티스토리 뷰
2020년 코로나-19 바이러스 사태가 팬데믹으로 유행하면서 전 세계는 혼란과 멈춤 현상이 발생했다. 사회적 거리두기 등의 인류가 처음 겪는 규제로 많은 기업들의 업무환경이 크게 변화했다. 기업정보시스템들의 망분리, 폐쇄적인 체계가 재택근무 등으로 기업 업무환경 인프라가 급변해서 보안 취약점이 발생되고, 해커들의 사이버 공격이 다양한 침투 경로를 제공하게 되었다. 이런 해킹 사건, 사고는 랜섬웨어를 활용한 해커들의 집단 사업화 및 다크웹 시장이 활성이 되어버렸다. 보안이라는 단어는 365일 24시간 하루라도 빈틈이 보이면 유명무실해진다.
세계적 사이버 위협 트렌드
한국 국내에서도 코로나19 사태로 온라인 쇼핑에서의 소비가 늘어나고, 원격근무 등의 비대면화가 확산되어 기관, 기업에서의 IT 전산 역량(디지털 역량)이 국가, 기업 경쟁력의 핵심이 된다는 것을 인지하기 시작했고, 글로벌하게 해외 여러 나라와 글로벌 기업들의 상황도 마찬가지였다.
해외 및 국내의 공통적인 문제는 사이버 보안 위협의 증가이다. 악의적인 목적을 가지고 활동하는 해커들의 사이버 공격이 급증하고, 조직적으로 움직임이 발생되었다. 보안의 중요성은 더욱 커지는데, 전산시스템에서의 보안 강화는 양날의 검과 같다.
그 이유는 관련 전산 전문 인력 부족과 예산 부족 문제가 기본적으로 해결되지 않은 상태에서 실제 보안 시스템 도입 및 강화는 평소 100%의 업무를 했다면 보안이 강화된 업무 환경에서는 150~200%의 일을 더 하게 된다. 이렇듯 일을 더 많이 하게 되니 업무 능률도 떨어진다.
2021년 IBM 시큐리티가 분석한 통계 자료에서는 전 세계적으로 데이터 유출 평균 총비용은 전년대비 10% 이상 증가해서 최근 몇 년간 한해 증가율로는 가장 높은 수치를 기록했다고 전했다.
유출된 데이터 중에서 고객의 개인정보(PII)는 가장 많이 유출이 되고 있으며, 이외 암호화된 고객 데이터, 지적 재산, 직원 정보가 있다. 이렇게 유출된 데이터는 다크웹과 같은 시장에서 활발하게 거래된다.
SK인포섹과 합병한 ADT캡스에서는 2021년 상반기 보안 트렌드에 대해서 5가지로 공급망 공격, 이메일 피싱 공격, 기업 내부 자료 다크웹 유출, SNS 개인정보 5억만 명 유출, 미국 송유관 업체 랜섬웨어 공격을 설명했다.
특히 디지털 침해(해킹) 사고에 대한 발생 업종으로 제조업이 가장 높고, 원인은 크리덴셜 스터핑(Credential Stuffing)으로 피싱 메일을 통해 사용자 디바이스에 있는 계정을 탈취하고 여러 사이트에 무작위 대입 방식으로 로그인해서 정보를 빼가는 수법으로 공격이 계속 이어지고 있다.
유출된 계정 정보는 새로운 시스템과 기타 사이트에서 2차, 3차 해킹을 위한 루트를 확보하게 해줘서 결국 기업의 핵심 시스템들의 관리자 계정까지 획득하게 된다. 관리자 계정에 대한 ID와 패스워드까지 해커가 획득하면 상황이 매우 심각해진다. 기업 전산 시스템 마비와 기업 기밀정보 유출로 데이터가 볼모가 되어 복구를 위해 협상을 요구하고, 금전적 이득을 해커들이 챙긴다. 이런 사태를 랜섬웨어 사태라고 한다.
다크웹 시장의 이해
다크웹은 일반적인 상업적인 거래로 하기 힘든 모든 것을 사고, 팔 수 있는 시장이다. 해커들이 사용하는 해킹 툴, 무기, 불법적인 약물 등 우리가 상상하는 것 이상의 많은 부분을 다크웹 시장에서 부정적, 불법적 거래가 이루어진다.
뉴스와 여러 자료를 보면 다크웹, 딥웹 이라는 단어가 보인다. 딥 웹(Deep Web)은 구글, 빙, 야후, 네이버, 다음 등 우리가 흔히 검색 포털이라고 하는 인터넷 서비스이다. 딥웹의 반대말로 표면 웹(Surface Web)이다.
