Home > 전체기사

[주말판] Oops, I Did It Again! 랜섬웨어 대응에 흔히 나타나는 실수

  |  입력 : 2021-07-17 13:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 공격은 파괴적이다. 많은 조직들이 랜섬웨어에 대응하기 위해 여러 가지 방법들을 모색한다고 하지만 간과하는 것들이 한두 가지 생기고 있기도 하다. 흔히 저지르는 실수 10가지를 추려본다.

[보안뉴스 문가용 기자] 2021년 전반기는 대형 랜섬웨어 사건이 연달아 터지며 사회 전체가 시끌시끌했었다. 기업들과 기관들 역시 랜섬웨어 방어를 최우선 순위에 두고 보안 체계를 구축하기 시작했다. 랜섬웨어 공격자들에게 돈을 내느냐 마느냐 하는 문제도 뜨겁게 논의되는 중이다.

[이미지 = utoimage]


보안 컨설턴트인 스티븐 슈와츠(Steven Schwartz)는 “누구나 ‘내면 안 된다’고 말하지만, 상황을 직접 겪으면 고민을 시작한다”고 말한다. 또한 “상황에 따라 얼마든지 택할 수 있는 선택지”라고도 말한다. “돈을 내는 것 자체가 실수는 아닙니다. 다만 랜섬웨어에 대응하면서 여러 가지 실수를 중복해 저지르기 때문에 그런 상황으로까지 이어지는 겁니다. 그런 실수들을 줄이면 보다 가벼운 대처가 가능해질 수 있습니다.” 본지는 기업들이 랜섬웨어에 대응하면서 흔히 저지르는 실수들을 모아 보았다.

실수 1 : 멀웨어 격리에 실패한다
랜섬웨어에 걸려 데이터에 접근할 수 없게 되면 많은 사람들이 패닉에 빠진다. 데이터 복구에만 신경을 쓴다. 슈와츠는 “데이터를 복구한다고 해도 환경이 계속해서 랜섬웨어에 감염된 상태라면, 그 데이터가 다시 암호화 된다”며 “주변 청소부터 하고 데이터에 집중하는 것이 순서”라고 강조한다. “공격 벡터를 파악하고, 공격을 허용한 근본 원인을 파악해 깨끗이 만드는 게 가장 중요합니다. 그래야 두 번, 세 번 당하는 일이 없어집니다.”

실수 2 : 대응 계획을 가지고 있지 않다
랜섬웨어 공격만이 아니라 모든 사이버 공격에 해당되는 말인데, 대응 절차를 사전에 수립하지 않은 조직이 실제 사건이 터졌을 때 올바로 대응할 수는 없다. 보안 팀이나 담당자만이 아니라 조직 전체가 계획된 대로 움직여 줘야 하는데, 계획이 없다면 각자가 각자의 생각대로 움직이다가 상황이 오히려 더 심각해지거나 필요한 절차를 하나씩 잊어버려 나중에 가서 문제가 되기도 한다.

보안 업체 디지털 가디언(Digital Guardian)의 부회장이자 CISO인 팀 반도스(Tim Bandos)는 “계획이 없으면 즉흥적인 판단과 결정만 내려질 뿐”이라고 강조하며 “사전 준비 없이 잘 해내는 조직은 단언컨데 하나도 없다”고 말한다. “뿐만 아니라 랜섬웨어 공격으로부터 100% 안전한 조직도 하나도 없습니다.”

실수 3 : 백업의 관리가 소홀하다
한 때는 랜섬웨어의 가장 효과적인 대응책이 ‘백업’이라고 알려져 있었다. 그러자 랜섬웨어 범죄자들이 네트워크를 횡적으로 움직여 백업 드라이브까지 찾아내 암호화하기 시작했다. 백업이 있어도 사용할 수 없는 상황이 점점 더 많이 발생하는 것이다. 그렇다고 백업을 해 두어도 아무 소용이 없다고 결론을 내리기는 힘들다.

“진짜 안전한 백업은 네트워크에서 완전히 분리된 것을 말합니다. 하지만 백업 드라이브를 오프라인으로 유지한다는 건 매우 불편한 일이죠. 백업을 할 때마다 새롭게 연결하고, 백업이 완료되면 다시 분리해 보관하니까요. 이 때문에 점점 백업 드라이브도 늘 연결시켜 놓고 사용하는 조직이 많아지는데 이럴 경우 백업의 장점이 크게 사라지게 됩니다.” 반도스의 설명이다.

