2021년 5월 31일, 미국 공휴일인 전몰장병 기념일(Memorial Day)을 앞둔 금요일, 식품 가공 업체 JBS가 희생양이 되었다. 또, 7월 4일 독립기념일 직전 금요일에는 IT 관리 소프트웨어 기업 카세야(Kaseya), 그리고 여러 규모의 카세야 공급사 1,000여 곳이 희생양이 되었다. 9월 6일(현지 시각) 근로자의 날을 노린 대규모 랜섬웨어 공격 피해가 보고될 것인지는 더 지켜보아야 한다. 그러나 해커가 공휴일을 노리고 사이버 공격을 개시하는 것을 선호한다는 사실 만큼은 분명하다.
실제로 랜섬웨어 해커 세력은 매주 주말에 사이버 공격을 자주 개시하기도 한다. 그러나 주말보다 휴일이 더 길다면 어떨까? 누구나 가족, 친구와 함께 모여 술잔을 기울이면서 고도로 집중한 원격 근무에서 벗어나는 날은 어떨까? 모두 해커 세력이 랜섬웨어 공격을 개시하기 좋은 시점이다. 사이버 범죄 세력이 주말, 공휴일 등을 공격 시점으로 자주 정한 것이 최근 들어 새로이 나타난 추세는 아니지만, 미국 연방수사국(FBI)과 사이버보안기반시설국(CISA)가 근로자의 날을 앞둔 휴일이 다가오기 직전 공휴일을 노린 사이버 공격 위협의 심각성을 강조하는 합동 경고문을 발표했다.
사이버 공격 세력에게 공휴일이 매력적인 공격 시기인 이유는 매우 명확하다. 랜섬웨어는 네트워크를 통해 확산되며, 랜섬웨어 해커는 대다수 시스템에 걸쳐 최대한의 통제 권한을 급속도로 강화하여 공격을 개시하려 한다. 피해 기관이 랜섬웨어 발생 사실을 인지하는 데 오랜 시간이 걸릴수록 공격의 위험성이 더 커진다. 바이러스 방지 기업 엠시소프트(Emsisoft)의 위협 애널리스트인 브렛 칼로우(Brett Callow)는 “솔직하게 설명하자면, 사이버 공격 세력은 피해자나 기관이 처음부터 공격을 예방할 확률이 낮을 때 랜섬웨어를 배포한다. 피해자가 랜섬웨어 공격을 감지하여 공격 실패에 끝날 가능성이 작기 때문이다”라고 설명했다.
랜섬웨어 공격을 비교적 빠르게 찾더라도 사이버 보안 담당자 대부분 잠재적인 공격 대상에 포함된다. 혹은 적어도 사이버 보안 예방 수준이 높다면, 다른 기관보다 노동자의 날 연휴 이후 랜섬웨어를 찾게 될 확률이 더 낮다. 사이버 보안 기업 레드카나리(Red Canary)의 정보 총괄인 케이티 니켈스(Katie Nickels)는 “휴일에는 사이버 보안 담당자가 사이버 공격에 덜 집중할 것이라는 사실을 직감적으로 알 수 있다. 휴일에는 상주 인력 감소가 그 주된 이유이다. 만약, 휴일에 심각한 사이버 공격이 발생하면, 보안 담당자가 필요한 개인 인력의 신속 대응을 제공하기 더 어려울 것이다”라고 말했다.
[사진=Pixabay]
FBI와 CISA가 공휴일을 노린 중대한 사이버 공격에 주목했을 확률이 높다. 앞서 언급한 JBS와 카세야 랜섬웨어 사태 이외에도 심각한 피해를 일으킨 콜로니얼 파이프라인(Colonial Pipeline) 공격이 어머니의 날이 포함된 주말에 발생한 사실도 주목할 만하다. (다만, 콜로니얼 파이프라인 공격이 발생했을 때는 휴일이 3일 연속 이어지지 않았으나 공격 시점 자체는 사이버 공격에 신속히 대응하기 어려운 때에 발생했다.) FBI와 CISA 모두 근로자의 날과 이어지는 주말에 비슷한 대규모 사이버 공격 발생과 관련된 특별한 위협 보고 사례가 없다고 밝혔으나 또다시 대대적으로 심각한 피해를 주는 랜섬웨어 공격이 보고되어도 그리 놀랄 것은 없다.
랜섬웨어가 끊임없이 위협을 가하고, 가솔린 부족 사태로 대대적인 주목을 받는 소식이 발표될 때마다 소기업 수십 곳이 사이버 범죄 조직에 비트코인을 송금하면서 서둘러 문제를 해결해야 한다는 사실을 기억하는 것도 중요하다. 2020년, FBI 산하 인터넷 범죄 신고 센터(IC3)에 사이버 공격 피해 집단이 보고한 랜섬웨어 사건은 2019년 대비 20% 증가한 총 2,474건이다. 또, IC3 데이터에 따르면, 지난해 해커 조직이 피해 기관에 데이터 암호화 해제 비용으로 요구한 금액이 1년 사이에 3배나 증가했다.
