랜섬웨어 공격과 데이터 침해는 점점 뗄 수 없는 관계가 되고 있습니다. 사이버 범죄 산업 역사에 있어 이 둘을 엮어낸 전략은 가히 혁신적이라 할 수 있을 정도로 놀라운 효과를 내고 있으며, 더 나은 뭔가가 나올 때까지 이 둘은 당분간 어깨를 나란히 할 것으로 보입니다.
2021년 한 해 동안 랜섬웨어 사건은 깜짝 놀랄 정도로 증가했습니다. 모든 침해 사고의 25%가 랜섬웨어의 요소를 일부라도 포함하고 있을 정도라고 합니다. 이는 올해 발표된 ‘버라이즌 데이터 침해 수사 보고서(DBIR)’의 핵심이 되는 내용으로, 랜섬웨어의 지난 한 해 동안의 성장 속도는 그 전 5년의 수치를 합한 것보다 더 빠른 것으로 조사됐습니다.
[이미지 = freepik]
올해로 15번째 발표되는 버라이즌 데이터 침해 수사 보고서를 작성하기 위해 연구원들은 작년 23,896개의 보안 사건들을 조사했고, 이 중 5,212개를 데이터 침해 사고로 분류했습니다. 이 중 4/5가 외부 사이버 범죄 갱단이나 해킹 단체에 의해 벌어졌다고 버라이즌 보안 연구 팀의 책임자인 알렉스 핀토(Alex Pinto)는 설명합니다.
“현재 사이버 범죄 단체들이 사용하는 도구와 전략들은 대단히 상업화 되어 있습니다. 즉 공격의 효율성이 극대화 되고 있으며, 누구나 사이버 공격에 쉽게 손을 댈 수 있게 됐습니다.” 현재 가장 대표적으로 서비스화 된 사이버 범죄가 바로 랜섬웨어와 최초 접근 브로커라고 DBIR에 설명이 나옵니다. 이 때문에 누구나 손쉽게 피해자의 네트워크에 침투하고 손쉽게 랜섬웨어 공격을 실시할 수 있습니다.해킹 공격을 하려면 컴퓨터 지식이 풍부해야 한다는 건 옛말입니다.”
또 하나 DBIR이 주목하고 있는 건 어떤 조직이든 랜섬웨어의 표적이 될 수 있다는 사실입니다. 피해자에는 구분이 없다고 버라이즌의 연구원들은 강조합니다. “훔칠 만한 것이 잔뜩 있든 하나도 없든 상관이 없습니다. 굳이 대기업들만 노릴 필요가 없는 게 지금 사이버 범죄자들의 입장입니다. 어느 회사나 크기에 상관 없이 컴퓨터 장비를 가지고 있고, 그 안에 사업 활동에 필요한 데이터가 저장되어 있기 때문입니다. 범죄의 산업화가 너무 잘 되어 있어 이제 어떤 데이터든 수익으로 이어지죠.”
데이터 침해 사고의 40%는 멀웨어와 관련이 있다는 것도 이번 조사를 통해 밝혀졌습니다. “여기서 멀웨어는 대부분 랜섬웨어입니다. 랜섬웨어와 데이터 침해는 연관성이 매우 깊은 사이버 공격 유형이 되었으며 이는 매우 우려가 되는 현상입니다. 랜섬웨어를 심고 데이터를 유출시키는 공격 전략은 효과가 뛰어나며, 그렇기 때문에 더 효과적인 공격 전략이 등장하기 전까지 랜섬웨어와 데이터 침해 사고는 같이 엮일 것입니다.”
솔라윈즈(SolarWinds) 효과
지난 해 사이버 범죄와 사이버 보안 업계에 깊은 영향을 남긴 건 악명 높은 솔라윈즈 사태입니다. 소프트웨어 업데이트 파일 자체를 감염시켰던 이 공격 전략은 적은 수고로 방대한 효과를 누릴 수 있게 해 준다는 것을 제시했고, 각종 시스템 불법 침입 사건의 62%가 바로 이러한 ‘공급망 공격’을 통해 발생했습니다. 2020년만 해도 이러한 공격은 전체 불법 침입 사건의 1%를 차지했었습니다.
핀토는 “공급망 공격에 대한 방어법은 그리 특별하지 않다”고 말합니다. “다른 유형의 사이버 공격에 대비하는 것이나 공급망 공격에 대비하는 것이나 다를 게 없습니다. CISO라면 특별히 뭘 더 할 게 없는 가운데 공급망 공격이 화제가 되어 더 조바심이 났을 겁니다. 조직 내에서 사용되는 모든 소프트웨어를 낱낱이 해부해서 디펜던시를 모두 추적할 게 아니라면 공급망 공격은 방어의 측면에서 평범한 사이버 공격일 뿐입니다. 하지만 그렇기 때문에 효과적이기도 하죠. 우리는 기본적인 방어에도 실패할 때가 많으니까요.”
랜섬웨어 방어, 어디서부터 시작해야 하는가
데이터 침해 사고가 시작되는 경로에 대해서 핀토는 “크게 네 가지가 있다”고 말합니다. “탈취된 크리덴셜을 사용하거나, 소셜 엔지니어링 공격을 하거나, 취약점을 익스플로잇 하거나, 멀웨어를 사용하는 것이 주요 공격 기법입니다. 조직의 방어를 단단히 하고자 할 때, 이 네 가지 기법에 대한 방어법을 갖추는 게 가장 효과적입니다.”
랜섬웨어와 관련된 침해 사고의 경우 40%가 데스크탑 공유 소프트웨어와 관련이 있는 것으로 조사됐습니다. 특히 원격 데스크톱 프로토콜(RDP)가 연루된 경우가 많았습니다. “그리고 35%는 피싱 이메일과 관련된 것이었습니다. 그러므로 RDP와 이메일 등 외부와 곧바로 연결되는 애플리케이션을 차단하거나 철저히 관리하는 것만으로도 상당히 많은 공격을 막을 수 있습니다.”
또한 인간의 실수 때문에 벌어지는 침해 사고가 전체 침해 사고의 82%를 차지한다는 것도 이번 보고서를 통해 드러났습니다. 여기서 말하는 실수란 설정 오류(13%), 피싱 및 소셜 엔지니어링 공격에 속는 것 등을 말합니다. 보안 업체 굿액세스(GoodAccess)의 부회장 아터 케인(Artur Kane)은 “그렇기 때문에 보안 베스트 프랙티스라는 게 존재하는 것”이라고 설명한다. “다중인증을 도입하고, 망을 분리해 운영하는 것, 최소한의 권한만을 제공하는 것, 로깅을 멈추지 않는 것, 데이터 백업을 항상 유지하는 것 등이죠. 이렇게 하면 실수도 어느 정도 커버가 됩니다.”