[bnTV] 으악? 내 돈!! 데이터 복구 없이 먹튀?? 악질 다크웹 랜섬웨어 대응법

  |  입력 : 2022-06-22 11:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 조직, 기업 매출과 상장여부 등 확인해 금액 책정...250~300억 요구하기도
보안조치 취하면서 협상을 최대한 지연시켜야만 금액 깎거나 협상 결렬 시에도 피해 최소화
국가기관에서 개발한 악성코드, 다크웹에 거래되면 피해범위는 ‘상상초월’일 수도



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 11화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요? 보안뉴스의 권준 편집국장입니다.

■ 곽경주 이사 안녕하세요? S2W의 곽경주입니다.

□ 권준 국장 또 이렇게 만나 뵙게 되어 반갑습니다.

▲bmTV [곽경주의 다크웹 인사이드] 11화 시작 화면[이미지=보안뉴스]


[랜섬웨어 감염 복구 방법]
□ 권준 국장 요즘에 ‘랜섬웨어에 걸려서 돈을 보냈는데 복구를 못 받았다’라는 사례들이 많다고 하더라고요. 어떤 조사결과 보면 돈을 보냈는데 3분의 1 정도가 복구가 안돼서 “어떻게 해야 되냐” 이런 걱정도 많이 하시고 그러는데 이사님이 고객들 접해보시기에 좀 어떠셨나요?

■ 곽경주 이사 요즘 같은 범죄자들의 커뮤니티가 잘 되어 있는 시기에는 복구를 안 해주는 경우는 많이는 없어요. 그런데 이제 간혹 그런 ‘먹튀’들이 발생하는데 그런 것들은 사전에 알기가 쉽지 않아요. 걔네들이 ‘먹튀’인지 아닌지요. 그런데 저 같은 경우에는 경험이 많다 보니까 얘네들은 ‘복구(복호화) 도구가 있는 랜섬웨어’다 ‘없는 랜섬웨어’다 이것은 어느 정도 명확하게는 나와 있어요.

그래서 (랜섬웨어에) 걸리셨을 때 각 개인이 걸렸을 때는 전문적인 벤더나 업체를 찾아가는 것은 쉽지 않지만 어느 정도 규모가 되는 사업장이나 그런 곳에서는 저희한테 연락을 많이 주시거든요. 그럼 처음 하는 것은 무슨 악성코드에 감염됐는지를 알기 위해서 악성코드 샘플을 요청합니다. 그래서 악성코드가 무엇인지 확인을 하고 그래서 복구 도구가 기존에 있었던 악성코드인지 여기서 복구 도구라는 것은 범죄자가 주는 것 말고 민간(기업)이나 한국인터넷진흥원이나 각 벤더나 거기서 주는 도구가 있는지 (확인을) 해봐서 없으면, 대부분 (복구 도구가) 없긴 하지만요.

없어도 복호화가 가능한지 여부는 확인은 해볼 수 있어요. 확인 자체는 이틀에서 사흘 정도면 각이 나옵니다. 가능하다 가능하지 않다. 저희가 암호학적으로 분석을 해보기 때문에 ‘복호화가 가능한 정도가 있다’ 그런 사례도 실제로 있었어요. 그럼 이제 복호화를 해드리는 것이고 안 되면 어쩔 수 없어요. 돈을 주는 수밖에요.

그런데 돈을 주기 전에 최대한 경험이 많은 주변에 지인, 전문가라든가 이런 사람들을 찾아가지고 컨설팅을 받으셔야 돼요. 그러면 이제 전문가들은 다크웹 포럼에서의 랜섬웨어의 평판 같은 것을 확인합니다. 얘네들이 ‘먹튀’로 신고된 적이 있는지 그리고 나서는 이제 협상 과정을 최대한 지연시키셔야 돼요. 앓는 소리 좀 하시면서 “너무 중요한 데이터이고, 근데 나는 일개 회사원이다, 비트코인 구하기도 어렵다.” 이런 식으로 최대한 지연시키고 그 다음에 비트코인을 1차 2차로 나눠서 보내준다든가, 근데 이것이 현실적으로 안 될 수도 있어요. 아무튼 협상에서의 묘(妙)를 발휘하셔야 합니다.

[랜섬웨어 조직의 요구 금액]
□ 권준 국장 천차만별이긴 할텐데 기업마다 (랜섬웨어 조직이 요구하는) 금액, 어느 정도로 형성되어 있나요?

