랜섬웨어 공격, 중소기업 60%가 6개월 만에 파산한다

[시큐리티팩트=최석윤 기자] 미국의 국립 사이버 보안 연합(National Cyber Security Alliance)에 따르면, 사이버 공격을 받은 중소기업의 60%가 단 6개월 만에 문을 닫는다. 이 충격적인 통계는 사이버 위협이 더 이상 대기업만의 문제가 아님을 명확히 보여준다.

9일(현지시각) Redhotcyber에 따르면, 특히 랜섬웨어는 많은 중소기업을 한순간에 나락으로 떨어뜨리는 주범으로 조용히 파산하여 뉴스에조차 언급되지 않는 수많은 중소기업들이 바로 이 위기의 가장 극적이고 보이지 않는 희생양이다.

대기업과 중견 기업조차도 이러한 세계화된 세상에서 사이버 보안이 비즈니스 자체와 동등한 우선순위가 되어야 한다는 사실을 제대로 인지하지 못하고 있다. 사이버 공격은 기업의 시간을 '이전'과 '이후'로 나누는 분기점이 된다는 것을 기억해야 한다. 그 이유를 자세히 살펴보고, 랜섬웨어가 무엇인지, 그리고 기업들이 어떻게 대비해야 하는지 알아본다.

사이버 공격 후 무너진 기업들.. 피할 수 없었던 비극

지적 재산 도난이나 인프라 마비로 인해 사이버 공격으로 실패한 기업은 셀 수 없이 많다. 뉴스에 나오지 않는 수많은 중소기업들이 랜섬웨어 공격으로 파산하며 실업을 유발하고, 때늦은 후회를 남긴다. 사이버 보안이 오늘날 필수적이며 전략 계획, 조직도, 인적 자원 관리에서 비즈니스를 보호하기 위해 가장 중요한 활동 중 하나로 간주되어야 한다는 것을 가르쳐 준 몇 가지 사례들을 통해 그 심각성을 깨달아보자.

2023년 – 세인트 마가렛 건강(St. Margaret's Health, SMH)

미국의 의료기관 SMH는 2021년 발생한 랜섬웨어 공격의 여파로 2023년 6월 영구 폐쇄를 선언했다. 3개월간 환자 청구 및 서비스 비용 수령이 불가능해졌고, 결국 병원 문을 닫을 수밖에 없었다.

2020년 – 바스타모(Vastaamo)

핀란드의 심리 치료 클리닉 바스타모는 2020년 10월 환자 데이터베이스가 도난당했다. 공격자들은 40비트코인을 요구하며 데이터를 유출하겠다고 협박했고, 결국 회사는 파산했다.

2019년 – 헤리티지 컴퍼니(Heritage Company)

영국의 61년 된 텔레마케팅 회사는 랜섬웨어 공격 후 회복하지 못하고 2019년 크리스마스를 앞두고 파산했다. 300여 명의 직원이 일자리를 잃는 비극적인 결과를 낳았다.

2019년 – 우드 랜치 메디컬(Wood Ranch Medical)

미국의 의료 서비스 제공업체였던 이 회사는 2019년 8월 랜섬웨어 공격으로 환자 데이터가 차단되고 시스템에 돌이킬 수 없는 손상이 발생하여 결국 2019년 12월 영구 폐쇄를 발표했다.

2014년 – 코드 스페이스(Code Spaces)

소스 코드 호스팅 서비스 Code Spaces는 DDoS 공격과 함께 Amazon EC2 제어판 침투로 인해 데이터, 백업 및 서버 구성이 파괴되어 강제로 종료되었다. 결국 서비스를 완전히 중단했다.

2011년 – 디지노타(DigiNotar)

네덜란드 인증 기관인 DigiNotar는 2011년 9월 사이버 범죄자들에게 내부 시스템을 침투당해 가짜 보안 인증서가 발급되는 사고를 겪었고, 결국 파산했다.

이러한 사례들은 사이버 공격이 단순한 기술적 문제를 넘어 기업의 존망을 결정하는 치명적인 위협이 될 수 있음을 명확하게 보여준다.

랜섬웨어, 무엇이고 어떤 종류가 있나

위에서 언급된 여러 기업들의 몰락의 주된 원인이었던 '랜섬웨어'는 정확히 무엇일까?

랜섬웨어(Ransomware)는 '랜섬(Ransom, 몸값)'과 '소프트웨어(Software)'의 합성어로, 사용자 컴퓨터의 파일을 암호화하거나 시스템 접근을 제한한 후, 이를 인질 삼아 돈(주로 비트코인 같은 가상화폐)을 요구하는 악성 소프트웨어다. 피해자가 몸값을 지불하면 암호화된 파일을 복구할 수 있는 키를 제공하거나 시스템 접근을 다시 허용해준다고 약속하지만, 실제로는 돈만 받고 복구 키를 주지 않거나 복구 자체가 불가능한 경우도 많다.

랜섬웨어의 작동 방식

1. 감염:주로 악성 이메일 첨부 파일, 악성 웹사이트 방문, 취약한 소프트웨어 이용 등을 통해 시스템에 침투한다.

2. 파일 암호화: 시스템 내의 문서, 사진, 동영상 등 중요 파일을 암호화하여 사용자가 접근할 수 없게 만든다.

3. 몸값 요구: 암호화된 파일 또는 잠긴 시스템 화면에 '몸값 요구' 메시지를 띄운다. 여기에 지불 방법, 지불 기한 등이 명시되어 있다.

4. 협박: 기한 내에 몸값을 지불하지 않으면 파일을 영구적으로 삭제하거나 유출하겠다고 협박하는 경우도 있다.

