에 소개된 랜섬웨어 복구 및 대응절차이다.

첫 번째, 백업본이 있는 경우 백업시점으로의 완전한 복구가 가능하다. 모든 운영장비에 백업솔루션으로 백업본을 유지하고 동시에 백업정책을 수립한 경우라 할 수 있다. 다만 위에서 언급했던 호스팅 업체의 사례처럼 공격자들이 원천적으로 복구가 불가능하게 만들기 위해 백업서버 및 모든 백업을 암호화한 경우도 있다. 그래서 중요한 것이 바로 백업 데이터의 소산이다. 다수의 백업정책에서 언급하듯이 데이터 보호를 위해 데이터를 서로 다른 장소에 보관하는 ‘소산’을 권장하고 있다. 데이터를 다른 곳에 두게 되면 한 곳의 데이터가 재해 등으로 유실되더라도 복구가 가능해진다. 하지만 과거에는 ‘데이터/백업의 소산’을 이행하기에 어려움이 있었다. 바쁜 업무시간에 데이터를 다른 곳에 저장한다는 것은 이상적인 행동이긴 하지만 거의 불가능했다. 그렇지만 이제는 백업솔루션에을 통해 로컬에는 저장소에 백업을 진행하고 그와 동시에 백업을 클라우드에도 저장할 수 있기 때문에 소산이 매우 쉽게 가능해졌다.

두 번째, 복구 도구가 있는 경우이다. 인터넷에 검색해보면 여러 랜섬웨어 복구 도구를 찾아볼 수 있다. 오래전의 랜섬웨어는 일부 복구도 가능한 수준이다. 그러나 랜섬웨어는 돈을 탈취할 목적으로 공격이 가해지기 때문에 항상 최신으로 업데이트된 랜섬웨어에 감염될 확률이 높다. 이 경우에는 해당 랜섬웨어 복구 도구가 만들어질 때까지 기다려야 하며 그 시점이 언제가 될지는 예측하기 어렵다.

세 번째, 백업파일도 없고 복구 도구도 없는 경우에는 데이터를 포기하거나 데이터를 복구하기 위해 해커에게 몸값을 지불할 수밖에 없다. 일부 개인이나 기업은 복호화 비용 지불 후에도 암호 해독키를 제공받지 못하는 경우가 발생했으며 일부 기업은 비용을 지불한 후에도 재공격 대상이 되어 지불했던 비용보다 더 많은 비용을 요구하는 사례도 있다. 결론적으로 정기적인 백업과 데이터 소산만이 랜섬웨어의 공격으로부터 실질적으로 대처할 수 있는 유일한 방법이다. 

그림 3. 랜섬웨어 복구절차

시장조사기관 IDC에 따르면, 조직이 디지털 전환 전략을 실행함에 따라 스토리지 우선 순위는 성능 향상, 규정 준수 보장, 인프라를 현대화하는 클라우드 기반 데이터 보호 및 백업으로 이동하는 데 중점을 둔다. 각 인프라에서 데이터 장소를 별도의 개체로 보호하는 것은 비효율적이며 사용자 오류 및 사이버 공격을 받기 쉬워 데이터를 중앙에서 관리하고 보호하는 데 도움되는 솔루션이 필요하다고 말하고 있다. 또한 모든 종류의 작업용 PC, 워크스테이션 백업을 체계적으로 관리하고 있지 않은 다수의 중소기업들에게 자동화된 랜섬웨어 보호기능은 가치 있는 추가 기능이라고 전한다.

아크로니스 백업 클라우드(Acronis Backup Cloud)는 윈도우 및 리눅스 백업으로 알려진 백업 솔루션이다. 최근에는 백업을 Saas(Software as a Service) 형태로 제공되고 있다. 특히 IDC에서 중요하게 언급한 클라우드 기반의 데이터 보호, 데이터를 중앙에서 관리 후 보호, 자동화된 랜섬웨어 보호 기능을 기본적으로 포함하고 있다.

