핵심 POINT
최근 랜섬웨어는 발전된 기술력과 조직화를 통해 기업의 운영과 평판을 동시에 위협하는 복합적인 위협으로 발전하고 있습니다.
고도화된 랜섬웨어 공격은 예방만으로 막기 어렵습니다. 감염 분석부터 복구, 재발 방지까지 이어지는 대응 체계를 갖춰 피해를 최소화해야 합니다.
SK쉴더스는 랜섬웨어 사고 대응에 특화된 전문 조직과 협력 체계를 바탕으로 랜섬웨어 대응에 필요한 전 과정을 지원합니다.
최근 랜섬웨어는 과거보다 단순한 파일 암호화를 넘어 데이터 탈취, 백업 삭제, 정보 공개 협박까지 수행하는 복합적인 사이버 위협으로 진화하고 있습니다. 이제 공격자는 파일을 암호화하는 데 그치지 않고 중요 정보를 탈취하거나 백업 시스템과 보안 솔루션까지 무력화하며 기업 운영 전반을 위협하고 있습니다. 여기에 생성형 AI까지 활용되면서 공격의 속도와 정교함은 더욱 높아지고 있습니다.
전 세계적으로 랜섬웨어 피해 규모 역시 꾸준히 확대되는 추세입니다. 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 지난해 전 세계 랜섬웨어 피해 건수는 8,159건으로 최근 3년 중 가장 높았으며, 이 중 한국 기업을 대상으로 한 공격은 전년 대비 2배 늘었습니다. 2023년부터 확인된 한국 피해 기업만 82곳에 달합니다. 직접 공격을 받은 기업뿐 아니라 협력사와 공급망을 통한 2차 피해 사례도 잇따르고 있습니다.
이제 랜섬웨어는 기업 규모나 업종과 관계없이 발생할 수 있는 대표적인 경영 리스크로 인식되고 있습니다. 이번 글에서는 랜섬웨어의 진화 양상을 살펴보고, 기업이 예방과 대응을 위해 알아둬야 할 사항들을 알아보겠습니다.
■ 랜섬웨어 복구가 어려워진 이유, 백업만으로는 부족하다
이미지 출처 : Magnific
최신 랜섬웨어는 현대 암호학에서 검증된 알고리즘을 기반으로 한 하이브리드 암호화 구조를 사용합니다. 과거 일부 랜섬웨어는 암호화 구현 과정의 오류나 취약점으로 인해 복구 도구가 개발되기도 했지만, 최근 공격 그룹은 이러한 실수를 거의 남기지 않습니다.
일반적으로 파일 데이터는 'AES-256'과 같은 대칭키 알고리즘으로 암호화하고, 해당 대칭키는 다시 'RSA' 또는 'ECC' 기반의 비대칭키 알고리즘으로 보호하는 방식을 사용합니다. 비유하자면 파일을 잠근 열쇠(AES 키)를 또 다른 자물쇠(RSA 공개키)로 한 번 더 잠가두는 것과 같습니다. 복호화에 필요한 개인키는 공격자 측 서버에서만 관리되는 경우가 대부분이어서, 공격자의 협조 없이는 암호화된 데이터에 접근할 방법이 사실상 없습니다.
암호화 기술뿐 아니라 복구 방해 기법도 함께 고도화되고 있습니다. 윈도우 복원 지점을 삭제하거나 데이터 백업 공간을 훼손해 복구 수단 자체를 없애버리기 때문에, 일반적인 악성코드 제거 도구만으로는 암호화된 파일을 되살리기 어렵습니다. 지능형 지속 위협(APT) 방식으로 내부 네트워크에 장기간 잠복한 뒤 관리자 권한을 장악하여 복구 시스템 자체를 무력화하는 사례도 증가하고 있습니다. 심지어 이러한 백업 무력화 기능을 갖춘 랜섬웨어가 다크웹에서 거래되기도 합니다.
최근에는 데이터 백업 시스템을 먼저 무력화한 뒤 랜섬웨어를 실행하는 사례도 증가하고 있습니다. 이에 따라 보안 업계에서는 ‘불변 백업(Immutable Backup)’을 랜섬웨어 대응의 핵심 전략으로 주목하고 있습니다.