랜섬웨어의 주요 종류

랜섬웨어는 계속해서 진화하며 다양한 형태로 나타나고 있다. 주요 유형은 다음과 같다.

△크립토 랜섬웨어(Crypto-Ransomware):가장 흔한 형태로, 파일을 암호화하는 방식이다. 대표적으로 Locky, WannaCry, Ryuk, Maze 등이 있다.

△락커 랜섬웨어(Locker-Ransomware): 파일을 암호화하기보다 시스템 자체를 잠가버려 사용자가 컴퓨터에 접근하지 못하게 한다.

△디스크 암호화 랜섬웨어(Disk Encryption Ransomware): 개별 파일이 아닌 전체 하드 드라이브나 디스크 파티션을 암호화한다. Petya, NotPetya 등이 이 유형에 속한다.

△랜섬웨어 서비스(Ransomware-as-a-Service, RaaS): 랜섬웨어 개발자가 자신들의 악성코드를 다른 해커들에게 빌려주고 수익을 공유하는 형태다. 이를 통해 기술적 지식이 부족한 사람들도 랜섬웨어 공격을 실행할 수 있게 된다.

△이중 협박 랜섬웨어(Double Extortion Ransomware): 단순히 파일을 암호화하는 것을 넘어, 암호화하기 전에 중요한 데이터를 훔쳐 가는 방식이다. 몸값을 지불하지 않으면 훔친 데이터를 공개하겠다고 협박하며 압박 수위를 높인다. 최근 가장 유행하는 형태 중 하나다.

단기 사이버 보안 프로그램, 가장 시급하고 중요

사이버 보안은 수많은 '하위 전문 분야'로 나뉘는 복잡한 주제다. 하지만 모든 복잡한 일이 그렇듯이, 시작하려 할 때 간단한 접근 방식을 찾기 어려울 수 있다. 많은 사람들이 사이버 공간을 보호하거나 개선하기 위해 취해야 할 첫 번째 단계가 무엇인지 혼란스러워한다. 이 글에서는 확정적이지는 않지만, 확실히 여정의 시작이 될 수 있는 지침을 제공하고자 한다. 그렇다면 사이버 프로그램을 시작하려면 어떻게 해야 할까?

가장 시급하고 중요한 것은 바로 '단기 프로그램'을 실행하는 것이다. 단기 프로그램은 지적 재산을 획득하거나, 랜섬웨어를 시작하거나, 다른 목적으로 인프라를 악용하려는 잠재적 해커의 위협을 완화하기 위해 외부 계층의 취약성을 정찰하는 것과 같다. 지금 당장 인프라에 도사리고 있는 위협을 크게 줄이는 데 집중해야 한다.

생존을 위해 기업이 해야 할 일

1. 인프라 취약성 평가 및 중요 수정

동급 최고의 도구를 사용하여 인터넷에 노출된 모든 IP 주소에 대해 스캔(인프라 취약성 평가)을 수행한다. 평가가 완료되면 모든 중요한 수정 조치를 즉시 구현한다. 외부에서 접근 가능한 취약점은 해커의 주된 침투 경로가 된다.

2. 관리 서비스의 인터넷 노출 제거

인터넷에서 모든 관리 서비스(RDP, SSH, SFTP 등)를 제거한다. 변명의 여지가 없다. 반드시 실행해야 한다. 외부에서 직접 관리 서비스에 접근할 수 없게 만드는 것은 기본적인 보안 수칙이다.

3. 관리 계정 강력한 암호 설정

관리 계정에 대해 강력하고 복잡한 암호를 설정한다. 예측 불가능한 암호는 무차별 대입 공격으로부터 계정을 보호하는 첫걸음이다.

4. 웹 취약성 평가 및 중요 수정

동급 최고의 도구를 사용하여 모든 웹 진입점에서 스캔(웹 취약성 평가)을 수행한다. 평가가 완료되면 모든 중요한 수정 조치를 구현한다. 웹사이트는 해커의 또 다른 주요 침투 경로이므로 철저한 관리가 필요하다.

5. 소프트웨어 최신 버전 유지

회사 네트워크에서 실행되는 모든 소프트웨어(특히 인터넷에 노출된 서비스)가 항상 최신 버전인지 확인한다. 소프트웨어 업데이트는 발견된 취약점을 패치하는 가장 효과적인 방법이다.

6. 중요 서버 백업 및 물리적 분리

가장 중요한 서버에서 매일 백업을 수행하고, 네트워크에서 백업을 물리적으로 분리한다. 랜섬웨어 공격 시 데이터를 복구할 수 있는 최후의 보루다. 네트워크와 연결되지 않은 오프라인 백업은 필수적이다.

7. IPS(침입 방지 시스템) 구현

IPS 시스템을 구현하여 인터넷에 노출된 모든 IP 주소를 커버하고 기본적인 정책을 적용한다. IPS는 악의적인 트래픽을 감지하고 차단하여 공격을 예방하는 데 도움을 준다.

이러한 조치들을 한 번도 해본 적이 없다면, 이제 이에 대해 진지하게 생각해 볼 때다. 이 단기 프로그램은 절대적인 끝이 아니라 단지 초기 평가일 뿐이다. 그러나 기업들이 사이버 공격으로 실패하는 현실을 감안할 때, 지금 당장 진지하게 시작해야 한다. 다음 희생양이 당신의 기업이 될 수도 있기 때문이다.

당신의 회사는 랜섬웨어로부터 안전하다고 확신할 수 있는가? 지금 당장 사이버 보안 점검을 시작해야 할 때다.