'랜섬웨어 해커, 언론보도 등에 희열…의료기관 투자 필요'

[아시아경제 박소연 기자]보안기업 파이어아이가 최근 아시아·태평양 지역 랜섬웨어 공격 트렌드를 발표했다. 26일 파이어아이에 따르면 랜섬웨어 공격은 지속적으로 증가하는 추세이며, 특히 올해 3월에는 아태지역 전반에 걸쳐 기업체 대상 랜섬웨어 공격이 급증했다. 실제로 일본 기업을 대상으로 한 랜섬웨어 공격의 경우, 지난해 10월 대비 올해 3월에 약 3600배 증가했으며, 같은 기간 홍콩에서는 약 1600배 증가했다. 국내에서도 같은 기간 기업체 대상 랜섬웨어 공격이 약 22배 가량 증가하며 한국 역시 랜섬웨어 공격에서 안전지대가 아님을 시사했다. ◆랜섬웨어 공격 3월에 집중=랜섬웨어 공격은 2015년 중반부터 지속적으로 증가하기 시작해서 올해 3월에는 급격한 증가세를 기록했다. 파이어아이 연구원들은 특히 록키(Locky) 랜섬웨어가 50개국에 걸쳐 전방위적으로 이메일 스팸 공격을 시도함에 따라, 현저한 증가세를 보였다고 밝혔다. 이메일을 통한 랜섬웨어 공격의 경우, 주로 인보이스 혹은 사진을 송부하는 메일로 가장하지만, 피해자들이 첨부파일을 여는 순간 랜섬웨어 감염으로 이어지는 형태의 공격이다.◆언론과 랜섬웨어=파이어아이는 랜섬웨어 공격자들은 자신들의 공격 내용이 언론에 보도되는 것에서 희열을 느끼며, 특히 피해자가 몸값을 지불했다는 헤드라인이 게재 되는 것에 대해 만족감을 느낀다고 전했다. 따라서 최근의 랜섬웨어 공격에 대한 잇따른 언론의 보도가 다른 사이버 범죄자들의 랜섬웨어 공격을 촉진했을 가능성이 있으며, 이것이 3월의 랜섬웨어 공격 급증에 영향을 미쳤을 것이라고 파이어아이는 분석했다. 실제로 페트야(Petya) 랜섬웨어의 경우, 몸값(ransom) 지불 페이지에 최근에 보도된 기사들의 링크들을 포함시키며 이러한 추측에 신빙성을 더했다.◆의료기관을 노리는 랜섬웨어=지난 2월 차병원 그룹 소유의 미국 로스앤젤레스(LA) 소재 할리우드 장로병원(Hollywood Presbyterian Medical Center, HPMC) 은 랜섬웨어 공격을 받아 병원 내 파일을 암호화하고 데이터에 대한 몸값을 요구한 공격자에게 1만7000달러(한화 약 2000만원)을 지불했다. 또한 독일 소재 루카스 병원(Lukas Hospital), 클리니쿰아른스베르크 병원(Klinikum Arnsberg hospital)과 미메릴랜드 주의 유니온메모리얼 병원(Union Memorial Hospital), 워싱턴의 메드스타 병원(MedStar hospitals) 등 많은 전 세계 의료기관들이랜섬웨어로 인해 데이터가 암호화가 됐으며, 복호화 키의 대가로 각 45비트코인 미화로 1만 8500달러(한화 약 2200만원) 상당의 몸값을 요구 받았다. 파이어아이는 이러한 일련의 사건들을 미루어 볼 때, 랜섬웨어 공격자들이 병원을 수익성이 좋은 타깃으로 인식하기 시작했다고추정했다.사실 병원을 사이버공격의 타깃으로 삼는 것은 그다지 놀라운 일은 아니다. 헬스케어 분야는 고객의 의료정보와 같이 주요데이터를 보유하고 있지만 이를 보호하기 위한 사이버보안에 대해서는 많은 투자를 하지 않는 분야이기 때문이다. 실제로 병원은 예산 편성에 있어서 주로 수술도구, 응급 의료센터 등에 집중하며 사이버 보안에 대한 투자는 잘 이루어지지 않고 있다. 이는 매우 역설적인 상황으로, 의료기관의 경우 시스템상의 환자 정보가 없이는 제대로 의료활동을 할 수 없음에도 불구하고 이를 보호하기 위한 보안시스템에는 소홀히 하는 것이다.◆랜섬웨어 활동 증가에 영향을 미친 요인=언론의 랜섬웨어 보도는 공격자들이 공격을 개시하도록 자극하는 요인 중 하나일 수 있지만 이것이 랜섬웨어 공격의 급증을 모두 설명해 주지는 않는다. 