사실, FBI와 CISA 모두 인정한 바와 같이 일반적으로 사이버 공격 세력이 매주 주말을 공격 개시일로 택한다. 칼로우도 사이버 보안 연구원 마이클 질레스파이(Michael Gillespie)가 랜섬 노트나 암호화 파일을 등록해 피해를 준 랜섬웨어 유형을 정확하게 파악하도록 개발한 서비스인 ID 랜섬웨어(ID Ransomware)의 제출 내용을 기반으로 주말을 보낸 뒤 매주 월요일 사무실에 복귀할 때마다 랜섬웨어 공격이 발생한 사실을 발견하는 사례가 가장 많다는 사실에 주목했다.
해커 세력의 전략적인 공격 시간 지정은 다른 형태로도 등장한다. 칼로우는 학교 기관을 공격 대상으로 삼은 공격은 주로 늦봄과 여름 사이에 급격히 증가한다고 말한다. 사이버 공격 피해를 복구해야 할 긴급함이 다른 때보다 훨씬 더 줄어들기 때문이다. 북한 해커 세력 라자루스가 방글라데시 중앙은행에 총 8,100만 달러를 탈취했을 당시 방글라데시는 금요일, 미국은 토요일로 두 국가 모두 주말을 앞둔 동시에 상당수 아시아 국가가 신년 연휴를 맞이한 시점을 계산하여 강도 범죄를 저질렀다.
다크사이드(DarkSide)와 라그나로크(Ragnarok), 레빌(REvil) 등 극소수 대규모 랜섬웨어 집단이 뒤늦게 사라지거나 오프라인으로 전환한 것도 사실이다. 앤 노이버거(Anne Neuberger) 사이버 보안 차관은 9월 2일(현지 시각), 언론 브리핑을 통해 미국 정보기관도 최근 들어 랜섬웨어 사태 공격 건수가 감소한 사실을 관측했다고 밝혔다. 그러나 다수 사이버 보안 연구원은 현재 랜섬웨어 사태가 감소했다고 안심하는 것을 경계한다. 니켈스 총괄은 “피사(Pysa), 록비트 2.0(Lockbit 2.0), 콘티(Conti) 등 많은 사이버 공격 세력이 계속 여러 기관에 심각한 피해를 일으킨다. 더 큰 영향력을 지닌 관련 기관 한 곳 이상이 사라지면, 일반적으로 또 다른 기관이 등장해 랜섬웨어 감소 폭을 줄인다”라고 설명했다. 또, 노이버그 차관은 언론 브리핑 현장에서 여러 기관에 근로자의 날 연휴에 앞서 사이버 보안 강화 상태를 유지하라고 경고했다.
안타깝게도 향후 발생할 수 있는 해킹 대비는 근로자의 날 연휴를 노리고 발생하는 각종 사이버 공격 예방과 똑같지 않다. 근로자의 날이 다가오기 직전이라는 시점 자체가 연휴를 노린 랜섬웨어를 대비하기에 너무 늦었다. 상당수 공격 세력이 이미 보안이 악화된 시스템에 잠입한 뒤 피해를 일으키기 가장 좋은 기회를 노려 공격하기 때문이다. 일반적으로 곧 다가올 공격에 가장 철저하게 방어할 수 있는 때는 랜섬웨어 피해가 발생하기 몇 주 전이다. 칼로우는 “주거침입 범죄 대부분 대낮에 발생하며, 범죄 예방 차원에서 현관문을 제대로 잠그지 않은 격”이라며 랜섬웨어 공격 피해와 예방 상황을 비유적으로 설명했다.
다시 말해, 모든 기관이나 개인 모두 장기 연휴와 그 이후 언제든지 발생할 사이버 공격 보호 능력을 갖출 수 있다는 의미이다. FBI와 CISA의 권고사항 모두 상당수 사이버 보안 예방을 위한 최선책으로 의심스러운 링크 클릭 금지와 데이터 오프라인 백업, 보안 수준이 높은 패스워드 사용, 소프트웨어 정기 업데이트, 이중 인증 제도 사용 등을 반복하여 이야기한다. 또, 원격 데스크톱 프로토콜을 사용한다면, 신중한 보안 조치를 시행해야 한다는 사실을 함께 경고한다. 과거, 마이크로소프트가 원격 데스크톱 프로토콜을 주로 사이버 공격 시작점으로 악용할 수 있다는 사실을 입증했기 때문이다. 이밖에 기관에서는 공휴일에 사이버 보안을 관리할 상주 인력을 추가 배치하는 방안도 채택할 수 있다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202109/3377_4465_3510.jpg)
뉴스레터 신청