8 October 2024
안녕하세요 인텔렉추얼데이터입니다.
작년 11월경 국내 최대 스크린 골프 업체 골프존이 랜섬웨어 공격을 당했습니다. 그 후 얼마 지나지 않아 랜섬웨어 조직 'Black Suit'는 다크웹에 탈취한 파일들을 공개했는데요. 초기 골프존측에서는 "회원들의 개인정보 데이터는 없다"고 발표했지만 공개된 데이터 중 'CEO'라는 단어가 포함된 데이터에서 암호화되지 않은 회원명부, 강사 정보 등이 약 2TB가량 노출된 것이 확인되었습니다.
문제는 이 정보의 민감도 수준입니다. 이름, 주민등록번호, 계좌번호 등 매우 민감한 데이터까지 모조리 유출되었습니다. 거기다 이 사고 직후 사고 보상을 주식으로 보상한다는 스미싱 메시지들이 유포, 2차 피해가 우려되기도 했습니다. 오늘은 끊임없이 진화하고 있는 랜섬웨어 공격에 대해 알아보겠습니다.
초기 대응의 중요성, 유출 인지 즉시 신고 필수
개인정보보호법상 개인정보처리자는 개인정보의 분실/도난/유출 사고를 인지했을 때는 지체 없이 알려야 한다고 규정하고 있습니다. KISA(한국인터넷진흥원)은 좀 더 구체적으로 72시간 내에 신고할 것이라는 지침을 주고 있는데요. 골프존은 개인정보 유출 자체를 늦게 인지한 한편, 안내 자체도 늦게 진행하였으며, 개인정보 유출이 없었다고 허위 안내까지 했다가 정보들이 공개된 뒤에야 말을 바꾸는 등 이번 사건에서 커다란 문제를 드러냈습니다.
데이터 파괴를 넘어 데이터 유출로 진화한 랜섬웨어
과거 골프존은 정보보호공시를 통해 2022년 정보보호에 20.5억원을 투자했다고 공시한 바 있었습니다. 주요 투자 항목 중에는 아마존웹서비스(AWS) 보안체계 고도화, 침해사고 대응 및 복구 훈련과 내부유출방지솔루션(DLP) 라이선스 갱신 등이 제출됐지만 결정적 상황에서 제 기능을 발휘하지 못한 것입니다.
특히 2023년 이후부터 랜섬웨어 공격은 단순히 데이터를 파괴하기만 하는 것이 아니라, 데이터를 파괴하며 유출까지 함께 수행, 이 데이터를 통해 피해자를 협박하는 전략을 행하고 있습니다. Coveware의 보고서에 따르면 랜섬웨어 공격의 절반 이상이 데이터 유출 공격을 함께 수행하고 있다고 합니다. 대부분의 공격은 외부에 노출된 데이터베이스 서버를 공격하고 있는데요. 지난 2월 11일, 현대자동차도 이런 공격을 받았습니다. '블랙 바스타(Black Basta)'라는 공격으로 현대차 유럽본부는 약 3TB의 데이터를 탈취당했는데요.
초기 침투 전문 브로커와 결합을 통한 지속적인 공격
설상가상으로 이런 공격 스크립트나 소스들이 판매되고 있다는 점이 문제입니다. 유명한 기업이나 단체를 공격하여 이를 일종의 포트폴리오로 삼아 RaaS(Ransomware as a Service, 서비스형 랜섬웨어)를 판매하는 조직들이 기승을 부리고 있는데요. 이런 조직은 초기 침투 전문 브로커(IAB, Initial Access Broker)들과 결합하여 보다 효율적인 공격을 수행하게 됩니다.
이런 IAB 조직은 원격 데스크톱, 액티브 디렉토리, VPN, 루트 자격 증명, 웹셸 엑세스 등을 위한 접근 권한을 탈취하여 랜섬웨어 공격그룹에 판매합니다. 경쟁 제조사들의 기밀정보나 영업정보 탈취를 위해 RaaS 그룹과 IAB 조직이 결합하여 활동하는 것이죠.
랜섬웨어 방어를 위한 필요한 기업의 보안 대응책
신규 랜섬웨어들이 계속 발견되고 매 분기 공격 건수가 늘어나며 공격 패턴도 다변화되고 있는 가운데, 민감 정보를 취급하는 기업은 선제적이고 능동적인 조치를 취해야 할 시점이라고 볼 수 있습니다. 데이터 파괴를 막기 위한 백업과 더불어 랜섬웨어 위협을 사전에 진단하는 워크플로우를 구축하고, 랜섬웨어 모의 훈련을 통해 전반적인 랜섬웨어 대응 프로세스를 수립해야 합니다.
또한 보안관제와 침입 탐지 서비스 도입, EDR(엔드포인트 침입 탐지 및 대응) 솔루션 구축과 같은 시스템 도입도 필요합니다. 하지만 무엇보다 네트워크에 접근할 수 있는 인원과 공개된 엔드포인트를 최소화하고 민감정보가 보관된 곳을 조직 내 데이터와 분리하는 망 분리, 조직 내 인원에 대한 정기적 보안 교육 및 대응 수준 평가를 수행하여 보안에 대한 경각심을 꾸준히 일깨우는 것이 보안에 있어서 가장 중요한 부분이 될 수 있을 것입니다.