다음은 파이어아이가 밝힌 추가적인 급증 요인이다. 랜섬웨어 공격은 수반되는 노력에 비해 상대적으로 높은 이익을 챙길 수 있다는 점에서 사이버 공격자들에게 매력적인 공격 방법이다. 일례로 2015년에 크지 않은 규모의 랜섬웨어 공격들을 통해 공격자들은 7만 5000달러(한화 약 9000만원)의 부당이익을 거뒀다. 이에 따라, 사이버 범죄시장에서는 랜섬웨어 툴 및 서비스에 대한 수요가 계속해서 높아지고 있다.크립토월(CryptoWall)과 같은 대중화 된 랜섬웨어의 성공은 랜섬웨어 개발자들에게 계속해서 수익을 높이고 활동을 지속할 수 있다는 일종의 청사진으로 작용했다. 미인터넷범죄신고센터에 따르면, 2014년 4월부터 2015년 6월 사이에 크립토월로 인해 피해자들이 입은 재정적 손해규모는 1800만 달러(한화 약 214억 5000만원)을 넘어선다.사이버범죄 지하경제에서 경쟁적으로 보다 발전된 형태의 랜섬웨어 서비스를 내놓으면서, 2015년 중반부터 ‘서비스형랜섬웨어’ 모델을 적용한 새로운 랜섬웨어 변종이등장했다. 현재 지하경제의 랜섬웨어에 대한 수요를 활용하는 서비스형 랜섬웨어는 감염사례를 증가시키는데 기여했다고 보여진다.◆랜섬웨어 변종=파이어아이는 랜섬웨어 활동이 눈에 띄게 증가한 2015년 중반부터 2016년 초반 동안 기존 랜섬웨어 변종은 기능적인 업그레이드를 하는 한편, 신규 랜섬웨어 변종들이 지속적으로 출현하는 등 랜섬웨어가 거듭 발전했다고 전했다. 실제로, 전세계적으로 대규모 침해사례를 만들어 내고 있는 크립토월(CryptoWall), 토렌트락커(TorrentLocker)는 다수의 최근 침해사례에서 파일암호화 역량 혹은 위장기능에서 한층 업그레이드된 정황이 포착됐다. 즉 기존랜섬웨어 변종들은 계속해서 악성코드로서의 기능, 암호화 기술 그리고 방어 솔루션 대응기능 등을 업그레이드하고 있는 것이다. 파이어아이는 랜섬웨어가 이러한 발전된 기술을 기반으로 글로벌 기업을 대상으로 한 위협을 지속할 것이라 예측한다고 전했다. 또한 새로운전술, 기술 등을 갖춘 신규 랜섬웨어 변종 역시 계속해서 등장하고 있다. 파이어아이이 연구원들은 랜섬웨어 공격증가와 함께,랜섬웨어 개발자들은 공격대상을 확대하기 위한 새로운 기능들을 추가하며 계속적으로 랜섬웨어 변종을 개발할 것이라 추측했다. 신규 랜섬웨어 변종들은 ▲키메라(Chimera) ▲랜섬32(Ransom32) ▲로우레벨04 ▲리눅스엔코더1(Linux.Encoder.1) 등이다.◆향후 우려되는 랜섬웨어 공격=랜섬웨어 공격에서 가장 위협적인 공격방법은 공격자가 타깃 네트워크에 이미 접근 권한을 확보한 후에 랜섬웨어를 유포하는 경우다.이런 경우 공격자들이 랜섬웨어를 유포하기 전에 내부 정찰을 통해 전략적으로 데이터 백업 파일을 삭제하거나 조직내 가장 주요한 시스템을 파악할 수 있다는 점에서 위협적이다. 이를 방어하기 위해서 파이어아이는 기업들이 적절한 네트워크 분할 및 접근제어를 시행하는 한편, 백업전략을 정기적으로 검토해 파일복구가 상시 가능한지 확인한 후, 백업파일이 공격당할 가능성을 항상 염두에 두고 백업 복사본을 따로저장할 것을 권고했다.전수홍 파이어아이코리아 지사장은 “국내 랜섬웨어 증가세는 다른 아태지역 국가에비해 상대적으로 낮지만, 한국 역시 동일한 증가세를 기록하는 것은 시간문제"라면서 "특히 기업체를 대상으로 한 공격이 급증함에 따라 국내 기업, 특히 헬스케어 기관들은 사이버 보안에 대한 적극적인 투자 노력이 필요하다”고 말했다.박소연 기자 muse@asiae.co.kr<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>