이원태 KISA 원장(앞줄 왼쪽 세 번째부터), 홍진배 과학기술정보통신부 네트워크정책실장, 김철웅 금융보안원장/사진=김가은 기자
이원태 KISA 원장(앞줄 왼쪽 세 번째부터), 홍진배 과학기술정보통신부 네트워크정책실장, 김철웅 금융보안원장/사진=김가은 기자

"랜섬웨어 공격이 날로 지능화·조직화됨에 따라 개인 및 기업들이 모든 공격을 방어하기 어렵다. 이에 랜섬웨어 '회복 탄력성(레질리언스)' 중요성이 부각되고 있다."

홍진배 과학기술정보통신부 네트워크 정책실장은 20일 서울 양재 엘타워에서 열린 '제1회 랜섬웨어 레질리언스 콘퍼런스'에서 이같이 말하며 기존 사후 대응 체계를 회복 탄력성 중심으로 바꾸겠다고 강조했다.

폭증하는 랜섬웨어 공격, 막기는 더 어려워져

과기정통부에 따르면 올해 8월 기준 국내 랜섬웨어 피해 신고 건수는 225건으로 지난 2020년 대비 77% 증가했다. 피해 기업 중 80%는 중소기업이며, 신고 기업 중 64%가 데이터 백업 체계가 구축돼있지 않은 것으로 나타났다.

특히 최근 랜섬웨어 공격은 이전과는 다른 형태로 고도화 되고 있다. 사이버 암시장 내 랜섬웨어 전문기업이 서비스형 소프트웨어(SaaS) 형태로 랜섬웨어 인프라를 판매 중이며, 이를 통해 범죄가 분업화되고 전문 지식 없이 공격을 실행할 수 있어 진입장벽이 낮아지는 추세다. 실제로 지난 2020년 발생한 랜섬웨어 공격 중 64%는 서비스형 랜섬웨어(RaaS)에 의한 것으로 나타났다.

홍진배 과학기술정보통신부 네트워크정책실장/사진=김가은 기자
홍진배 과학기술정보통신부 네트워크정책실장/사진=김가은 기자

금전을 요구하는 협박 방식도 진화했다. 데이터를 암호화해 접근을 차단하는 기존 협박 방식을 넘어 기업 중요 기밀 데이터를 다크웹이 아닌 일반 웹상에 공개하고, 피해 기업을 넘어 고객까지 범위가 확대됐다. 여기에 분산서비스거부(DDoS) 공격까지 감행해 '3중 압박'을 가하는 것.

홍 실장은 "디지털 기술이 일상으로 들어오며 삶은 편리해졌지만 그만큼 사이버 위협도 늘어나고 있으며, 특히 랜섬웨어가 더 조직화, 고도화되고 있다"며 "그 중 중소기업을 대상으로 한 공격은 지역과 업종 분야를 가리지 않고 확대되고 있다"고 설명했다. 또 그는 "그러나 감염 추세에 비해 데이터 백업 및 관리 소홀로 대응체계가 완전하지 않은 상황"이라며 "민관 협업으로 회복 탄력성을 확보하는 것이 중요하다"고 강조했다.

이원태 한국인터넷진흥원(KISA) 원장 또한 "랜섬웨어가 가공할만한 위협이 되며 회복 탄력성을 중심으로 대응의 패러다임을 바꿔야 한다"며 "지금까지는 사후적 대응에 급급해 원인 진단도 제 때하지 못했고, 이에 따라 피해를 원천적으로 막기 어려웠다"고 설명했다.

정부, 랜섬웨어 차단·탐지·복구 전방위 지원

과기정통부는 이같은 상황을 해결하기 위해 민간과 공조체계를 강화하고, 복구도구·추적 기술에 대한 연구개발(R&D)로 랜섬웨어 차단·탐지·복구를 위한 핵심 대응 역량을 확보한다는 계획이다.

먼저 민간과 정보공유를 강화한다. 민간 사이버 위협  정보공유 분석시스템(C-TAS)을 개방형 플랫폼으로 전환해 협력을 확대하고, 참여 기업을 확대에 나선다. 현재 참여 기업은 1596곳으로 지난 2020년 대비 약 5배 가량 늘었다. 또 의료·금융 등 분야별 정보공유분석센터(ISAC)을 실시간으로 연동해 유기적 체계를 구축할 예정이다.

뿐만 아니라 새로운 랜섬웨어 복구도구를 개발하고, 공격 근원지를 추적하는 기술에 대한 연구에 착수한다는 방침이다. 현재 KISA는 랜섬웨어 국제 협력 프로젝트 '노모어랜섬(nomoreransom)' 협력 파트너로 활동하며 'magniber', 'SimpleLocker' 랜섬웨어에 대한 복구도구 및 사용 매뉴얼을 지원하고 있다. 최근에는 하이브 랜섬웨어에 대한 통합 복구도구를 개발·배포하기도 했다. 하이브 랜섬웨어는 RDP 취약점을 이용해 시스템에 침투한 후 파일을 암호화하고, 버전에 따라 파일 확장자를 '.hive' 또는 랜덤한 문자열로 변경하는 랜섬웨어다.

과학기술정보통신부 중점 추진과제/사진=김가은 기자
과학기술정보통신부 중점 추진과제/사진=김가은 기자

기업 및 개인 대상 지원도 확대한다. 주요 정책으로는 ▲국가중요시설-기업-국민 수요자별 선제적 예방 ▲정보공유·피해지원·수사 등 사고대응 전주기 지원 ▲진화하는 랜섬웨어에 대한 핵심 대응 역량 제고 등이다.

이를 위해 과기정통부는 정유사 등 국민 밀접 중요시설 6곳을 기반 시설로 신규 지정하고, 민간·공공기관 109곳에 대한 긴급 점검을 실시한다. 또 보안 점검 결과 미흡기관에 대한 모의 침투 훈련도 진행한다. 예산이 부족한 중소기업을 대상으로는 데이터 백업을 지원하는 '데이터 금고', 원격으로 서버를 관리해주는 '내 서버 돌보미' 등을 확대 추진한다. 

국민 대상 지원 프로그램을 진행해 수요자별 선제적 예방도 강화한다. '국민들을 위한 내 PC 돌보미', 취약 계층을 대상으로 한 '찾아가는 보안 서비스'를 확대한다.이밖에 올해 2월 신설된 경찰청 사이버테러대응과를 필두로 수사 역량 강화도 도모할 예정이다. 현재 전국 시도 경찰청에는 사이버테러수사팀이 별도로 설치돼 운영되고 있다.

홍 실장은 "과기정통부는 기업들이 랜섬웨어 공격으로 인한 피해를 빠르게 회복할 수 있도록 하겠다"며 "랜섬웨어 예방·탐지·차단을 넘어 복구까지 전 과정에 대한 정책적 지원은 물론, 기업과의 소통·정보공유를 강화해나가겠다"고 강조했다.


김가은 기자 7rsilver@techm.kr

관련기사

키워드

Top #과기정통부 #과학기술정보통신부 #홍진배 #레질리언스 #회복탄력성 #랜섬웨어 #RaaS #서비스형 랜섬웨어 #복구도구 #C-TAS