한국 랜섬 웨어 침해대응센터 - hangug laenseom weeo chimhaedaeeungsenteo

지난달 미국 최대 송유관 업체 콜로니얼파이프라인과 글로벌 육가공 회사 JBS USA가 해킹으로 가동이 중단되는 초유의 사태가 벌어진 가운데 이들을 공격한 랜섬웨어가 '공공의 적'으로 떠올랐다.

목차 Show

1. 개요[편집]
2. 목적[편집]
3. 제공 서비스[편집]
4. 공동 운영사[편집]

그동안 랜섬웨어는 '아무나 걸려라'는 식으로 개인컴퓨터(PC)를 타깃 삼아 무차별 유포됐는데, 최근 2~3년 새 기업 맞춤형 서버 공격으로 진화하면서 피해 규모가 급증하는 추세다.

우리 기업들 해킹 피해도 잇따르고 있다. 작년과 올해 해커들이 다크웹에 올린 데이터 유출 자료 중 국내 기업이 언급된 사례를 분석한 결과 SK하이닉스, 현대자동차, CJ셀렉타(브라질법인), LG전자(미국법인) 등 대기업들에서 랜섬웨어 공격으로 문서가 유출되는 사고가 발생했다. 국내 사이버 보안기업인 NSHC의 최상명 수석은 "최근 2년간 랜섬웨어 피해로 다크웹에 데이터가 유출된 기업은 총 2442곳인데, 이 중 한국 기업이 10곳"이라며 "많지 않다고 생각할 수 있지만 전체 순위상 공동 16위로 결코 적은 편은 아니다"고 말했다.

다크웹에 공개된 데이터가 진짜 이들 기업의 것인지, 해커들 주장처럼 기밀문서인지는 알 수 없다.

최 수석은 "다크웹에 올라왔다는 것은 협상에 응하지 않았다고 볼 수 있고, 기업 측에서 그 데이터는 중요하지 않을 확률이 높다"면서도 "그러나 최근 '서비스형 랜섬웨어(RaaS)'라고 해서 개발자와 유포자가 나뉘고 분업화·전문화되면서 공격 수법도 훨씬 더 정교해지고 있어 각별한 주의가 필요하다"고 강조했다.

날로 정교해지고 조직화하는 보이스피싱처럼, 기업을 타깃으로 한 랜섬웨어 공격도 빠르게 진화하고 있다.

기업·기관의 랜섬웨어 피해가 늘고 있다는 것은 통계로도 확인된다. 한국인터넷진흥원(KISA)에 따르면 2019년 39건이던 랜섬웨어 피해 신고 건수는 2020년 127건으로 3배 이상 늘었다. 올해 들어 지난달 16일까지 신고된 랜섬웨어 피해 건수는 55건으로, 불과 5개월 만에 2018년과 2019년 2년 치 신고 건수(61건)에 근접한 것으로 나타났다. 기업이나 기관은 조용히 협상하고 신고하지 않는 사례가 많은 데다 KISA에 신고하는 곳 대부분은 규모가 있는 기업이나 공공기관이라는 점을 감안하면 이들을 노린 랜섬웨어 공격이 급증하고 있음을 알 수 있다.

개인이나 작은 기업 피해까지 합치면 훨씬 더 많다. 랜섬웨어 감염 시 대응 방법을 알려주는 한국랜섬웨어침해대응센터에 따르면 이 회사에만 매년 3000~4000건의 피해 신고가 접수된다. 이형택 한국랜섬웨어침해대응센터 대표는 "2015년부터 6년간 우리 회사에 신고된 피해 건수만 2만7000건이 넘는다"며 "이를 전체 피해의 3%라고 봤을 때 올해 피해자는 50만명, 한국 연간 전체 피해 금액은 2조5000억원(데이터 가치 등 포함)에 달할 것으로 추정된다"고 말했다.

랜섬웨어 공격이 가장 집중되는 곳은 미국이다. 국내 보안업체 NSHC가 다크웹에 정보가 유출된 피해 기업·기관을 국가별로 분석한 결과 미국 비중은 55%에 달했다. 보안업체 엠시소프트에 따르면 지난해 미국에서 벌어진 랜섬웨어 공격 사건은 확인된 것만 1만5000건이다. 미국은 그동안 해킹 세력 배후로 러시아와 중국, 북한 등을 지목해왔다. 최근 피해가 잇따르자 조 바이든 정부는 랜섬웨어 공격을 '안보 위기'로 간주하며 연일 강경 발언을 쏟아내고 있다. 오는 16일 스위스 제네바에서 열리는 바이든 대통령과 블라디미르 푸틴 러시아 대통령 간 첫 정상회담에서도 사이버 공격이 주요 의제로 거론될 것으로 보인다.