딥웹에서는 인덱싱(검색화 리스트화)되지 않은 웹페이지, FFS(Fee-for-Service) 사이트, 개인 데이터 베이스 및 타크웹이 포함된다.
딥웹을 이해했다면 이제 다크 웹(Dark Web)에 대해서 알아보면 다크웹은 웹페이지 접속 시 허가가 필요한 네트워크나 특정 소프트웨어만으로 접속할 수 있는 오버레이 네트워크를 다크넷(DarkNet) 혹은 타크웹이라고 한다.
다크웹은 표면에 드러난 일반 검색 사이트에서 검색이 되지 않고, 네트워크 우회와 익명화를 위해 개발된 소프트웨어(Tor)를 이용해서 접속을 한다. Tor(The Onion Router)는 양파가 겹겹이 쌓여있는 특징을 표현한 단어이다.
지구 상의 많은 나라들은 아직도 정부의 감시와 규제를 받고 있다. 언론 통제, 탄압을 통해 공포 정치를 하는 나라가 아직 존재한다는 이야기이다. 그런 나라에서 사회 운동가, 언론인, 내부고발자 들은 일반적인 인터넷을 사용할 경우 반드시 추적되어 체포되어서 보안이 되는 익명, 프라이버시가 요구되는 것이 필요해서 쉽게 추적할 수 없는 암호화된 네트워크. 즉 타크웹으로 숨어 들어가게 된다.
2021년에도 2022년에도 국내 기업들이 랜섬웨어의 공격으로 기업 ERP, 그룹웨어, 도면관리시스템 등의 핵심 전산 시스템의 데이터가 암호화되어 업무가 마비되어 해커들에게 암호화된 데이터를 풀기 위해 비용을 지불하고 있다. 뉴스에 알려진 랜섬웨어 피해 기업은 빙산의 일각이며, 알려지지 않는 많은 기업들이 피해를 받았을 것이다. 만약 협상 비용을 지불하지 않으면 해커들은 다크웹 시장에 해킹한 데이터를 헐값에 팔아버리고 공개를 해버린다.
랜섬웨어를 이용한 해커 집단화 사업화
글로벌 트렌드와 다크웹 시장에 대해서 이해를 했다면 랜섬웨어에 대한 이야기로 이번 글에 대해서 마무리를 하겠다.
글로벌하게 랜섬웨어로 피해를 입은 규모는 2015년 3800억 원에서 2021년 23.5조 원으로 6200%가 급증했다면 믿을 수 있겠는가? 이런 추세라면 약 10년 후에는 300조 이상의 피해액을 유추할 수 있다.
300조 원 이상의 피해액이 천문학적으로 늘어가게 되는 핵심 이유는 랜섬웨어 공격과 피해자 대응이 해커들에게 어렵지 않게 접근하고, 금전 이득이 너무나 쉬운 구조가 되어버렸기 때문이다.
구분 | 2015년 | 2016년 | 2017년 | 2018년 | 2019년 | 2020년 | 2021년 | 합계 |
건수 | 2678 | 3255 | 4475 | 4652 | 2223 | 2060 | 2000 | 21343 |
총피해액 | 1090억 | 3000억 | 7000억 | 1조 2500억 | 1조 8000억 | 2조 | 2조 5000억 | 6조 8590억 |
대상 | PC 99% 서버 1% |
PC 99% 서버 1% |
PC 99% 서버 1% |
PC 99% 서버 1% |
PC 85% 서버 15% |
PC 80% 서버 20% |
PC 75% 서버 25% |
국내 랜섬웨어 침해 현황 _ 출처 RanCERT
랜섬웨어로 피해를 받은 사건, 사고에 대한 신고현황은 솔직히 신뢰하기 힘들다. 앞서 언급했듯이 개인이나 작은 가게, 중소기업 등에서는 신고를 안 하고, 다시 처음부터 시작하거나 해커와 비공개로 협상을 시도해서 신고 건수보다 2배, 3배, 10배 이상 많을 수도 있다.
위 표에서 특히 눈여겨봐야 할 점은 2018년까지는 해커들의 랜섬웨어 주요 공격 대상이 개인용 PC, 업무용 PC에 집중이 되었다면 2019년부터는 중요한 자료가 모여 소중하게 운영되는 서버를 대상으로 하는 비중이 2019년 15%, 2020년 20%, 2021년 25%로 늘어난다는 점이다. 물론 이 수치 또한 실제 신고가 되지 않는 점을 감안하면 도 높은 수치로 올라갈 것이다.
