- 랜섬웨어 몸값 지불, 해외에서 40%, 일본은 10% -- 하지만 방심할 수 없는 이유
-
- 카테고리사물인터넷/ ICT/ 제조·4.0
- 기사일자 2022.9.22
- 신문사 Nikkei X-TECH
- 게재면 online
- 작성자hjtic
- 날짜2022-10-03 09:49:48
- 조회수485
Nikkei X-TECH_2022.9.22
랜섬웨어 몸값 지불, 해외에서 40%, 일본은 10%
하지만 방심할 수 없는 이유
랜섬웨어의 위협은 멈출 줄 모르고 있다. 트렌드마이크로가 9월 7일에 발표한 조사 결과에 따르면, 26개 국가 및 지역에 있는 법인의 66.9%가 지난 3년 간 랜섬웨어 공격을 당했고, 공격을 당한 법인의 84.9%(전체의 56.8%)에서 데이터가 암호화되었다고 한다.
이번 조사는 트렌드마이크로가 '랜섬웨어 공격 글로벌 실태조사 2022년 버전'이라는 제목으로 올 5~6월에 걸쳐 실시한 것이다. 응답자는 법인의 IT부문 의사 결정자 2,958명이다.
랜섬웨어는 말웨어(컴퓨터 바이러스)의 일종이다. 컴퓨터 내 데이터를 암호화해 볼모로 잡고 원래대로 되돌리고 싶으면 몸값을 지불하라고 요구한다. 최근에는 몸값을 지불하지 않으면 인터넷에서 절취한 데이터를 폭로하겠다고 위협하는 공격도 많다. 데이터를 볼모로 잡고 폭로하겠다고 위협하는 이른바 이중 협박이 횡행하고 있다.
-- 다중 협박이 당연해져 --
트렌드마이크로의 오카모토(岡本) 시큐리티 에반젤리스트는 이번 조사를 통해 나타난 최근 랜섬웨어 공격을 “2중 협박이 아니라, 3중 4중의 다중협박이 되고 있다”라고 설명한다. 공격자가 데이터를 암호화해 폭로하겠다고 위협하는 2중 협박.
여기에 더해 데이터를 절취한 조직에 대해 디도스(DDoS) 공격을 하겠다고 위협하는 것이 3중 협박. 더 나아가 고객이나 비즈니스 파트너에게 폭로되고 싶지 않으면 몸값을 지불하라고 요구하는 것이 4중 협박이다.
조사 결과를 보면 공격자가 데이터 침해를 고객이나 비즈니스 파트너에게 알렸느냐는 항목에 대해 랜섬 공격을 받은 1,980개 조직 중 67.0%(전체의 44.9%)가 고객이나 비즈니스 파트너에게 알렸다고 응답했다.
다중 협박의 공격 방법은 2020년경에 등장한 것으로, 이전부터 있었다. 그러나 실제로 얼마나 시행되고 있는지는 지금까지 알려져 있지 않았으며, 이번 조사를 통해 다중 협박의 실태가 드러난 것이다. 오카모토 에반젤리스트는 “일본에서도 다중 협박이 기본이 되고 있다”라고 경종을 울린다. 이번 조사 결과에서도 해외와 일본에서 다중 협박 비율에 큰 차이가 보이지 않았다.
하지만 랜섬웨어 공격을 당해 몸값을 지불했다고 응답한 일본 법인의 비율은 해외와 비교하면 낮았다. 조사에 응답한 일본 법인 중 랜섬웨어 공격을 당했다고 응답한 곳은 70개 조직. 이 가운데 실제 몸값을 지불했다고 응답한 곳은 11.4%였다. 해외에서 41.7%가 몸값을 지불했다고 응답한 것에 비해 낮았다.
일본의 몸값 지불율이 낮은 것은 적절히 데이터를 백업하고 있거나, 중요한 데이터는 피해를 입지 않도록 하는 등 충분한 대책을 취하고 있었기 때문일까? 오카모토 에반젤리스트는 “언어의 장벽으로 교섭까지 가지 않거나, 일본에서는 지불한 것을 공개하는 법인이 적은 것이 영향을 주고 있는 것은 아닌가?”라고 추측한다.
또한 해외에서는 사이버 보험으로 지불을 한 사례도 있다고 한다. 이러한 영향으로 일본의 지불 비율이 해외에 비해 크게 낮은 것으로 보인다.
-- 데이터의 움직임을 파악하는 것이 중요 --
전혀 약해질 기미를 보이지 않는 랜섬웨어 공격에 대한 대비는 어떻게 해야 할까? 오카모토 에반젤리스트는 “유출된 데이터를 확인할 수 있는 것이 중요하다”라고 설명한다. 랜섬웨어 공격을 당했을 때에는 거래처나 고객에게 어떤 데이터가 도난당했는지, 업무에 영향이 있는지 등의 내용을 신속하게 설명해야 한다. 이러한 사후 조사를 통해 영향 범위를 특정할 수 있는 것이 중요하다고 한다.
영향 범위를 특정하기 위해서는 기업 네트워크 내부의 로그나 통신 로그, 시스템 로그의 보전이 중요하다. 이를 위해서는 EDR(엔드포인트 위협탐지 및대응)이나 NDR(네트워크 탐지 및 대응)이라는 시스템을 도입하는 방법이 있다. 기업 네트워크 내부 단말기나 시스템에서 어떻게 데이터가 움직였는지를 증거로 보전해야 한다.
하지만 EDR이나 NDR과 같은 새로운 시스템 도입은 코스트가 비싸다는 것도 사실이다. 예산 관계 상 새 시스템 도입이 어려울 경우 로그 보전을 위해 일정 태스크를 설정하거나 별도의 서버로 로그를 전송해 로그를 안전한 장소에 보관해 두는 것만으로도 효과가 있다고 한다.
한편, 랜섬웨어 대책 중 하나로 백업을 실시하는 것도 유효하다. 암호화되어도 백업을 통해 복구할 수 있다. 그러나 어디까지 백업할 것인가 라고 하는 백업 범위 등을 제도화해두지 않으면 효과는 미비하다고 한다. 이번 조사 결과에서는 “모든 데이터를 복구할 수 있었던 기업은 약 절반에 불과했다”(오카모토 에반젤리스트).
오카모토 에반젤리스트는 백업도 필요한 대책 중 하나이지만, “초기 침입이나 횡 전개를 검출할 수 있는 구조도 중요하다”라고 설명한다. 랜섬웨어는 공격을 실행하기 전에 보안 제품을 정지하는 사례가 많다. 이 경우 랜섬웨어 공격을 정상적으로 검출하지 못할 가능성이 높아진다. 이러한 상황을 막기 위해서라도 말웨어 대책의 기본으로 돌아가 랜섬웨어의 초기 침입을 확실히 검출할 수 있는 구조를 갖추는 것이 중요하다.
감염된 PC와 동일한 네트워크 내에 있는 PC를 공격해 감염시키는 말웨어도 있다. 조사 결과에서는 “대부분 네트워크를 통한 횡 전개를 막기 위한 대책이 불충분한 경향을 볼 수 있었다”(오카모토 에반젤리스트). 자체 조직에서 검출할 수 있는 랜섬웨어 공격의 프로세스를 보면 툴 실행이나 데이터 유출, 초기 침입, 횡 전개라는 항목에서 해외보다 일본이 낮다는 결과를 얻을 수 있었다.
-- 끝 --
Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.