실수 4 : 협상을 지나치게 과감하게 혹은 조심스럽게 진행한다
범인들에게 돈을 내느냐 마느냐의 문제처럼, 범인들에게 할인을 요청하느냐 마느냐 역시 논란의 주제 중 하나다. 할인을 요청했다가 오히려 화를 돋구는 결과를 낳는 경우가 있기 때문이다. 하지만 NTT 데이터 서비스(NTT Data Services)의 부회장인 수실라 네어(Sushila Nair)는 “돈을 내기로 했다면 반드시 가격 협상에 들어가야 한다”는 입장이다. “랜섬웨어 산업이 하나의 시장을 형성하면서 경쟁이 심화됐고, 그래서 가격을 깎아주는 경우가 훨씬 더 많습니다.”

하지만 반도스는 반대의 입장이다. “가격을 낮춰달라고 요청한 것이 오히려 화근이 된 경우가 많다”는 게 그 이유다. “랜섬웨어 공격자들 중 ‘처음 제시한 조건을 어기면 2배로 올리겠다’고 협박하는 자들이 많고, 실제로 예고한 대로 가격을 올리는 조직들이 많습니다. 공포심을 자극하는 게 그들에게 중요하기 때문이죠. 협상을 하려면 외부 전문가를 초빙하는 게 낫습니다.”

실수 5 : 혼자 해결하려 한다
반도스는 “보안 전문 업체가 아니라면 전문가의 도움을 받는 것이 늘 현명하다”고 강조한다. “보안 전문가들로 구성된 팀을 자체적으로 운영하는 대형 조직들도 서드파티 보안 업체와 함께 조사를 진행할 때가 많은 것에는 이유가 있습니다. 적어도 서드파티 전문 업체와 평소 알고 지내다가 필요할 때 조사를 의뢰할 수 있는 상태를 유지하는 것을 권장합니다.”

보안 업체 시큐어웍스(Secureworks)의 첩보 분석가인 마이크 맥렐란(Mike McLellan) 역시 “보안 팀의 규모가 어지간히 크지 않은 이상 외부 전문가 도움 없이 모든 일을 다 처리할 수는 없을 것”이라고 말한다. “사건 대응을 전문으로 하는 업체들의 도움을 받는 것을 개인적으로도 공적으로도 늘 권장합니다. 한 기업 내 보안 팀과, 사건 대응을 전문으로 하는 업체의 가장 큰 차이점은 경험이기 때문입니다.”

브라운대학의 컴퓨터 과학 교수인 어네스토 잘디바(Ernesto Zaldivar)의 경우, “랜섬웨어 공격은 일반 사이버 공격보다 더 전문적인 대처를 필요로 한다”고 강조한다. “랜섬웨어는 공격자들과 가깝게 연락을 주고받아야 한다는 점에서 일반 사이버 공격과는 완전히 다른 성질을 가지고 있습니다. 경험이 많은 전문가의 도움이 있어야 합니다.”

실수 6 : 사법 기관을 무시한다
5번에 언급된 실수와 비슷한데, 정신 없이 사건에 대응하다가 유관 기관에 알리거나 사법 기관에 수사 요청하는 걸 잊어버리거나 무시하는 경우가 대단히 많다. 보안 업체 비질란트(Vigilante)의 첩보 국장인 아담 다라(Adam Darrah)는 “사법 기관들이 가지고 있는 도구와 대응력은 일반인들이 상상하는 것 이상”이라며 “복호화 도구를 가지고 있거나 범인과 협상해 본 경험자가 경찰이나 수사 기관에 있는 경우가 많다”고 설명한다.

실수 7 : 보험 회사를 너무 뒷전에 둔다
사건이 터졌을 때 제일 먼저 전화해야 할 곳 중 하나가 바로 보험 회사다. “사이버 보험에 가입해 두고도 나중에 사건 후처리에만 보험사를 활용하려는 조직들이 대다수입니다. 그런데 사이버 보험은 일반 상품과 달라 계약 조건이 천차만별이거든요. 사건이 터지고 조금 나중에 불렀다가 자기도 모르게 보험 규정을 위반한 결과가 나오는 경우가 의외로 많습니다. 그러면 한 푼도 보상받지 못하죠.” 보안 전문가 제임스 알렌(James Arlen)의 설명이다.

