Home > 전체기사

제110차 CISO포럼, 기업의 최대 보안위협 ‘랜섬웨어’ 대응책 집중 논의

  |  입력 : 2021-06-15 17:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 기승을 부리는 랜섬웨어 공격 동향과 대응 방안, 지원정책 등 소개
정보통신망법 개정으로 변경되는 CISO 제도 시행령 수정 현황도 포럼에서 공유


[보안뉴스 이상우 기자] 최근 랜섬웨어 공격이 기승을 부리고 있다. 최근 미국에서 발생한 콜로니얼 파이프라인의 랜섬웨어 감염 사태는 미국 동부지역에 6일간 석유 공급을 마비시켰으며, 국내에서도 지난해말 이랜드그룹의 일부 매장 영업이 중단되는 등 많은 기업들이 랜섬웨어 공격을 당해 큰 피해를 입었다. 단순히 PC의 데이터를 암호화하고 돈을 요구하던 공격이 이제는 우리 생활에 직접적인 영향을 주는 단계까지 발전한 것이다.

▲15일 온라인으로 진행된 ‘제110차 CISO포럼’ 모습[사진=보안뉴스]


이처럼 랜섬웨어 위협이 날로 커지면서 국내에서도 과학기술정보통신부와 한국인터넷진흥원(이하 KISA)을 중심으로 랜섬웨어 대응팀을 구성하는 등 대응책을 마련하고 있다. 이러한 가운데 랜섬웨어 동향과 대응을 주제로 ‘제110차 CISO포럼’이 온라인으로 열렸다.

CISO포럼은 ICT 및 정보보호 분야의 현안과 동향을 공유하고, 현업 전문가와 주요 정부부처 사이의 네트워크를 강화하기 위한 자리로, 한국CISO협의회(회장 이기주)가 매월 개최하고 있다. 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.

이번 제110차 포럼에서 한국인터넷진흥원 침해사고분석단 김광연 팀장은 ‘랜섬웨어 사이버위협 동향 및 정부지원 현황’을 주제로 강연을 진행했다. 랜섬웨어는 최근 사회적으로 가장 이슈가 되고 있는 침해사고 유형이다. 글로벌 보안기업 체크포인트가 발표한 자료에 따르면 올해 랜섬웨어 공격 건수가 지난해보다 100% 증가했고, 또 다른 기업 스핀백업이 발표한 자료에서는 2021년 랜섬웨어로 인한 전 세계 피해규모가 22조 원에 이를 것으로 전망했다.

▲CISO포럼에서 강연을 하고 있는 한국인터넷진흥원 침해사고분석단 김광연 팀장[사진=보안뉴스]


김광연 팀장은 “KISA에 접수되는 랜섬웨어 피해건수 역시 이러한 추세를 반영하고 있다. 지난 2019년 피해접수는 39건이었으나. 2020년에는 127건으로 3배 이상 증가했다. 올해 역시 증가세를 이어가고 있으며, 이러한 추세를 볼 때 연말에는 2019년 대비 4배 이상 증가할 것으로 보인다”고 말했다.

최근 랜섬웨어 공격의 특징은 금전적 이득을 극대화하고, 사회 혼란을 유도하는 추세로 진화하고 있다. 공격 대상 역시 개인의 PC에서 기업 시스템, 사회기반시설, 생활필수 산업 등으로 확대되고 있으며, 피해자가 협상에 응하지 않으면 탈취한 정보나 민감한 고객정보를 다크웹 또는 딥웹에 유포하고, 홈페이지에 디도스 공격까지 감행하는 ‘삼중협박’을 시도하고 있다.

김광연 팀장은 “이러한 치밀한 게획으로 공격 조직은 협상력을 극대화하고 있다. 실제로 최근 한 성형외과에서 발생한 랜섬웨어 사고 역시 유출 정보로 고객에게 해킹 사실을 알리는 수법이 쓰이기도 했다. 또한, 과거에는 공격 조직을 구성하고 게릴라식 운영을 했으나, 최근에는 랜섬웨어 개발 및 인프라를 판매하는 서비스형 랜섬웨어(RaaS)까지 등장하고 있어 사이버 공격 조직이 아닌, 관련 지식이 없는 개인도 임대료를 내고 랜섬웨어를 구매해 유포한 뒤 범죄 수익을 나누기도 한다. 특히, 유출된 정보를 되팔 수 있는 다크웹 블랙마켓의 활성화와 자금세탁이 가능한 가상자산의 가치상승 등이 맞물려 랜섬웨어 공격 역시 증가하는 추세”라고 설명했다.

