제조업의 랜섬웨어 위기 및 대응전략

1. Trend:랜섬웨어 동향

랜섬웨어가 대유행을 하고 있습니다.랜섬웨어는 몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어으로, 사용자의 컴퓨터에 해킹, 바이러스 감염을 통해 설치되어 사용자의 파일을 암호화시켜 인질로 잡아 금전을 요구하는 악성 프로그램을 말합니다.랜섬웨어에 걸리게 되면, 중요 화일들을 파일 목록과 RSA 공개키를 확보하고 각 파일에 AES키를 생성하여 암호화합니다. 가장 큰 문제는 랜섬웨어에 감연되면 복구가 매우가 어렵다는 점입니다. 현재 랜섬웨어를 복구도구들이 출시되어 있으나, 실질적으로는 과거에 유행한 랜섬웨어에 피해에 대한 일부를 복구할 수 있을 뿐 신종 랜섬웨어 감염에 대해서는 복구툴로 불가합니다

랜섬웨어에 걸리면 일반적으로 다음과 같은 증세가 나타납니다.

• 파일들이 암호화되며, 암호화된 파일을 열 수 없다.
• 중요 시스템 프로그램이 열리지 않는다.
• 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다.
• 별도의 다른 악성코드를 심기도 한다.

랜섬웨어의 감염경로는 일반적인 바이러스와 비슷한 경로를 감염됩니다. 가장 흔한 예로 신뢰할 수 없는 사이트에서 단순한 접속만으로도 감염될 수 있으며, 특히 음란물, 무료게임 사이트 등은 보안에 취약한 경우가 많아서 매우 큰 주의를 필요로 합니다 또한, 출처가 불분명한 스팸메일에 첨부파일 혹은 첨부 URL을 통해 유포가 됩니다.이외에도 토렌토, 와레즈 또는 웹하드 등과 같은 파일 공유사이트에서 파일을 다운을 받고 이를 실행할 때 악성코드에 감염되는 경우도 있습니다. 최근에는 해커가 특정 회사를 공격 대상으로 삼고 수개월 동안 치밀하게 타겟팅하여 랜섬웨어를 감염시킨 사례도 발생했습니다. 이제는 우연이던 필연이던, 랜섬웨어에 대한 적극적인 대응책을 준비해야 합니다.

[그림1] 랜섬웨어 연대표 출처:F-Scure

그림1은 랜섬웨어의 연대표입니다. 랜섬웨어는 2012년 경에 처음으로 발견되었으며, 2015년부터 본격적으로 랜섬웨어가 다양한 형태로 분화가 되면서, 2016년부터는 랜섬웨어의 종류가 폭발적으로 증가하고 있습니다. 이 이유는 여러가지로 볼 수 있는데, 결정적인 계기된 원인 중의 하나는 비트코인이 활성화되면서 데이터 인질에 대한 몸값을 지불하는 수단으로 가상화폐가 사용되기 시작했기 때문입니다. 가상화폐는 특성상 가상화폐 소유주를 확인하기가 어렵고, 전세계 어디에서도 현금화할 수 있기 때문에 추적이 거의 불가능하기 때문입니다. 이런 흐름이 맞물리면서 2015년 35종이었던 랜섬웨어가 2016년 193종까지 증가하였으며, 2017년에 더 분화된 랜섬웨어로 거의 전세계를 공격하고 있습니다.

[그림2] 매년 새로 발견된 신종 랜섬웨어 출처:F-Scure

랜섬웨어는 국내에서도 맹위를 떨치고 있습니다. 2017년 6월에는 국내의 호스팅업체에서 신종랜섬웨어 공격을 받고, 호스팅으로 관리된 약 5,000 여개의 공공기관, 쇼핑몰, 게임 등의 업체가 서비스가 중단되는 사태가 발생되었으며, 최종적으로 13억 규모의 비트코인을 지불하고 서비스의 약 90%정도를 복구하는 사례가 발생했습니다. 이 과정에서 다양한 복구방법을 시도하였으나 신종 랜섬웨어는 알려진 복구(복호화)도구로는 복구가 불가능하였습니다. 결국, 고객사의 피해를 최소화하기 위하여, 해커와의 협상을 진행할 수 밖에 없었습니다.