■ 랜섬웨어 조직은 어떻게 진화하고 있을까? AI와 RaaS의 등장
이미지 출처 : Magnific
최근 랜섬웨어 조직은 단순한 해커 집단을 넘어 기업과 유사한 운영 체계를 갖추고 있습니다. 대표적으로 킬린(Qilin), 아키라(Akira) 등 주요 랜섬웨어 그룹은 '서비스형 랜섬웨어(RaaS, Ransomware as a Service)' 모델을 기반으로 활동합니다.
RaaS는 랜섬웨어 개발과 운영을 담당하는 조직이 공격 도구와 인프라를 제공하고, 가담자는 이를 활용해 실제 공격을 수행한 뒤 몸값으로 받은 수익을 분배하는 구조입니다. 공격 도구 개발, 침투, 정보 탈취, 협상 등 역할이 세분화된 일종의 산업 생태계인 셈으로, 고도의 컴퓨터 해킹 기술이 없는 공격자도 고도화된 랜섬웨어 공격에 가담할 수 있는 환경이 형성됐습니다.
이러한 조직화는 공격 방식의 변화로도 이어지고 있습니다. 대표적인 사례가 이중 갈취(Double Extortion)로, 파일 암호화보다 중요 정보 탈취에 초점을 맞춰 몸값을 지불하지 않으면 이를 외부에 공개하겠다고 협박하는 방식입니다. 최근에는 고객이나 협력사에 유출 사실을 직접 통보하거나 다크웹에 정보를 공개하겠다고 압박하는 등 더욱 과감한 수법들이 나타나고 있습니다.
생성형 AI의 발전으로 앞으로 컴퓨터 해킹, 랜섬웨어 등 사이버 침해의 속도와 정교함은 더욱 높아질 것으로 예상됩니다. 특히 생성형 AI의 발전은 랜섬웨어 공격의 진입장벽을 낮추고 있습니다. 공격자들은 AI를 활용해 표적 탐색, 침투 경로 분석, 피싱 메일 작성 등 공격 준비 과정을 자동화하고 있으며, 보안 솔루션의 탐지 패턴을 실시간으로 분석하고 회피하는 데에도 AI가 본격적으로 활용될 전망입니다.
■ 진화한 랜섬웨어, 어떻게 대응해야 할까?
이처럼 빠르게 고도화되는 랜섬웨어 공격에 기업은 어떻게 대응할 수 있을까요? 전문가들은 랜섬웨어 침해를 전제로 두고, 사고 발생 이후의 복구와 재발 방지까지 고려한 대응 체계를 갖춰야 한다고 조언합니다.
우선 감염이 확인되면 가장 먼저 해당 시스템을 네트워크에서 분리해 추가 확산을 차단해야 합니다. 이때 전원을 끄거나 임의로 재부팅하는 것은 신중해야 합니다. 시스템 메모리에는 복호화 키나 공격 흔적 등 휘발성 정보가 남아 있을 수 있기 때문입니다. 일부 랜섬웨어 변종에서는 메모리에 남은 암호화 키나 공격 흔적이 복구 과정에 활용된 사례가 보고되기도 했습니다.
랜섬웨어 복구에 앞서 침투 경로와 피해 범위를 파악하는 과정도 중요합니다. 디지털 포렌식 분석을 통해 로그와 방화벽 기록, 삭제 파일 등을 복원·분석하면 공격자의 침입 시점과 활동 범위, 데이터 유출 여부를 확인할 수 있습니다. 이를 통해 사고 원인을 규명하고 후속 대응에 필요한 근거를 확보할 수 있습니다.
랜섬웨어 대응은 단순한 악성코드 제거나 시스템 복구에 그쳐서는 안 됩니다. 침해 원인 분석과 재발 방지까지 포함해야 실질적인 대응 체계를 갖출 수 있습니다. 외부에 노출된 웹 서버, 탈취된 관리자 계정, 미흡한 접근 통제 등 공격자가 악용한 침투 경로를 제거하지 않으면 동일한 방식의 재침해가 발생할 수 있습니다. 따라서 시스템 정상화 이후에도 계정 권한, 네트워크 분리 정책, 접근 통제 체계 등을 점검할 필요가 있습니다.
평상시에는 데이터 백업 공간을 운영 환경과 분리해서 관리하고, 정기적인 복구 훈련으로 비상시 비즈니스 연속성이 유지되는지 검증해 두는 것이 중요합니다.