2021.05.31 - [이슈] - 2021 신종 랜섬웨어 디도스 해킹 공격 - 국내 기업 피해 사례 꾸준하다
2021.06.06 - [IT기술] - 해커들의 역습 - 준비는 끝났다 2021년 더욱 위협적 사이버 공격 준비중
2021.12.20 - [IT기술] - 2021년 최악의 IT 보안 사태 - LOG4J 로그4J 보안취약점
2021.12.28 - [IT기술] - 아파치(Apache) Log4j 보안 취약점 내용 및 대응방안 업데이트 권고내용
달을품은태양 블로그에서 크게 인기가 없는 IT 분야의 글이지만 2021년 작년 5월부터 보안 이슈 및 랜섬웨어, 해커들의 역습이라는 글을 포스팅했었다.
2022년에는 더욱더 해커들이 랜섬웨어 공격에 필요한 방법론과 전문 툴을 강화하고 서로 뭉치면서 사업화해서 일반인이 마음만 먹으면 쉽게 해커가 될 수 있을 정도로 상황이 더 심각한 상태이다.
은밀한 산업 스파이가 기업 내부에 몰래 잠입하는 과거의 제임스 본드 시리즈처럼 랜섬웨어 프로그램이 그 역할을 대신하고 대기업, 중소기업을 가리지 않고 침투를 하기 위해 지금 이 순간에도 호시탐탐 기회를 노리고 있다. 최근 2년 동안 해외 글로벌 기업인 Canon, Garmin, Campari, Capcom, Foxconn, Colonial Pipeline, AXA 등의 기업들이 랜섬웨어로 큰 피해를 당했다.
한국인터넷진흥원(KISA)의 통계에서는 랜섬웨어의 피해 사례가 급속하게 증가하는데 절반 이상의 기업이 피해 복구에 실패했다는 것은 한국 기업들이 전산 시스템 백업과 같은 기본적인 안전 대비책 준비가 취약하다는 것을 의미한다고 밝혔다.
직원을 100명 이상 둔 기업에서 흔히 ERP 전산시스템을 사용하는 기업 중에서 솔직히 데이터 백업 시스템 소프트웨어를 사용하는 기업이 없다. 특히 전산 책임자(담당자)와 보안 책임자(담당자)가 따로 업무 분장 및 구분이 안되어 있고, 관리부서의 책임자들이 겸업을 하는 경우가 거의 대부분이다.
보통 대부분 이런 랜섬웨어로 해킹 보안 사고가 발생하면 사태의 심각함을 알고 약 50% 정도 기업 CEO들이 뒤늦게 전산 및 보안에 대한 안 보이는 비용을 지불하고, 보안 솔루션 및 백업 시스템을 구축한다.
2021년을 기준으로 랜섬웨어 피해를 당한 국내 기업이 40% 이상이라고 하는데 40% 중에 93%가 중소기업이라는 점이 한국 기업들의 전산관리, 보안관리가 얼마나 허허벌판에 사막과 같은 현실임을 알려준다.
최근 내가 관리해주는 국내 기업이 랜섬웨어로 기업 업무가 3일 동안 마비가 되었다. 물론 랜섬웨어에 관련된 보안시스템, 백업시스템들이 구축되어 운영 중이었다. 하지만 당했다.
백업시스템이 구축이 되어 있어서 시스템 복구를 하면 된다고 안일하게 생각했던 전산 책임자는 3일 동안 지옥을 오갔다. 몇 년 전부터 지금의 백업시스템에서 파일시스템으로 백업만 하다가는 치밀한 해커가 백업시스템까지 해킹을 해버리는 답이 없으니 테이프 장치로 2차 소산 백업을 해야 한다는 나의 말을 무시하다가 1년 전 외장 디스크에 백업된 풀버전의 데이터로 복구를 하면서 3일간의 업무 마비를 긴급 해결했다. 잃어버린 2021년 업무 데이터는 문서로 출력된 데이터를 이제 입력을 해야 한다.
이렇게 보안이라는 단어는 "꾸준함", "부지런한"의 말로 항상 돌다리도 두들겨 보고 건너는 치밀한 관리와 운영이 필수적이다. 하루만 안 한다고 별 일 있겠어? 라면서 쉬어버린다면 똑똑하고 치밀한 해커가 그 하루 동안 모든 일을 끝낸다.
기사 참조 원문 : 디지털타임즈 - ADT캡스, EQST 2021년 상반기 보안 트렌드 발표
http://www.dt.co.kr/contents.html?article_no=2021063002109931820007
기사 참조 원문 : IT BizNews - 점점 커지는 랜섬웨어 피해, 국내 기업들 대응책 마련해야
https://www.itbiznews.com/news/articleView.html?idxno=62358