최근 국내 기업만을 노린 한국형 랜섬웨어 일명 ‘귀신 랜섬웨어’ 공격이 기승을 부리면서 보안당국과 기업 보안 담당자들이 크게 긴장하고 있다. 보안 전문가들은 공격자가 국내 사이버 보안 유관기관 등을 사전에 잘 알고 있다는 점을 고려할 때 국내 사정에 밝은 해커나 브로커가 랜섬웨어 조직에 포함됐을 것으로 추정하고 있다. ‘귀신 랜섬웨어’는 지난해 말 첫 발견돼 지금까지 활발하게 유포되고 있는 지역 맞춤형 랜섬웨어다.
◆귀신은 어떤 랜섬웨어
한국랜섬웨어침해대응센터(이하 침해대응센터)에 따르면 최근 들어 한달 평균 7~8개 기업이 귀신 랜섬웨어 공격으로 인해 피해를 입었다.
다만 지난해까지는 별다른 피해가 발생하지 않아 소디노비키, 락빗 등 다른 유명 랜섬웨어에 비해 보안 종사자들의 관심도에서 상대적으로 밀렸다.
하지만 지난달 안랩이 국내 기업만을 노린 랜섬웨어로 귀신을 지목하면서, 한국형 랜섬웨어에 대응책이 필요하다는 목소리가 나오고 있다.
업계 전문가들이 귀신 랜섬웨어를 한국 맞춤형 사이버 공격으로 판단하는 이유는 ‘귀신’이라는 악성코드 명칭 때문이다. 해당 랜섬웨어에 감염된 컴퓨터는 바탕화면에 ‘귀신’ ‘GWISIN(귀신)’이 표기된다.
무엇보다 일반적으로 랜섬웨어 공격이 국내외적으로 불특정 다수를 상대로 동시 이루어지는 것과 달리, 귀신은 국내 기업만을 표적으로 삼는다.
◆복호화 비용으로 최대 230억원까지 요구
귀신 랜섬웨어는 피해 기업과 협상 과정에서 복호화 비용을 슬금슬금 인상하는 교묘함도 보였다. 보안업계에 따르면 최근에는 복호화 요구 금액을 최대 1800만달러(약 239억원)까지 요구한 것으로 전해졌다.
귀신 랜섬웨어는 1~2개월 가량 해킹대상을 물색하고 침투를 시도한다. 침투가 성공해 시스템을 장악하게 되면 백업시스템 삭제, 중요데이터 암호화 등의 작업을 진행한다. 침해대응센터에 따르면 이들은 백업시스템을 완전하게 삭제해 초기 대응을 늦춘다.
◆주로 일요일 새벽에 감염…“보안백업 필요”
귀신 랜섬웨어는 피해 기업이나 기관에 복호화 대가로 일종의 몸값을 요구하는 전형적인 수법을 구사한다. 만약 피해 기업이 이에 응하지 않을 경우 유출 데이터를 다크웹 등에 유포하는 2차 피해를 주기도 한다.
특히 귀신 랜섬웨어의 특징은 주로 일요일 새벽에 암호화를 한다는 것이다. 이에 대해 보안업계는 다른 사이버 공격 대응 유관기관과의 협업이 원활하지 못한 상황을 이용해, 피해기업이 자신과의 금전거래에만 집중할 수 있도록 상황을 차단하는 것이라고 분석했다.
침해대응센터는 기업이나 기관이 랜섬웨어에 특화된 백신을 가동해야 한다고 조언했다. 중요 데이터에 대한 백업도 거듭 강조했다.
이형택 한국랜섬웨어침해대응센터 센터장은 “현재 일반백업은 100% 삭제되고 있다”라며 “랜섬웨어 해킹을 방어할 수 있는 보안백업으로 신속하게 교체하는 것이 중요하다”라고 말했다. 보안백업은 데이터에 대한 접근 차단, 위변조 방지 등의 기술을 적용한 백업을 말한다.
[서울=뉴시스]
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
![‘위기→지원’ 쳇바퀴 도는 건설업이 韓경제에 주는 교훈[동아광장/송인호]](https://dimg.donga.com/a/464/260/95/1/wps/NEWS/FEED/Donga_Home_News/131211753.1.thumb.jpg)
댓글 0