2017.03.06

Ryan Francis | CSO

랜섬웨어는 일종의 납치다. 랜섬웨어 공격자를 대하는 일은 난간에서 뛰어 노는 강아지를 잡는 것만큼 아슬아슬한 과정이다. 주요 인프라 테크놀로지 협회(ICIT, The Institute for Critical Infrastructure Technology)는 보고서 에서 사이버 범죄자가 우리의 데이터를 인질로 삼고 있는 상황에서 우리가 어떤 대응 전략을 취하고 유출 사고를 발견했을 때 어떤 자세로 임해야 할지 설명했다.ICIT에 따르면, 랜섬웨어에 대한 대응 전략은 기업의 리스크 허용 한도(risk tolerance), 유출 데이터의 잠재적 중요성, 피해에 따른 비즈니스 연속성의 영향, 시스템 이중화의 가용성, 규제 내용 등에 따라 달라진다.정보보안팀은 랜섬웨어 공격 시 대응 절차 계획을 마련해야 한다. 공격을 확인한 후 가장 먼저 해야 할 일은 규제 및 관리 당국에 공격 사실을 알리는 것이다. 대응 계획에는 복구 목표 시간(RTO, Recovery Time Objective)과 복구 목표 지점(RPO, Recovery Point Objective)이 명시돼야 한다. 백업 데이터가 존재하는 경우라면, 사고에 대한 사이버 범죄 근거들을 정리하고 보존해 추후 법적 절차를 밟을 수 있도록 준비하는 과정도 필요하다.시스템을 이중화하지 않았거나 2차 시스템까지 감염됐다면, 정보보안팀만 나설 게 아니라 외부 전문 업체의 솔루션과 복호화 툴을 사용해야 한다.공격받은 파일은 일부가 손상됐거나 복호화가 불완전한 경우가 많다. 따라서 외부 업체의 솔루션이 동작하고 있더라도 피해자 입장에서는 시스템에 여전히 랜섬웨어나 백도어, 또는 기타 악성코드가 숨어있지 않다고 안심하기 어렵다. 시스템 감염은 사람의 오류(악성 링크 클릭 등) 혹은 기존의 감염에 그 원인이 있다. 즉 직원 교육, 인식 프로그램, 포괄적인 시스템 관리 전략이 마련되지 않는다면, 시스템은 언제든 재감염될 수 있다.랜섬웨어에 ‘완벽하게’ 대응할 유일한 방법은 시스템 백업 및 복원뿐이다. 백업 시스템을 운영해왔다면, 저장 지점으로 시스템을 복구하는 것만으로도 랜섬웨어 공격을 무력화할 수 있다. 섀도우 카피나 파일 복구 소프트웨어 툴을 통한 데이터 복구도 생각해볼 만한 방식이다. 다만 섀도우 카피를 삭제하거나 파일 복구 소프트웨어를 감지하는 기능을 갖춘 랜섬웨어 변종들이 늘어나는 추세를 고려하면, 이들을 완벽한 해결책으로 보기에는 한계가 있다. 세이브 포인트를 통한 시스템 복구도 랜섬웨어 변종이 레지스트리를 감염시킨 경우라면 복구 포인트가 깨끗한 경우에도 회복에 한계가 있을 수 있다.제한적이긴 하지만, 정보보안팀이나 보안 솔루션 업체의 노력 외에도 공격자들의 합의금 요구와 시스템, 데이터 손실 위협을 차단할 방법은 있다. 우선 시스템을 백업하고 그 백업이 안전하게 남아있다면, 합의금 요구를 무시하고 해당 백업으로 시스템을 복구할 수 있다. 백업이 존재하지 않는 경우에도, 만일 공격자들이 요구하는 비용이 시스템 가격을 상회한다면, 그들의 협박에 응하는 대신 새로운 기기를 구매하고 감염된 시스템은 그들의 처분에 맡기는 방법도 있다.범죄자들이 실제 복호화 키를 제공하는 이들이라면, 합의금 지급이 비즈니스의 측면에서 효율적일 수도 있다. 이와 달리 일부 공격자들은 합의금을 낸 피해자의 시스템만을 복구해주는 경우도 있다. 한 피해자에게 제공한 복호화 키가 다른 피해자들에게도 이용될 위험이 있기 때문이다. 랜섬웨어 공격자들이 합의금 협상을 제안해왔다면, 신속히 온라인 검색을 진행해 당신의 시스템을 탈취한 랜섬웨어 유형이 무엇인지, 공격자들이 몸값을 지불하면 시스템을 온전히 되돌려주는 정당한 집단인지 아닌지를 확인하도록 하자.일부 공격자들은 피해자가 의심할 것을 잘 알고 있다. 또한 비용 지불이 이뤄지지 않을 경우 파일을 절대 복구할 수 없음을 피해자에게 인지시키고자 할 것이다. 대표적으로 CTBL로커(Trojan.Cryptolocker.G) 등의 변종은 자신들의 역량, 약속 이행 의지를 증명하기 위해 탈취된 파일 중 일부만을 우선 복호화해주는 옵션을 제공하고 있다. 다만 이렇게 합의금을 지불할 경우 공격자들은 피해자를 ‘합의금 지불 의사가 있는 표적’으로 파악해 추후 한층 강력한 공격을 시도할 수도 있다.중대형의 기업 규모에 300달러 정도의 비교적 저렴한 합의금만이 요구된 상황이라면 복합적 전략을 취하는 것도 도움이 될 것이다. 일단 합의금을 지불하고 감염 시스템을 분류하는 작업을 진행하는 동시에, 다른 한편으론 백업 서버의 복구 작업을 진행하는 방식이다.시스템 다운타임으로 인한 손실이 합의금 수준보다 높다면 이러한 전략이 도움된다. 상황이 어떻게 전개되더라도 시스템 운영은 보장할 수 있기 때문이다. 단 자원 손실과 비즈니스 타격을 최소화하기 위해, 이러한 복합적인 접근법은 적절한 훈련과 대비를 거친 정보보안팀이 주도하는 것이 옳다.사이버 공격의 위협과 영향을 최소화하고 가장 효과적으로 대응하는 열쇠는 사이버 활동의 중심에 항상 보안을 두는 기업 문화 조성이다. 전사적 보안 전략 수립은 기업 정보보안 관리를 최우선으로 하는 정보보안팀을 꾸리는 데서 출발해야 한다. 단기적인 전사 취약성 분석부터 모든 위협 유형을 고려한 위기관리 전략 구성 및 운영, 기기 및 애플리케이션에 대한 지속적 패칭, 외부 전문 업체 추가, 감사 조항 확인, 조직적인 침투 테스트, 보안 중심적 기술 업그레이드 등 보안 활동 전반을 총괄하는 것이 바로 정보보안팀의 역할이다. ciokr@idg.co.kr