■ 곽경주 이사 범죄자들이 사전 조사를 다 해요. 이 회사 매출이 얼마이고, 구성원 규모는 얼마나 되고, 상장사인지 아닌지도 다 확인하고 그래서 거기에 맞춰가지고 돈을 매기거든요. 그래서 좀 큰 회사다, 그러면은 부르는 것이 값이죠. 처음에 몇 백억 부르죠. 250억~ 300억씩 부르고요. 그런데 보통 처음 부르는 그 가격 그대로 주는 회사도 없고 범죄자들도 그 돈을 받을 거라는 생각을 별로 안하는 것 같아요. 제가 봤을 때는 50% 정도는 전부 다...

□ 권준 국장 깎을 수 있다?

■ 곽경주 이사 깎을 수 있어요. 그래서 한 100~120억 이렇게 내는 회사들도 있고 회사 규모가 작다 그러면 한 30억, 40억 부르는데 거기서도 깎으셔야죠. 한 10억, 20억대로...

[랜섬웨어 조직과의 협상 요령]
□ 권준 국장 그런데 회사별로 “우리 회사는 진짜 협상 없다, 돈 안 보내겠다” 그렇게 했을 때 피해를 최소화할 수 있는 후속조치는 뭐가 있을까요?

■ 곽경주 이사 일단 돈을 안주실 것이면 이것(협상 과정)을 최대한 지연시켜야 돼요. 2주, 3주... 그래서 중간에 사고조사 외부에 전문가를 돈을 줘서 고용을 하신 다음에 (악성코드가) 최초에 어디로 들어왔는지를 확인하셔야 돼요. 최초의 침투지점을 확인하시고 그곳을 전부 걸어 잠그셔야 되고 인터넷 다 끊으신 다음에 사고조사를 하세요.

이에 앞서 랜섬웨어 그룹들이 협박을 할 것입니다. “너네 Security Vendor, 전문 업체나 유관 기관에 신고하면 우리 2차 공격 들어갈 것이다”라고 하는데 이미 인터넷을 다 끊고 그런 상황에서는 이들이 확인하기가 어려워요. 조사를 하고 있는지 안하고 있는지 그냥 블러핑(Bluffing)이에요. 허세고 허풍이기 때문에 거기에 겁먹으실 필요는 없고요.

악성코드 찾고 그 다음에 (악성코드가) 몇날 며칠에 들어왔고 어디까지 확산이 됐는지 그런 것들을 내부적으로 빠르게 최대한 빠르게 조치를 하신 다음에...

대부분은 관리되지 않고 있는 서버나 그런 쪽으로 들어오거든요. ‘록빗(LockBit)’이나 이런 곳들은 ‘제로데이(Zero-day)’ 취약점 같은 것들도 갖고 있을 수 있겠지만, 대부분의 랜섬웨어 그룹들은 엄청난 수준으로 들어오거나 그런 경우는 거의 없어요. 그런 부분들을 많이 확인하시고 1차적으로 그렇게 막으신 다음에 그리고 나서 “우리 (사고조사 및 복호화가) 어느 정도 됐다”고 하면 그때 “우리 돈 안 낼거야”라고 하는 식이죠. 그런데 이 방법은 항상 불안하긴 합니다. 패치가 안 된 취약점을 이용하고 있는 것일 수도 있고 불안불안 하긴 하죠.

□ 권준 국장 결국 사전에 예방이 제일 중요하겠네요, 그렇죠?

■ 곽경주 이사 네, 그렇죠.

[랜섬웨어 감염 예방 조치]
□ 권준 국장 항상 나오는 얘기이긴 하지만 그래도 사전에 피해를 최소화하기 위해서 예방 조치 몇 가지만 간단하게 설명해 주신다면?

■ 곽경주 이사 기업에서 할 수 있는 것들은 관리되지 않고 있는 우리의 자산이 무엇인지를 확인하셔야 돼요. 그게 무슨 의미냐면 보안팀이나 인프라팀에서는 우리 내부의 서버가 몇 대가 있고, 그 용도를 전부 구분해두셨을 텐데요 그럼에도 불구하고 (회사의) 규모가 커지기 시작하시면 내부에 연구팀도 있을 것이고, 고객 쪽 대응하는 팀도 있을 것이고 서비스 퀄리티 체크하는 곳도 있잖아요? 그런 곳에서 만들어내는 서버들도 있거든요? 그런 서버는 관리가 잘 안돼요. 그런 것들을 정책적이든 내부적으로 체계를 만드셔야 되고 관리가 될 수 있게 해야 합니다. 아니면 이제 외부에서 공격자 관점으로 관리되지 않는 자산들을 찾아주는 그런 서비스들도 있거든요? 그런 것들을 이용해서 최대한 자산을 관리하셔야 됩니다.

