로그인 바로가기

중앙 내용으로 바로가기

한국디지털융합직업전문학원

본문내용

본문

정보보안&해커 뉴스
+ Home > 입학신청 > 정보보안&해커 뉴스
[보안 뉴스] 랜섬웨어 다음은 킬웨어? 목숨을 노리는 것들이 온다
  • 작성자
    남궁영(관리)
  • 등록일
    2022-02-04 11:37:36
    조회수
    828

 

랜섬웨어 다음은 킬웨어? 목숨을 노리는 것들이 온다

데이터를 쥐고 흔들며 조직을 협박하는 공격이 랜섬웨어라면, 차세대 협박거리는 사람의 목숨이나 안위가 될 것으로 전망된다. 이른바 ‘킬웨어’의 등장이 서서히 조짐을 나타내기 시작했다. 적극적인 대응이 필요하다.

[보안뉴스 문가용 기자] 2021년은 랜섬웨어로 얼룩진 해다. 온갖 산업에서 수많은 기업들이 막대한 피해를 입었다. 어떤 공격은 그 피해가 해당 업체에서만 끝나지 않고 산업 전체와 광범위한 지역 전체에도 퍼졌다. 주식 시장에도 그 파급력이 있었을 정도였다. 코로나에 준하는 팬데믹으로 불리는 랜섬웨어는 앞으로 더 파괴적으로 변모할 예정이다.

[이미지 = utoimage]


랜섬웨어 공격자들은 마치 기업과 같아서 높은 수익을 내기 위해 계속해서 진화한다. 실제로 예전 랜섬웨어 공격자들은 피해자의 파일을 암호화 해서 못 쓰게 만는 후 이걸 풀어주는 대가로 돈을 요구했었다. 하지만 요즘은 데이터를 빼돌리고, 돈을 내지 않으면 공개한다고 협박하는 식으로 전략을 발전시켰다. 그리고 거기서 한 발 더 나아간 공격자들은 킬웨어(killware)라는 것을 최근 사용하기 시작했다.

킬웨어, 의료 산업의 재앙이 되나
킬웨어란 일종의 랜섬웨어인데, 생명을 포함한 물리적 피해를 입히는 것을 말한다. 정보를 쥐고 흔드는 걸 넘어 목숨을 쥐고 협박하는 악랄한 전략으로, 피해자 입장에서는 다른 선택지가 없어지고 결국 돈을 낼 수밖에 없게 된다.

그러니 현재 가장 큰 위험에 노출된 것은 병원과 각종 의료 시설이 된다. 이런 곳에서 시스템들이 일시적이라도 작동을 하지 않는다? 누군가의 생명이 경각에 달릴 수 있게 된다. 응급 환자가 제 시간에 치료를 받지 못해 사망할 수 있고, 그런 사례가 실제로 있기도 하다. 범죄의 진화가 어떤 방향으로 어떻게 더 나아갈지 상상하는 것조차 두려울 정도다.

의료 장비를 생산하는 업체와 그 업체의 파트너사 및 고객들도 위험하기는 마찬가지다. 특히 인슐린 펌프나 페이스 메이커처럼 인터넷에 연결되는 기능을 가진 장비들이 킬웨어의 위험에 노츨되어 있다. 사이버 공격자가 그러한 장비들이 연결되어 있는 와이파이 망이나 다른 네트워크 장비들을 공격할 경우 장비를 멈추게 하거나 오작동을 유발할 수 있게 된다. 그게 아니더라도 민감한 개인 의료 기록들을 대량으로 가져갈 수 있다.

대응의 방법 : 보안 위생
어느 산업이나 물리적 피해로부터 자유롭지 않다. 따라서 킬웨어 공격에 누구나 대비를 해야 한다. 좋은 소식이 있다면 그 대비의 방법이 대단히 혁신적이고 값비싸지 않다는 것이다. 기업들이 그 동안 숱하게 강조되어 왔던 각종 보안 위생과 실천 사항들을 지키는 것으로 꽤나 강력한 방어 전선을 구축할 수 있다. 사실 이는 킬웨어에만 해당되는 이야기는 아니다. 거의 모든 사이버 공격은 기본 보안 실천 사항을 지키는 것으로 방어할 수 있다.