다만 이러한 대응 과정에는 높은 수준의 전문성이 요구됩니다. 보안 전담 인력이 부족한 기업은 사고 발생 시 신속하게 침해사고 분석과 랜섬웨어 복구를 수행할 수 있는 전문 조직과 협력하는 방안도 고려할 수 있습니다.
■ SK쉴더스, 사고 대응부터 재발 방지까지 전 과정을 지원합니다!
이미지 출처 : Magnific
오늘날 랜섬웨어는 완전한 예방이 어려운 만큼, 사고 발생 이후의 신속한 분석과 복구 역량이 더욱 중요해지고 있습니다. 랜섬웨어 피해가 발생하더라도 침해 원인을 빠르게 파악하고 적절한 대응 체계를 가동한다면 추가 피해를 최소화할 수 있습니다.
SK쉴더스는 국내 유일의 민간 랜섬웨어 대응 협의체 KARA(Korea Anti-Ransomware Alliance)를 주관하며, 글로벌 보안 기업과 법무법인 등 다양한 전문 기관과 협력해 랜섬웨어 대응의 전 과정을 지원하고 있습니다. 이를 통해 위협 진단부터 사고 분석, 복구, 재발 방지까지 원스톱 서비스를 제공합니다.
특히 침해사고 대응 전문 조직인 Top-CERT(탑서트)는 다양한 산업군의 랜섬웨어 사고 대응 경험을 바탕으로 침투 경로와 감염 원인을 정밀하게 분석하고, 피해 범위 산정부터 복구 및 재발 방지 대책 수립까지 지원합니다.
또한 랜섬웨어 사전 진단, 모의훈련, 24시간 탐지·대응 체계를 통해 사고 예방부터 대응, 복구까지 전 과정을 지원하며 기업의 랜섬웨어 대응 역량 강화를 돕고 있습니다.
랜섬웨어는 이제 특정 산업이나 규모에 국한되지 않는 현실적인 경영 리스크입니다. 사고 발생 이후 얼마나 빠르게 원인을 파악하고 랜섬웨어 피해를 복구하느냐에 따라 피해 규모는 크게 달라질 수 있습니다. SK쉴더스의 전문 서비스를 통해 빠르고 체계적인 대응 역량을 갖추시기 바랍니다.
■ 자주 묻는 질문 (FAQ)
Q. 백업을 해두면 랜섬웨어 감염 시에도 데이터를 복구할 수 있나요?
A. 항상 그렇지는 않습니다. 최근 랜섬웨어는 데이터를 암호화하기 전에 백업 파일과 복원 지점부터 삭제하며, 운영 환경과 연결된 백업은 본 시스템과 함께 감염되기 쉽습니다. 데이터 백업을 운영 환경과 분리된 공간에 보관하고 정기적인 복구 훈련으로 실제 복구 가능 여부를 검증해야 복구 수단으로서 효력을 갖습니다.
Q. 기존 안티바이러스만으로 랜섬웨어 탐지가 가능한가요?
A. 한계가 있습니다. 안티바이러스는 이미 알려진 위협은 차단하지만, 새로 등장한 랜섬웨어나 정상 계정·관리 도구를 악용한 공격은 탐지하지 못하는 경우가 많습니다. 대량 파일 변경이나 비정상적인 암호화 같은 이상 행위를 실시간으로 탐지하는 행위 기반 체계가 함께 필요합니다.
Q. 몸값을 지불하면 데이터를 복구할 수 있을까요?
A. 몸값을 지불하더라도 복호화 키를 받지 못하거나, 일부 데이터만 복구되는 사례가 발생합니다. 또한 최근에는 데이터를 먼저 탈취한 뒤 공개를 협박하는 이중 갈취 공격이 늘고 있어, 비용을 지불하더라도 정보 유출 위험이 사라지는 것은 아닙니다.
Q. 랜섬웨어 감염 사실을 어떻게 알 수 있나요?
A. 파일이 열리지 않거나 확장자가 변경되는 것이 대표적인 증상입니다. 이 밖에도 대량 파일 수정, 비정상적인 시스템 성능 저하, 관리자 계정의 이상 로그인, 백업 삭제 시도 등도 랜섬웨어 감염의 주요 징후로 꼽힙니다.