국내에서 다양한 사업에서 피해가 발생하고 있으나, 실제 피해사례는 많이 알려져 있지 않습니다.그러나 현장에서는 많은 기업들이 랜섬웨어 공격을 받고 있습니다.매출 7,000억 규모의 자동차 부품사는 다양한 CAD&CAM 솔루션을 활용하여 설계를 진행합니다. 제조기업의 특성도 이러한 설계도면 자체가 매우 큰 부가가치를 지닌 지적재산입니다.이러한 특성으로 스토리지도 수십테라바이트규모로 운영되고 있습니다. 최근에는 약 50여대의 운영서버 중에서 3대가 랜섬웨어에 감염되었습니다. 다행히 백업정책의 의거하여, 백업을 정상적으로 운영하고 있었기 때문에 복구를 할 수 있었으나, 이를 복구하는 약 3일의 시간이 소요되었으며, 그 기간동안 추가적인 피해확산에 대한 예방하기 위하여 사내 네트워크도 제한적으로 사용할 수 밖에 업무에 지장이 발생되었습니다. 한 소규모 기계설비 제조업체는 최근 일부서버가 랜섬웨어가 감염되었습니다.감염된 서버는 정기적인 백업을 실시하지 않아서 복구가 불가하였습니다. 이 회사는 복구를 시도하는 동시에 추가적인 피해를 방지하기 위하여, 회사의 모든 PC및 서버에 랜섬웨어를 예방하는 솔루션을 곧 도입할 예정입니다.또한, 서초구의 중형병원에서는 업무용PC 100여대가 랜섬웨어에 걸려서, 모든 내용을 초기화하여 복구한 사례도 보고 되고 있습니다.

그렇다면, 랜섬웨어에 대응할 수 있는 현실적인 방법은 무엇일까요?
아래 [그림3]은 한국인터넷진흥원에 소개된 랜섬웨어 복구 및 대응절차입니다.

[그림3] 랜섬웨어 복구절차 출처: 인터넷진흥원

첫번째로는 백업본이 있는 경우입니다. 백업본이 있는 경우에는 백업시점으로의 완전한 복구가 가능합니다. 모든 운영장비에 백업솔루션으로 백업본을 유지하고 동시에 백업정책을 수립한 경우라 할 수 있습니다. 다만, 최근 호스팅업체의 사례처럼 공격자들이 원천적으로 복구가 불가능하게 만들기 위하여 백업서버 및 모든 백업을 암호화 경우도 있습니다. 그래서 중요한 것이 백업 데이터의 소산입니다. 많은 백업정책에서 언급하듯이 데이터 보호를 위해서, 데이터를 서로 다른 장소에 보관하는 ‘소산’을 권장하고 있습니다. 데이터를 다른 곳에서 두게 되면 한 곳의 데이터가 재해 등으로 유실되더라도 복구가 가능해집니다. 다만, 과거에는 ‘데이터/백업의 소산’을 실질적으로 행하기는 어려웠습니다. 현업으로 바쁜 업무시간에 데이터를 물리적으로 다른 곳에 저장한다는 것은 이상에 가깝지만 실행하기에는 거의 불가능했기 때문입니다. 그러나 이제는 백업솔루션에서 로컬에는 저장소에 백업을 진행함과 동시에 백업을 클라우드에도 저장할 수 있기 때문에 소산이 가능해졌습니다.