“사이버 보험 상품을 제공하는 회사들 중 어떤 보안 전문 회사에 조사를 의뢰해 사건을 맡기게 할지 미리 정해둔 곳들도 꽤 있습니다. 또한 비용 책정을 위해서 사건 초기부터 독자적인 조사를 벌이고 싶어 하는 곳들도 있고요. 보험 상품에 가입할 때 이런 조건들을 꼼꼼하게 확인하고 기억해 두는 것이 안전합니다.”

실수 8 : 공포에 지나치게 매몰된다
데이터가 전부 사라진 판이니, 무섭고 떨리는 게 충분히 이해가 가지만 침착함을 유지하는 것이 훨씬 도움이 되는 것이 사실이다. “어쩌면 가장 흔히 나타나는 실수일지도 모르겠습니다. 보안 담당자는 땀을 뻘뻘 흘리면서 허둥지둥 움직이고, 경영진은 빨리 데이터 복구하라고 닥달하고, 홍보 담당자 역시 어떤 문장을 써서 고객들에게 알려야 할지 도무지 고르질 못하는 모습은 거의 모든 조직에서 볼 수 있습니다. 주로 사건 대응 계획이 없는 곳에서 이런 모습이 전형적으로 나타납니다.” 딜로이트(Deloitte)의 고문인 웨인 존슨(Wayne Johnson)의 설명이다.

“이런 경우 냉정하고 올바른 결정을 내리기가 힘듭니다. 누구나 알 겁니다. 이럴 때 정말로 도움이 되는 건 평상시의 계획 수립과 훈련입니다. 랜섬웨어 사건이 터졌을 때는 이렇게 움직인다는 걸 조직 내부적으로 전파하고, 그것이 몸에 익도록 자주 연습하면 실제 사건이 터졌을 때 공포심이 확연히 줄어듭니다.”

실수 9 : 복호화 키 검색하느라 시간을 주구장창 보낸다
또 많이 나타나는 실수 중 하나는 복호화 키를 찾기 위해 검색엔진을 뒤지고 커뮤니티나 포럼에 문의글을 올리느라 귀한 시간을 다 보내는 것이다. 복호와 관련된 정보를 구글에서 주구장창 찾아 헤매는 통해 정말로 해야 할 것들을 처리하지 못하게 된다.

“피해자라면 누구나 가봐야 할 사이트가 있긴 있습니다. ‘노 모어 랜섬웨어(No More Ransomware)’와 같은 곳이죠. 여태까지 발견된 복호화 키들을 다 보유하고 있기 때문에 어쩌면 실질적인 도움을 받을 수도 있습니다.” 보안 업체 사이버빗(Cyberbit)의 기술 전문가 웨인 프루잇(Wayne Pruitt)의 설명이다. “그 외 여러 국가들에서 공식적으로 운영하는 사이트들이 있을 수 있습니다. 그런 곳들을 통해서 정보를 알아보는 것도 도움이 됩니다. 하지만 그 외에 구글 검색이나 커뮤니티 문의를 통해 복호화 키를 찾는 건 실효성이 0%라고 보면 됩니다.”

실수 10 : 사건을 통해 교훈을 얻지 못한다
보안은 항상 두 번째 공격에 대한 방어를 염두에 두어야 한다. 지금의 랜섬웨어가 어떤 경로로, 어떤 구멍을 통해서 침투했는지 파악하고, 그 약한 부분을 보완하는 것이 필수적으로 이뤄져야 한다. 사전에 대응 계획이 없어서 패닉에 빠졌다면, 대응 계획을 수립할 때다. 훈련이 부족했던 것 같다면 훈련 계획을 세워야 한다. 필요한 보안 솔루션을 추가로 구매해야 할 수도 있다. 백업 절차를 안전하게 마련하는 것이 필요할지도 모른다.

발도스는 “문제의 뿌리로 항상 거슬러 올라가야 한다”고 강조한다. “랜섬웨어는 문제의 뿌리로부터 발생하는 하나의 현상일 뿐입니다. 어쩌면 같은 뿌리에서 디도스 공격이나 정보 유출 공격이 나올 수 있습니다. 그러므로 랜섬웨어 공격에 당했다면, 문제의 뿌리를 파악할 수 있는 기회로 여기는 것이 좋습니다. 사라진 데이터에만 매달린다면 정말 얻어야 할 것을 얻지 못할 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)