씨디네트웍스 보안 전문팀은 경계심을 늦추기 쉬운 연말에 대비해 랜섬웨어 공격 트렌드와 예방법을 소개했다.

최근 대형 은행부터 항공사, 정부 기관, 스포츠 플랫폼까지 국내외 다양한 기업•기관을 노린 랜섬웨어 공격이 연속적으로 발생했다. 이에 고객 정보 및 비즈니스 자산 유출은 물론 서비스•업무 중단 문제 등으로 기업 평판과 수익에 큰 타격을 입으면서, 온라인 비즈니스를 운영하는 업체들의 불안이 커지고 있다.

랜섬웨어는 ‘몸값’을 뜻하는 ‘랜섬(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 이메일 첨부 파일이나 감염된 웹사이트를 통해 PC 등에 침입, 문서•사진 등의 파일을 암호화하고 사용 불가 상태로 만들어 해당 파일들에 대한 몸값을 요구한다. 사용자 파일을 ‘인질’로 삼아 막대한 금전을 요구하는 악성 프로그램인 것이다.

랜섬웨어는 한 번 감염되면 데이터를 모두 잃을 수 있다. 랜섬웨어는 언제, 어디서, 어떤 방식으로 나타날지 예측할 수 없으며 암호화된 파일을 복구하는 것은 거의 불가능하다. 이에 방대한 고객 정보와 운영 정보를 취급하는 비즈니스 같은 경우엔 더 각별한 주의와 대비가 요구된다.

씨디네트웍스 보안 책임자(CSO) 이재춘 이사는 “안전한 비즈니스 보안과 고객 신뢰도 구축을 위해 보안은 이제 선택이 아닌 필수가 됐다”며 이어 “랜섬웨어 같은 사이버 공격은 끊임없이 발전하기 때문에, 이에 대해 기업은 내부 교육과 경각심 제고에 더 힘써야 한다”고 강조했다.

대표적인 랜섬웨어 감염 메커니즘

전 세계에서 활동하고 있는 대규모 사이버 범죄 조직 록비트(LockBit)를 예로 들 수 있다. 씨디네트웍스 보안 전문팀은 록비트가 네트워크 전체에 걸쳐 여러 1일 및 N일 취약점을 대규모로 악용하고 있다고 밝혔다. 악용된 취약점에는 넷스케일러 ADC(NetScaler ADC) 및 넷스케일러 게이트웨어(NetScaler Gateway)(CVE-2023-4966)의 민감한 정보 유출 취약점과 일반적으로 사용되는 사무실 및 OA 소프트웨어의 취약점이 포함됐다. 공격자는 웹셸(WebShell) 권한을 얻기 위해 취약점을 악용한 후 랜섬웨어를 직접 실행해 사용자 파일을 암호화하고 금전을 요구했으며, 이 랜섬웨어는 리눅스(Linux)와 윈도(Windows) 시스템 모두에 쉽게 잠입할 수 있다.

랜섬웨어에서 시스템을 보호하는 방법

비즈니스 주요 정보가 유출되는 것을 막는 최선의 방법은 ‘예방’이다. 기업은 가능한 한 빨리 관련 취약점을 수정하기 위한 조치를 취해야 한다. 씨디네트웍스 WAAP 솔루션은 원치 않은 동작을 감지하고 차단하는 인텔리전트 백엔드 모니터링을 사용하는데, 이는 예상치 못한 공격에서 애플리케이션을 보호하는 해결책이 될 수 있다.

또 씨디네트웍스 WAAP 솔루션은 제로데이 취약점이 탐지되면 해당 취약점을 수정하기 위해 WAF 규칙의 ‘Efficient Patch’를 전체 플랫폼에 동시 전송한다. 이를 통해 ‘네트워크 전체 동기화’ 시스템이 활성화되면 제로데이 취약점이 관리 지연으로 1일 또는 N일 취약점으로 진화해 랜섬웨어 공격의 타깃이 되는 것을 방지할 수 있다.

WAAP 솔루션은 일반적인 서드파티 구성 요소의 취약점을 악용하는 공격도 효과적으로 차단한다. 명령어 인젝션 및 웹셸 업로드와 같은 고위험 공격 행위를 실시간으로 차단하는데, 이는 알려진 취약점이나 알려지지 않은 취약점을 악용하는 공격자가 서버 권한을 획득하지 못하도록 막는다. 이를 통해 범죄 조직이 랜섬웨어를 작동시키고 후속 공격을 수행할 위험을 원천 제거할 수 있다.