백업에서는 3-2-1 규칙이 황금률이라 불린다. 데이터 복사본 3개를 2개의 형식으로 보관하되 복사본 가운데 1개는 오프사이트에 위치해야 한다는 것이다. 3개의 복사본을 유지하면 서로 다른 위치에 다른 형식으로 존재하게 되므로 리던던시(redendancy)를 확보하게 된다. 특히 클라우드 백업이 새로운 3-2-1 규칙의 표준으로 부상하고 있는데. 주 백업은 로컬 디스크에 두 번째 백업은 클라우드에 두는 방식으로 오프사이트 데이터 복사본을 클라우드에 둘 수 있기 때문에 백업 황금률에 매우 부합한다고 볼 수 있는 것이다. 백업 콘솔에서 위치만 지정하면 로컬, 클라우드에 상관없이 백업을 정책에 따라 자동적으로 실행해 관리자의 부담이 많이 줄어든다. 아크로니스는 구조적으로 데이터가 소산돼 랜섬웨어의 공격에서도 최후의 백업본을 지킬 수 있다.

그림 4. Acronis Backup Colud Storage 저장화면

아크로니스 백업 클라우드의 또 다른 장점은 콘솔의 원격지에 있는 모든 서버 및 PC를 한 번에 관리할 수 있다는 것이다. Web-based 콘솔을 제공해 인터넷이 되는 곳이라면 어디에서는 모든 백업서버의 운영관리가 가능해 관리자가 매우 편리하게 백업을 관리할 수 있다. 같은 사무실, 같은 건물은 물론이고 서울, 부산, 광주 등 국내 어디든지 심지어 세계 어느 곳에 있더라도 장소에 구애받지 않고 백업이 가능하다. 또한 이기종 복원을 지원해 P2P(Physical to Physical), P2V(Physical to Virtual), V2V, V2P 등 어떤 형태로도 복원이 가능해 실질적인 복구 Disater Recovery 기능을 수행할 수 있다.

아크로니스의 아크로니스 액티브 프로텍션(Active Protection)은 랜섬웨어 탐지 및 복구 기능이 자체 내장돼 있다. IDC에서 언급한 바와 같이 모든 기업들은 랜섬웨어에 대해 방어전력을 구축하고 시행하기가 쉽지 않은 환경이다. 아크로니스 액티브 프로텍션은 아크로니스 백업 클라우드에 기본적으로 탑재된 기술로, 인공지능 기반으로 랜섬웨어를 탐지해 랜섬웨어 프로세스를 차단시킴과 동시에 감염된 파일을 이전의 백업본으로 복원한다. 랜섬웨어 감염 의심 프로세스사 발생하면 즉시 탐지해 ‘경고’ 메시지로 사용자에게 주의를 주며 사용자는 경고창에서 직접 클릭해 랜섬웨어 감염 여부를 파악할 수 있다. 이후 사용자가 복원을 클릭하면 변경이 시도된 파일을 임시 스토리지 또는 백업본에서 복구하고 White list/Black list 기능을 통해 관리가 가능하다. 또한 자기방어 기능도 포함되어 있어 알 수 없는 프로그램이 아크로니스의 파일이나 설정값을 변경하는 행위를 방지한다.

그림 6. 랜섬웨어 대응기능 Acronis Active Protection

(위부터 순서대로 실시간 탐지, 실시간 복구, 자기 방어)

뿐만 아니라 아크로니스 액티브 프로텍션은 머신러닝 기반의 학습구조를 가지고 있어 진화하는 랜섬웨어에 빠르게 대응할 수 있다. 앞서 언급했듯 랜섬웨어는 아주 빠르게 진화하고 있다. 아크로니스 액티브 프로텍선은 클라우드 기반의 머신 러닝 구조를 통해 고객현장에 발생하는 랜섬웨어 정보를 수집해 학습하고 대응한다. 이러한 구조는 신종 랜섬웨어에도 빠르게 대처할 수 있는 기반을 제공한다.

그림 7. Acronis Active Protection의 머신 러닝 구조

현대 사회는 랜섬웨어라는 강력한 범죄위협에 개인과 기업이 노출돼 있다. 모든 지식이 가치이나 자산인 시대로 나아갈수록 이에 대한 위협은 더욱 증가할 것이다. 과거에는 귀찮은 일로 여겨졌던 백업이 기업 자산보호의 가장 기본이 되었다고 할 수 있다. 어떠한 백업소프트웨어를 사용하더라도 백업의 황금률(3개의 백업본, 2개의 미디어, 1개의 오프사이트) 백업을 지킨다면 랜섬웨어로부터 충분한 대비책이 될 수 있을 것이다. 앞서 언급한 아크로니스 백업 클라우드에 대한 사항은 유리시스템(www.urisystem.co.kr)을 통해 확인 가능하다.

글 오성일 전략마케팅팀 부장, 유리시스템

정리 정가현 기자(eled@hellot.net)