두번째로는 복구도구가 있는 경우입니다. 인터넷을 검색해보면, 여러가지 랜섬웨어 복구도구를 찾으실 수 있습니다. 이미 오래전에 알려진 랜섬웨어의 경우는 일부 복구도 가능한 수준으로 알려져 있습니다. 그러나, 랜섬웨어를 돈을 달취할 목적으로 공격하기 때문에, 항상 최신으로 업데이트된 랜섬웨어에 감염될 확률이 높습니다. 이 경우에는 해당 랜섬웨어 복구도구가 만들어질 때까지 기다려야 하며, 그 시점이 언제가 될지는 예측하기가 어렵습니다.

마지막으로는 백업파일도 없고, 복구도구도 없는 경우입니다. 이 경우는 데이터를 포기하거나 데이터를 복구하기 위하여 해커에게 랜섬웨어 몸값을 지불해야 합니다. 일부 개인이나 기업은 복호화 비용 지불 후에도 암호 해독키를 제공받지 못하는 경우가 발생하였으며, 일부기업은 비용을 지불한 후에도 재공격 대상이 되어 지불하였던 비용보다 더 더 많은 요구하는 경우도 발생할 수 있습니다. 따라서, 랜섬웨어 복구비용 지불을 권장하기 어렵습니다. 미국(97%), 독일(78%), 영국(42%)의 경우 대부분 복구 비용을 지불하지 않습니다.

결론적으로는 정기적인 백업과 데이터 소산만이 랜섬웨어의 공격으로부터, 실질적으로 대처할 수 있는 유일한 방법입니다.

 

2. 솔루션 특징: Acronis Backup Cloud, 랜섬웨어에 특화된 백업 클라우드 솔루션

세계적인 시장조사 기관인 IDC(2017)에 따르면, 조직이 디지털 전환 전략을 실행함에 따라 스토리지 우선 순위는 성능 향상, 규정 준수 보장, 인프라를 현대화하는 클라우드 기반 데이터 보호 및 백업으로 이동하는데 중점을 둔다고 합니다. 각 인프라에서 데이터 저장소를 별도의 개체로 보호하는 것은 비효율적이며 사용자 오류 및 사이버 공격을 받기 쉬워 데이터를 중앙에서 관리하고 보호하는 데 도움이되는 솔루션이 필요하다고 말하고 있습니다. 또한 모든 종류의 작업용 PC, 워크스테이션 백업을 체계적으로 관리하고 있지 않은 많은 중소기업들에게 자동화된 ransomware 보호기능은 가치있는 추가 기능이라고 말하고 있습니다.
Acronis Backup Cloud는Windows및 Linux 백업으로 알려진 백업솔루션으로 최근에는 Backup을 SaaS(Software as a Servie)형태로 제공하고 있습니다. 특히,IDC에서 중요하게 언급한 클라우드 기반의 데이터 보호, 데이터를 중앙에서 관리하고 보호, 자동화된 랜섬웨어 보호기능을 기본적으로 포함하고 있습니다.

첫번째, Acronis를 통한 백업의 소산
백업에서는 황금률이라는 잘 알려진 규칙이 있습니다. 3-2-1 규칙은 기억하기 쉽고 간단한 백업 원칙입니다. 데이터 복사본 3개를 2개의 형식으로 보관하되 복사본 가운데 1개는 오프사이트에 위치해야 한다는 것입니다. 3개의 복사본을 유지하면 서로 다른 위치에, 다른 형식으로 존재하므로 리던던시(redundancy)를 확보하게 됩니다. 특히, 클라우드 백업이 새로운 3-2-1 규칙의 표준으로 부상하고 있다. 즉, 주 백업은 로컬 디스크에, 두 번째 백업은 클라우드에 두는 방식으로 오프사이트 데이터 복사본을 클라우드에 둘 수 있기 때문에, 백업 황금율에 매우 부합한다고 볼 수 있습니다.특히, 백업 콘솔에서 위치만 지정하면 로컬, 클라우드에 상관없이 백업을 정책에 따라 자동적으로 실행하기 관리자의 부담이 매우 줄어 듭니다. Acronis는 구조적으로 데이터 소산되어, 랜섬웨어의 공격에서도 최후의 백업본을 지킬 수 있습니다.