최근 발생한 주요 공격사례를 살펴보면, 공격자는 보안패치가 되지 않은 웹 서버 취약점을 통해 계정과 비밀번호를 탈취하는 악성코드를 설치했다. 해당 악성코드를 통해 관리자 계정 정보를 취득했으며, 해당 기업의 경우 DB 서버에도 이 계정 정보를 동일하게 사용하는 상황이었다. 이를 통해 DB 서버까지 랜섬웨어에 감염된 사례다. KISA는 해당 기업에 각 서버마다 서로 다른 계정과 비밀번호를 사용하도록 안내하고, 웹 서버 등에 접근 시에는 게이트웨이 장비를 설치하는 등 재발 방지를 위한 대책을 마련했다.

이 밖에도 액티브 디렉토리 접근 계정이 유출돼 연결된 PC 수백여 대가 랜섬웨어에 감염되는가 하면, 브루트 포스(비밀번호 무차별 대입) 공격으로 직원의 PC 권한이 넘어가면서 이를 기반으로 웹 서버와 DB 서버에 대한 공격이 발생하기도 했다.

▲KISA가 소개하는 랜섬웨어 대응방안[사진=보안뉴스]


김광연 팀장은 “랜섬웨어 사고 역시 기존의 지능형 지속위협(APT)의 침투경로와 크게 다르지 않다. 대부분의 공격사례가 보안 지원이 종료된 운영체제 및 소프트웨어 사용, 악성메일 첨부파일 실행, 악성코드 은닉 웹 사이트 접속, 토렌트 등 불법 복제 파일로 위장한 랜섬웨어 유포, 공장출하 비밀번호 변경 없이 사용, 접근제어 정책 없는 시스템 운영 등으로 발생한다”고 말했다.

또한, “정부는 빠르게 증가하는 랜섬웨어 사고에 적극적으로 대응하기 위해 과기정통부를 중심으로 KISA 사이버침해대응본부 내에 랜섬웨어 대응 지원반을 운영하고 있다. 여기에 전국단위 대응체계를 운영해서 원인조사 이외에도 피해복구 및 재발방지 대책마련 등을 지원하며, 이 외에도 공격에 쓰이는 IP를 유관기관과 협력해 차단하고, 디도스의 경우 트래픽을 우회해주는 사이버 대피소도 운영 중”이라고 소개했다.

이어 “개인이나 기업의 감염예방을 위해 내PC 돌보미 서비스, 맞춤형 컨설팅 등을 제공하고 있으며, 기업 참여형 모의훈련도 실시하고 있다. 유사 사고 예방을 위해 민간분야 사회기반시설에 대한 긴급 점검을 시행하고, 민관합동 대응협의체를 통해 인식 강화나 조사연구 지원방안을 마련하고 있다. 또한, 보호나라 홈페이지를 통해 피해예방, 대응수칙, 기술분석 보고서 등도 제공하고 있다. 무엇보다 랜섬웨어 감염 시 복원을 위해서는 백업이 필수적이다. 따라서 오프라인 백업 서버에 백업본이 잘 보관되고 있는지 확인하는 것이 중요하다”고 덧붙였다.

이어진 강연에서는 안랩 시큐리티대응센터(ASEC) 박태환 팀장이 ‘랜섬웨어 공격 대응사례와 실전 노하우’를 주제로 발표했다. 그는 “랜섬웨어는 감염 시 가장 먼저 PC의 복원용 데이터를 제거해 복원이 불가능하도록 만든다. 노모어랜섬 등의 사이트에서는 암호화된 데이터를 복구하는 툴도 제공하지만, 대부분 초창기 빈틈이 많았던 랜섬웨어에 해당되는 경우가 대부분이다. 랜섬웨어 개발은 공격자와 보안기업 간의 전쟁이다. 공격자는 보안체계를 죽이고 우회하면서 버전을 업그레이드하고, 보안기업은 이를 다시 해체하기 위한 방안을 강구한다. 이 때문에 랜섬웨어를 보안 소프트웨어로 완벽하게 차단하는 것은 어려운 일”이라고 말했다.

이어 “랜섬웨어 대응을 위해서는 기업 보안 담당자가 좀더 여유를 갖고, 장기적인 대책을 마련할 필요가 있다. 특히, 기업이 원격 데스크톱 제어 도구에 대한 2단계 인증(MFA) 도입, 액티브 디렉토리 관리자 계정 관리 중 하나만 하더라도 공격을 효과적으로 막을 수 있다”고 덧붙였다.

이날 포럼에서는 정보통신망법 개정에 따른 CISO 제도 변경과 현재까지 논의된 시행령 수정 현황에 대해 공유하는 자리도 마련됐다. 한국CISO협의회 이기주 회장은 “시행령이 완성되면 개정된 CISO 제도에 대한 해설서가 마련돼야 할 것으로 보인다. 오늘 논의에서 나온 내용은 각 기업 CISO가 현업에서 궁금할 수 있는 내용들이다. 이러한 내용을 잘 검토하고 수렴해 과기정통부에 알리고, 질의사항을 전달할 계획”이라고 말했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)