기업 및 기관들을 끊임없이 괴롭히고 있는 랜섬웨어가 악랄함을 더해가고 있다. 탈취한 데이터를 암호화, '인질극'을 벌이며 몸값을 요구하던 과거 방식을 넘어 아예 데이터를 파괴하는 새로운 공격 전략을 채택하고 있는 것이다.

19일 SK쉴더스는 민간 랜섬웨어 대응 협의체 '카라(KARA)'와 함께 랜섬웨어 동향 보고서를 발간했다고 밝혔다.

이번 보고서에는 지난해 4분기 가장 기승을 부린 주요 랜섬웨어 그룹의 공격 전략을 글로벌 보안 위협 표준 프레임워크 '마이터 어택(MITRE ATT&CK)'에 맞춰 각 단계별로 분석하고 대응 방안을 기술했다.

보고서에 따르면 최근 랜섬웨어 중 데이터를 파괴하거나 데이터베이스(DB) 서버를 집중적으로 노리는 랜섬웨어가 새롭게 등장했다. 데이터 파괴형 랜섬웨어 '블랙 캣'은 1차적으로 데이터를 유출하고, 이후 2차 공격을 수행해 데이터를 파괴하는 등 유출한 데이터를 이용해 협박하는 고도의 전략을 보이고 있다. 피해자는 데이터를 돌려받을 수 없을 뿐 아니라, 공격자 다중 협박에 응할 수밖에 없는 구조가 돼 위험성이 크다.

한 번 공격을 받으면 큰 피해를 입을 수 있는 DB를 노린 랜섬웨어도 먹잇감으로 전락했다. DB는 기업 주요 시스템 중 하나로, 일반 웹 서버나 PC를 공격했을 때에 비해 피해 규모가 훨씬 크다. 랜섬웨어 공격자들은 이런 점을 노려 외부에 노출된 취약한 DB서버를 공격하는 전략을 사용하고 있다. 국내에서도 제약, 바이오 등 다양한 업종에서 피해 사례가 발생하고 있어 DB서버에 대한 보호 조치가 마련돼야 하는 상황이다.

'서비스형 랜섬웨어(RaaS, Ransomware as a Service)' 또한 금전적 수익을 극대화하기 위해 고도화된 전략과 탐지 회피 기법을 적용하며 진화하고 있는 것으로 나타났다. 대표적 RaaS인 '록빗(Lockbit)'은 지난 4분기에 발견된 공격 사례만 해도 161건에 달한다. 이들은 주로 제조업, 서비스업, 정보기술(IT) 등을 목표로 공격을 진행하고 있는 것으로 조사됐다. 록빗은 랜섬웨어를 제작해 판매하고, 공격자는 이를 구매해 유포하는 형태로 변종을 계속 만들어내고 있어 보다 전문적이고 종합적인 대응이 요구되고 있다.

KARA는 이같은 공격에 대비하기 위해 단계별 보안 요소와 프로세스를 마련하고, 랜섬웨어를 사전에 탐지·차단해야 한다고 강조했다. 이를 위해 기업에서는 데이터 백업 보안 점검과 랜섬웨어 위협 사전 진단, 랜섬웨어 모의 훈련 서비스 등을 통해 전반적인 랜섬웨어 대응 프로세스를 수립해야 한다. 또한 ▲보안관제 및 백업 솔루션 침입 탐지 서비스 도입 ▲엔드포인트 침입 탐지 및 대응(EDR) 솔루션 구축 ▲네트워크 내 접근 최소화 ▲정기적 보안 교육 및 대응 수준 평가 등 종합 대책을 제시했다.

SK쉴더스는 24시간 365일 대응 가능한 '랜섬웨어 대응 센터'를 운영 중에 있으며 '랜섬웨어 대응 서비스'를 통해 공격 단계에 따라 ▲랜섬웨어 위협 사전 점검 ▲실시간 침입 탐지 및 차단 체계 구축 ▲랜섬웨어 사고 대응 및 복구 서비스 등을  제공한다. 사고 접수부터 피해 복구까지 한번에 대응할 수 있도록 전문적으로 서비스를 구성했다. 사고 이후에도 피해 복구, 법적 대응, 보험 가입 등 서비스를 제공한다.

김병무 SK쉴더스 클라우드사업본부장은 "최근 랜섬웨어 공격이 정교화, 표적화되며 기업 본연의 비즈니스를 수행하는데 가장 큰 걸림돌이 되고 있어 종합적 대응 프로세스 수립이 시급하다"며 "SK쉴더스는 KARA 회원사와 함께 기업 통합 대응 시스템을 구축하는 데 최선을 다할 것"이라고 말했다.

김가은 기자 7rsilver@techm.kr