[그림4] Acronis Backup Cloud Storage 저장화면

두번째, 중앙에서 원격지에서 백업운영관리 가능
Acronis Backup Cloud의 다른 장점은 하나의 콘솔의 원격지에 있는 모든 서버 및 PC를 한번에 관리할 수 있습니다. Acronis Backup Cloud은 Web-based console을 제공하여 인터넷 되는 곳이라면 어디에서든 모든 백업서버의 운영관리가 가능하여 관리자 매우 편리하게 백업을 관리할 수 있습니다. 같은 사무실 내에서나, 같은 건물 내에서나, 혹은 서울, 부산, 광주 등 국내 어디에서는 또는 세계의 어는 곳에 위치하여 있더라도 위치에 구애받지 않고 백업이 가능합니다. 또한, 이기종 복원을 지원하여 P2P(Physical to Physical), P2V(Physical to Virtual), V2V, V2P 등의 어떤 형태로도 복원이 가능하여 실질적인 Disaster Recovery 기능을 수행할 수 있습니다.

[그림5] Acronis Backup Cloud에서 원격지 백업을 관리하는 화면

세번째는 Acronis는 Acronis Active Protection이란 랜섬웨어 탐지 및 복구 기능이 자체 내장되어 있습니다.
IDC에서 언급한 바와 같이 모든 기업들은 랜섬웨어에 대하여 방어전략을 구축하고 시행하기가 쉽지 않은 환경입니다. Acronis Backup Cloud는 인공지능 기반으로 랜섬웨어를 탐지하여 랜섬웨어 프로세스를 차단시킴과 동시에 감염된 파일을 이전의 백업본으로 복원하는 Acronis Active Protection이란 기능을 기본 탐재하고 있습니다. 랜섬웨어 감염 의심 프로세스 발생시, 즉시 탐지하여 “경고” 메시지로 사용자에게 알리며, 사용자/관리자는 경고창에서 직접 클릭하여 랜섬웨어감염여부 파악 가능합니다. 이후 관리자가 복원을 클릭하면 변경이 시도된 파일을 임시스토리지 또는 백업본에서 복구하고 Whitelist/Black list 기능이 제공되어 관리가 가능합니다. 또한 자기방어 기능있어 알 수 없는 프로그램이 Acrocnis의 파일이나 설정값을 변경하는 방지합니다.

[그림6] 랜섬웨어 대응기능이 Arconis Active Protection

마지막으로 Acronis Active Protection은 머신러닝 기반의 학습구조를 가지고 있어서, 진화하는 랜섬웨어 빠르게 대응할 수 있습니다. 랜섬웨어는 빠르게 진화하고 있습니다. Acronis Active Protection는 Cloud기반의 Machine Learning구조를 가지고 있어서, 고객현장에 발생하는 렌섬웨어 정보만으로 수집하여 머신러닝으로 학습하여 대응합니다. 이러한 구조 신종 랜섬웨어에도 빠르게 대처할 수 있는 기반을 제공합니다.

[그림7] Acronis Active Protection의 머신러닝 구조

시대에 데이터를 보호는 필수, 지금 백업을 시작하세요.

현대 사회는 랜섬웨어라는 강력한 범죄위협에 개인, 기업이 노출되어 있습니다. 모든 지식이 가치이자 자산인 시대로 나아갈수록 이에 대한 위협은 더욱 증가할 것입니다. 과거에는 귀찮은일로 여겨졌던 백업은 기업 자산보호의 가장 기본이 되었다고 할 수 있습니다. 어떠한 백업소프트웨어를 사용하더라도 백업의 황금률(3개 백업본을 2가지 미디어, 1개의오프사이트(클라우드) 백업을 지킨다면, 랜섬웨어로부터 충분한 대비책이 될 수 있을 것입니다. 지금 백업을 시작하세요.