이 자리에서 킬웨어 방어를 위한 기본 보안 실천 수칙을 다시 한 번 적어본다.

1) 보안 기본 실천 사항을 강조한다. 작고 작은 실천 사항들을 개개인이 지키는 것은 조직 전체의 보안을 견고히 다지는 데 있어 가장 큰 자산이며 가장 강력한 무기가 된다. 이를 지키지 않을 때 보안 방벽에 구멍들이 숭숭 뚫린다. 그런 상황에서는 아무리 비싸고 좋은 보안 솔루션을 사용해도 기능을 다 발휘하지 못한다. 그러므로 보안을 강화하려면 다중 인증이나 망분리, 패치 관리 체계 등 조직의 업무 프로세스와 규정 등이 보안을 위주로 구성이 되어 있는지, 그리고 구성된 대로 지켜지고 있는지 점검해야 한다.

2) 애플리케이션 개발을 진행할 때 시작부터 애플리케이션 보안 기능을 도입시켜야 한다. 즉 ‘보안에 의한 설계’라는 개념을 각종 애플리케이션과 제품, 서비스를 기획할 때부터 적용해야 한다는 것이다. 보안 정책과 관련 제어 장치를 미리부터 포함시키고, 개발이 진행되는 동안 보안을 약화시킬 만한 변경을 허용하지 않는 것이다. 미리 다 만들고 나서 보안 기능을 덧대는 기존의 방법은 더 이상 통하지 않는다.

3) 위협 모델링을 정식으로 도입하고 시행해야 한다. 조직들은 출시 시기를 앞당기는 것에 지나치게 집중한 나머지 제품이나 서비스가 어떤 경로로 공격을 받을 수 있으며 어떤 파장을 일으킬 수 있는지 충분히 검토하지 않는다. 위협 모델링을 꼼꼼히 한다는 건 ‘우리의 상품이 공격의 통로가 될 수 있다’는 걸 인지하고, 그 부분을 면밀하게 검토한다는 것을 말한다. 개발사로서 이 자세를 유지하는 건 대단히 중요한 일이며, 이런 책임감의 차이가 보안에서의 큰 차이를 만든다.

4) 사건 대응 계획을 세우고 훈련해야 한다. 실제 사건이 발생했을 때 무엇을 어떻게 해야 할지 몰라서 우왕좌왕 하는 것만큼 공격자들에게 있어 바람직한 상황이 없다. 반대로 미리 계획된 대로 움직일 수 있는 조직은 대단히 무서운 조직이다. 실제 이런 조직들은 피해를 최소화 할 수 있으며 비슷한 공격을 다시 허용하지 않는다.

큰 그림 놓치지 않기
킬웨어 공격이 지금의 랜섬웨어 공격처럼 흔한 것이 될 경우 각 정부와 사법 기관들의 관심을 끌 것이 분명하다. 물리적 피해를 야기하는 것이므로 정부의 즉각적인 반응이 있을 것은 너무나 당연한 일이다. 사이버 범죄자들이 절대로 원하지 않을 상황이다. 킬웨어를 통해 공격자들이 얻고자 하는 건 돈이지 이런 식의 관심이 아닐 것이다. 개인적인 의견이긴 하지만 실제로 목숨을 빼앗고자 하는 공격자들 역시 없을 거라고 본다. 그래서 킬웨어가 범람의 수준으로까지 많아지지는 않을 수 있다.

이는 결국 공격자의 입장에서나 방어자의 입장에서나 한 명의 죽음만으로도 걷잡을 수 없는 후폭풍을 예상해야 한다는 뜻이 된다. 그 후폭풍이 무엇이며 어떤 강도로 나타날지는 아무도 모른다. 그 미지의 재앙을 굳이 스스로 맞이할 필요는 없다. 공격자들의 변치 않는 원칙 중 하나는 쉬운 대상을 노린다는 것이다. 위의 보안 실천 사항을 잘 지키는 조직은 공격자들이 굳이 공격할 필요가 없는 조직이다. 잘 지키지 않는 조직은 갖가지 공격의 표적이 될 수밖에 없다.

글 : 브라이언 로젝(Brian Wrozek), CISO, Optiv Security
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

 

목록보기
답글달기수정하기
삭제하기

관련 쪽지글