그리고 이것은 조금 전문적인 얘기라서 그렇긴 한데 수백 대, 수천 대의 단말들을 관리하는 프로그램들이 있어요. 그것을 관리할 때 최고관리자 권한을 가지고 있는 계정이 회사 내의 수 천대의 PC를 모두 컨트롤 할 수 있는 상황이면 안 됩니다. 권한 분리를 다 해두셔야 되고 공격자들이 들어왔을 때 주요 단말까지 넘어가는 그 과정을 굉장히 지연시킬 수 있어야 돼요. 넘어가는 과정마다 모니터링 할 수 있는 체계도 만들어 두시고요.

[랜섬웨어 조직의 실태]
□ 권준 국장 지금 계속 랜섬웨어 피해가 지속 되고 그 다음에 피해자분들이 돈도 보내고 그러면서 정말 랜섬웨어 조직들은 점점 더 거대해지고 비대해지고 영향력도 커지고 있잖아요. 그래서 저는 이제 사이버 범죄조직도 나중에는 마약조직처럼 커질 수 있겠다. 그런 우려를 많이 했거든요. 그래서 무서운 생각이 들었는데요. 이런 사이버 범죄조직의 행태를 어떻게 봐야 될까요?

■ 곽경주 이사 얼마 전에 일본 쪽 언론사에서 랜섬웨어 해커조직 ‘콘티(CONTI)’ 내부의 채팅 메시지를 분석해서 기사를 낸 것이 있는데요. 거기에 보면 ‘조직원이 300명이 넘는다’는 얘기도 있거든요. ‘콘티’가 휴가를 쓸 때도 결재를 받아야 되고 이런 식으로 하나의 회사처럼 운영되고 있고 거기에 붙어있는 파트너사도 있을 것이고 규모가 꽤 큰 것이죠. 랜섬웨어 그룹 자체가 이 정도급이면 작년 한해 ‘콘티’에서 (공격한 기업이) 제가 봤을 때는 수천 개, 수만 개 될 것 같은데요. 그 정도 영향력이면 정부기관 쪽 침투해가지고 협박하는 게 충분히 가능할 것으로 보이고요.

최근에 ‘엔비디아(NVIDIA)’라고 반도체사에서 내부 소스 코드를 오픈소스화 시켰잖아요? 저희가 자주 얘기했던 ‘랩서스(Lapsus$)’의 요구조건이었거든요. “NVIDIA 내부에 있는 기밀 자료를 외부에다가 유출시키지 않을 것인데, 그렇게 되려면 너네가 내부에 있는 드라이버에 대한 소스코드를 오픈화시켜라”라고 주장을 했던 건데요. 그게 영향을 미친 것이 아닌가 싶거든요. 이런 식으로 글로벌 기업들도 몇 명 안 되는 Lapsus$ 그룹에 의해서 협박을 당하고 거기에 따라서 이행을 하는데 정부기관이나 국방 쪽에도 (해커 조직이) 충분히 영향력을 끼칠 수 있을 것이라고 봅니다.

[사이버 무기 유출의 위험성]
□ 권준 국장 최근에 ‘세계경제포럼’이 열렸었는데 거기에서 국제경찰기구 ‘인터폴’ 사무총장께서 이런 말씀을 하셨더라고요. “국가 차원에서 개발된 사이버 무기가 다크웹에서 거래되면서 향후에는 큰 파장이 될 것이다” 라고요. 악성코드가 사이버 무기라고 볼 수 있는데, 국가 차원에서 개발된 정말 막강한 사이버 무기가 다크웹에서 거래되기 시작하면 정말 더 큰 위기가 오지 않을까라는 우려도 되는데요.

■ 곽경주 이사 과거에 이런 사례가 없었던 것도 아니고, 미국의 대형 사이버 보안업체에서 (해킹) 사고가 나서 내부에 있던 공격 도구들이 유출이 된다거나 미국의 NSA 같은 우리나라로 치면 국가의 보안기술을 맡고 있는 핵심 정부기관이죠, 그런 NSA 내부에서 사용하던 해킹 도구 같은 것들이 외부로 유출되거나 이런 경우들도 사례들도 있는데 파급력이 상당하죠. 이런 곳들은 (해킹) 공격만을 위해서 연구하는 전 세계 엘리트 집단인데, 그런 곳에서 갖고 있는 공격 도구가 나오면 저희는 제로데이(Zero-day)라고 표현하죠, 방어 체계가 없는 (악성코드) 그것이 또 다크웹이라는 공간에서 거래가 되기 시작하면 파급력은 상당하죠.

□ 권준 국장 곽 이사님, 오늘도 좋은 얘기, 위로가 되는 얘기도 해주셨지만, ‘정말 조금 더 경각심을 가져야 된다’는 얘기를 많이 해주셔서 도움이 된 것 같습니다, 다음 시간에 또 뵙겠습니다.

■ 곽경주 이사 네, 또 뵙겠습니다.

□ 권준 국장 감사합니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)