CWN(CHANGE WITH NEWS) - 재택근무와 함께 기승 부리는 랜섬웨어 위협…보안 전문가가 권장하는 대처방안은?

재택근무가 확산됨과 동시에 보안이 취약한 개인용 PC 사용률이 높아졌다. 이에, 덩달아 랜섬웨어 위협도 커지고 있다. 랜섬웨어 침투 예시를 설명하고 랜섬웨어 감염 상황에서 보안 전문가가 권장하는 대처 방법을 살펴보고자 한다.

먼저, 최근의 랜섬웨어 공격 예시를 짚어보자. 유명 포털과 소셜미디어 사이트 주소를 잘못 입력하는 사용자를 노려 매우 유사한 주소로 웹사이트를 만들고 해당 주소로 접속하면 공격자가 미리 만들어둔 웹사이트로 이동하도록 유도하는 사례가 있다. 혹은 업무 메일로 위장한 정보 유출형 악성코드가 유출된 사례도 있다. 송장, 발주서, 주문서 등을 사칭한 메일로 첨부파일 혹은 본문의 악성 URL 실행을 유도하는 방식이다. 코로나 확진 동선, 재난 지원금 등 코로나19 상황과 관련한 키워드를 사용한 공격 사례도 있다. 해당 이슈를 사용한 이메일에 악성 첨부파일 및 URL이 첨부되어 있다.

악성 URL로 이동하게 되면 사용자 PC 내 인터넷 익스플로러 브라우저의 최신 보안패치 여부와 윈도 버전 등 공격자가 설정한 랜섬웨어 감염 조건 확인이 진행된다. 만약 사용자 PC가 감염이 가능한 환경일 경우, 최종적으로 랜섬웨어 감염 문제를 일으키는 웹사이트로 자동 이동하게 된다. 이때는 사용자가 별다른 행위를 하지 않아도 랜섬웨어에 자동으로 감염된다.

그렇다면, 대처방안은 무엇이 있을까? 보안 컨설턴트인 스티븐 슈와츠는 사람들이 랜섬웨어에 대응하며 흔히 저지르는 실수를 사례로 들며 아래와 같은 대처를 권장했다.

첫 번째, 공격을 허용하게 한 근본적인 원인을 파악하여 제거한다. 보통 랜섬웨어에 감염되어 데이터를 잃게 되면 데이터 복구에만 신경 쓰기 십상이다. 하지만, 데이터를 복구한다고 해도 환경 자체가 랜섬웨어에 계속 감염된 상태를 유지한다면, 주변 데이터까지도 피해가 발생할 수 있다. 또, 같은 원인을 통해 정보 유출 공격이 다시 들어올 수 있다.

두 번째, 대응 절차를 수립해야 한다. 보안팀과 담당자뿐 아니라 조직 전체가 계획한 대로 움직여야 한다. 보안 업체 디지털 가디언의 부회장이자 정보보호최고책임자(CISO)인 팀 반도스는 "계획이 없으면 즉흥적인 판단과 결정만 하게 된다"라고 강조했다.

세 번째, 백업은 기본이다. 랜섬웨어 공격자들이 백업 드라이브까지 찾아내 암호화하는 사례가 증가했다. 그러나 백업이 아무 소용이 없다고 결론 내리기는 힘들다. 다수 보안 전문 업체가 랜섬웨어 예방을 위해 주기적인 데이터 백업을 할 것을 권고한다.

네 번째, 혼자 해결하지 않는다. 보안 업체 시큐어웍스의 정보분석가인 마이크 맥렐란은 "사건 대응을 전문으로 하는 업체들의 도움을 받는 것을 늘 권장한다. 한 기업 내 보안 팀과 사건 대응을 전문으로 하는 업체의 가장 큰 차이점은 경험이기 때문이다"라고 말했다.

같은 맥락으로 랜섬웨어 협상에는 외부 전문가를 초빙하는 것이 좋다. 기업들이 랜섬웨어 공격자가 제시한 가격을 직접 조율하는 것이 가능하다는 것은 보안 전문 업체조차도 논란의 주제이기 때문이다.

다섯 번째, 랜섬웨어 공격이 발생하면, 바로 보험 회사에 연락한다. 사이버 보험은 일반 상품과 달라 계약 조건이 천차만별이다. 랜섬웨어 공격 피해 이후 시간이 지나고 뒤늦게 보험사에 연락한다면, 자신도 인지하지 못하는 사이에 보험 규정을 위반하게 되는 사례도 다수 존재한다.

나아가 랜섬웨어를 예방할 방법은 무엇이 있을까? 안랩 분석팀 한명욱 주임은 "사용자가 취약점이 있는 PC를 사용하고 있다면 사소한 오타 한 번으로도 랜섬웨어에 감염될 수 있다. 이를 예방하기 위해서는 평소 주기적으로 인터넷 브라우저나 윈도, 백신을 항상 최신 버전으로 유지하는 것이 매우 중요하다"라고 말했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]