■ <용어 설명> ▷랜섬웨어 : 몸값(ransom)과 소프트웨어(software)의 합성어. 중요한 데이터를 암호화해 쓸 수 없도록 한 뒤 금전을 요구하는 해킹 수법을 말한다.

▷다크웹 : 특수한 웹브라우저로만 접속되는 인터넷 페이지. 일반적인 방법으로 접속자나 서버를 확인할 수 없는 익명성 때문에 사이버 범죄에 활용된다.

재택 중 무심코 연 메일 한통에…랜섬웨어, 회사서버까지 침투

무차별 유포는 옛말, 마약 조직처럼 분업화·전문화

직원들 이메일·원격 업무망등
보안 취약한 침투경로 많아져
전세계서 10초당 한 번꼴 피해

작년 의료기관 공격 45% 쑥
환자 데이터 빼내 공개 협박
몸값 협상 전문가까지 등장

사진 확대

8일 서울 송파구 한국인터넷진흥원(KISA)에 민간 분야 사이버 위기 경보 단계가 표시돼 있다. [김호영 기자]

"무차별 유포는 그만, 돈 되는 기업과 기관의 데이터를 인질로 삼아라." 해킹 수법의 일종인 랜섬웨어가 미국 정부의 수사 타깃이 되고 '안보 위협'으로까지 떠오른 것은 잠재적 파괴력이 크기 때문이다. 최근 미국 사례에서 보듯 송유관이나 지하철, 유람선 같은 핵심 기간시설의 중앙 서버를 해커가 장악하면 공공 기반시설이 마비되는 것은 물론 대형 인명피해로도 이어질 수 있다. 랜섬웨어는 누가 뿌렸는지 추적하기가 매우 어렵고, 예방 수단이나 암호화를 풀 방법도 사실상 없다. 글로벌 보안기관들이 작년과 올해 가장 큰 사이버 위협으로 랜섬웨어를 지목했음에도 피해가 잇따르는 이유다.

최근 2~3년간 기업 맞춤형으로 진화한 랜섬웨어는 지난해 3분기부터 급증했다. 체크포인트 리서치의 '2021 보안 보고서'에 따르면 랜섬웨어는 전 세계에서 10초에 한 곳꼴로 피해를 끼치고 있다. 특히 작년 4분기에는 코로나19로 환자가 몰린 의료기관을 노린 공격이 45%나 늘었다. 원격근무가 확산되면서 비교적 손쉬운 침투 경로가 늘어난 데다 이들이 몸값으로 받는 비트코인 가격 상승기와 맞물려 더욱 기승을 부렸다는 분석도 나온다.

랜섬웨어 공격은 거의 모든 산업군에서 증가하는 추세다. 최근 대세는 '3중 협박'이다. 데이터를 암호화하고, 내부 데이터를 유출하는 동시에 디도스 공격을 병행해 불안감을 증폭시킨다. 국내 성형외과 사례처럼 고객들에게 해킹 사실을 알려 회사를 협박하는 수법도 새로 등장했다.

사진 확대

이처럼 돈을 받아내기 위해 혈안이 된 것은 랜섬웨어 집단이 조직적으로 전문화·분업화되고 있기 때문이다. 예전에는 몇몇 해커가 모여 게릴라식으로 집중공격해 돈을 벌어들인 뒤 해체하던 수준이었다면, 지금은 '서비스형 랜섬웨어(RaaS)' 방식으로 개발자와 유포자가 분업하다 보니 더 치밀하고 공격 빈도도 잦아졌다. 서비스형 랜섬웨어란 프로그래밍 전문지식 없이도 누구나 돈만 내면 랜섬웨어 프로그램을 구매한 뒤 유포할 수 있도록 판매되는 제품을 말한다. 마약 조직이 생산책, 운반책, 유통책 등을 따로 두고 운영하는 것처럼 이제 랜섬웨어 그룹도 조직적인 시스템으로 돌아가고 있다. 미국에선 해커들과 조금이라도 더 유리하게 몸값을 조율해주는 '랜섬웨어 협상가' 같은 신종 직업까지 등장했다. 보안에 엄청난 투자를 하는 글로벌 기업들조차 랜섬웨어를 막을 수 없는 것은 대부분 사람이 실수하는 '휴먼 에러'에서 시작하기 때문이다. 주요 감염경로는 인터넷과 이메일이다. 공문이나 이력서 견적서로 위장한 메일을 보내거나, 개인 대 개인(P2P) 프로그램으로 내려받은 최신 영화로 위장하기도 한다. 보안 지원이 끝났거나 업데이트가 적용되지 않은 운용체계와 소프트웨어(SW)는 해커들에게 문을 열어주는 것이나 마찬가지라고 전문가들은 경고한다. 너무 쉬운 비밀번호를 사용하거나 최근 원격근무 때 외부에서 내부망에 접근하게 해주는 가상사설망(VPN) 장비의 계정관리가 제대로 되지 않아도 해커들 타깃이 된다.

특히 요즘 해커들은 가장 먼저 '네트워크 취약점'을 찾는다. 목표는 중앙관리 서버 장악과 백업망 차단이다. 랜섬웨어를 무력화하는 최상의 방법인 백업을 못하게 하기 위해서다. 이형택 랜섬웨어침해대응센터 대표는 "가장 보안이 취약한 '집'에서 가장 안전해야 할 업무망에 접속하고 있다"며 "지금 이 상태로는 기업은 물론 공공기관도 언제든 해커들의 먹잇감이 될 수 있다"고 경고했다.

무엇보다 숨기는 데 급급하지 말고 즉각 신고하고 빠르게 대응하는 것이 중요하다고 전문가들은 말한다. 랜섬웨어 집단의 20~30%는 돈을 지불해도 복구 수단을 제대로 제공하지 않고 잠적하는 데다, 협상에 응하는 것 자체가 또 다른 피해자를 만드는 셈이기 때문이다. 임진수 한국인터넷진흥원(KISA) 침해사고분석단 단장은 "24시간 대응반에서 직접 현장에 출동해 상황을 파악하고 관련 정보를 백신 회사와 정보보호최고책임자(CISO)에게 알려 추가 피해를 막는 등 지원을 하고 있으니, 협상하거나 쉬쉬하지 말고 바로 신고해달라"고 당부했다.

0 역링크 토론 편집 역사 ACL

한국랜섬웨어침해대응센터

최근 수정 시각: 2021-08-30 03:13:01

단체
랜섬웨어

정식명칭

한국랜섬웨어침해대응센터

영문명칭

RanCERT

설립일

2015년 3월

전화번호

1800-6026

팩스번호

02-3283-2015

이메일

[email protected]

상담시간

월~금 09:00~18:00

한국랜섬웨어침해대응센터 홈페이지

1. 개요2. 목적3. 제공 서비스4. 공동 운영사

1. 개요[편집]

랜섬웨어침해대응센터(Ransomware Computer Emergency Response Team Coordination Center)

국가에서 운영하는 것이 아니다. 이름만 랜섬웨어침해대응센터이다.

한국랜섬웨어침해대응센터는 랜섬웨어 침해사고 대응센터로서, 국내에서 발생한 랜섬웨어 침해사고 신고 접수와 초기 대응을 지원하고, 국내외의 백신/네트워크 보안 개발사 및 HDD복구 회사와 협조 체제를 구축하고, 안티-랜섬웨어 데이터 보안백업 기술을 개발하여 침해를 예방함으로써, 랜섬웨어로부터 대한민국의 모든 정보시스템을 안전하게 보호하기 위하여 설립되었다.

이노티움, 명정보기술, 트렌드마이크로, 유엠브기술, 에프엑스컨설팅, 위젯누리, 가온아이, 에스원, 에프원시큐리티가 함께 운영하고 있다.

2. 목적[편집]

랜섬웨어 침해사고 신고 접수 및 초기 대응 지원
침해 랜섬웨어 기술 분석
피해 복구 및 예방을 위한 컨설팅
침해사고 통계 및 분석
국내 유관 기관과 협력
그 외 침해 예방 안내

3. 제공 서비스[편집]

침해신고(링크) - 침해신고를 접수 받아 해당 랜섬웨어에 대한 정보를 제공하며 향후 예방법을 알려준다.
랜섬웨어 종류(링크) - Magniber, Gandcrab 등, 랜섬웨어에 대해 소개하고 있다.
랜섬웨어 피해사례(링크) - 랜섬웨어 피해자들의 피해정보를 소개하고 있다.
랜섬웨어 복호화툴 사용방법(링크) - 현재까지 공개된 랜섬웨어 복호화 툴의 사용 방법을 소개하고 있다.
랜섬웨어 예방 동영상(링크) - 백업 솔루션을 통해 랜섬웨어 감염시 원본 파일을 복원하는 영상을 소개하고 있다.

4. 공동 운영사[편집]

이노티움
명정보기술
트렌드마이크로
에프엑스컨설팅
위젯누리
가온아이
에스원
에프원시큐리티

이 저작물은 CC BY-NC-SA 2.0 KR에 따라 이용할 수 있습니다. (단, 라이선스가 명시된 일부 문서 및 삽화 제외)
기여하신 문서의 저작권은 각 기여자에게 있으며, 각 기여자는 기여하신 부분의 저작권을 갖습니다.

나무위키는 백과사전이 아니며 검증되지 않았거나, 편향적이거나, 잘못된 서술이 있을 수 있습니다.
나무위키는 위키위키입니다. 여러분이 직접 문서를 고칠 수 있으며, 다른 사람의 의견을 원할 경우 직접 토론을 발제할 수 있습니다.