IT보안. 랜섬웨어, 돈 주면 정말 복구해줄까.
- 내 떨어진 코인만큼이나 복구가 힘들더라 -
IT보안이라는 단어를 들었을 때, 일반인들이 방화벽 다음으로 가장 많이 들어본 단어가 아마 '랜섬웨어(Ransomware)' 일 것이다.
영화나 드라마를 보면 해커가 엔터 키 하나 딱 치는 순간, 전 회사의 PC 화면이 빨갛게 변하면서 해골 그림이 뜨고 카운트다운이 시작된다.
단언하건대, 현실은 그것보다 훨씬 구질구질하고 처참하다.
화면에 해골이 뜨는 건 양반이다. 출근해서 엑셀 파일을 열었는데 '파일 형식이 잘못되었습니다'라는 메시지만 무한 반복될 때의 그 서늘함... 겪어보지 않은 사람은 모른다.(물론 나도 직접 겪어보진 않았다. 다만 겪어본 사람을 옆에서 보는 것만으로도 나도 피부로 느껴지니깐..)
전작들에서 '방화벽'이 우리 집 대문을 지키는 문지기라고 했다면, 랜섬웨어는 대문을 통과한(혹은 몰래 들어온) 도둑이 우리 집 안방 금고를 통째로 용접해 버리고는 "열쇠 받고 싶으면 돈 내놔"라고 협박하는 상황이다.
이번 글에서는 랜섬웨어에 대해 책에서 알려주지 않는, 실무적인 관점에서의 '진짜' 이야기를 해보려 한다.
랜섬웨어는 '기술'이 아니라 '비즈니스'다.
① 예전의 바이러스가 자기 과시나 파괴가 목적이었다면, 요즘 랜섬웨어는 철저하게 수익 창출이 목적이다.
② 심지어 'RaaS(Ransomware as a Service)'라고 해서, 랜섬웨어를 제작해서 유포할 수 있게 플랫폼을 빌려주고 수익을 나눠 갖는 서비스까지 성행한다. (IT 기술이 이렇게 엉뚱한 데서 고도화되는 걸 보면 참 씁쓸하다.)
③ 즉, 당신을 공격한 건 천재 해커가 아니라, 그냥 '돈을 벌고 싶은 비즈니스맨(의 탈을 쓴 범죄자)'일 가능성이 99%다.
Google Gemini가 생성한 이미지백업이 있다고 안심하지 마라. (현실의 뒤통수)
① 보안 담당자에게 "랜섬웨어 대책이 뭐냐"라고 물으면 십중팔구 "백업 잘하고 있습니다"라고 대답한다.
"저희는 백업 철저하게 하고 있어서 랜섬웨어 걸려도 그냥 복구하면 되거든요?"
② 하지만 실제 필드에서 터졌을 때 보면, 백업 서버까지 같이 암호화되어 있는 경우가 허다하다.
③ 공격자들도 바보가 아니다. 침투한 뒤 바로 파일을 암호화하는 게 아니라, 며칠간 잠복하면서 백업 경로를 먼저 파악하고 백업 데이터부터 망가뜨린 뒤에 본 게임을 시작한다.
이 디테일의 차이가 기업의 생사를 가른다.
Google Gemini가 생성한 이미지돈을 주면 복구될까? '협상'의 영역
① 많은 이들이 오해하는 것 중 하나가 "돈을 주면 해커가 양심적으로(?) 키를 줄 것이다"라는 믿음이다.
"어차피 해커들도 평판 관리해야 하니까 돈 받으면 키는 줄 거 아니에요?"
② 이게 틀린 말은 아니다. LockBit, BlackCat 같은 대형 RaaS 그룹들은 오히려 키를 꼬박꼬박 준다. "돈 내면 살려준다"는 신뢰가 없으면 다음 피해자가 협상 테이블에 앉지 않으니까. 이 바닥에서 반쯤 농담으로 "해커들 CS가 더 친절하다"는 말이 나오는 이유다. (농담 아닐수도..상식적으로 생각해보면 걔네들은 친절 할 수 밖에 없다)
③ 문제는 군소 그룹들이다. 조직화가 덜 된 카피캣들은 돈만 받고 튀거나, 키를 줬는데 복호화가 안 되거나, 복구했더니 며칠 뒤 다시 치고 들어오는 경우가 허다하다. 랜섬노트에 그룹 이름이 적혀있는 경우도 있지만, 그게 진짜인지 카피캣인지는 전문가 분석 없이는 구분하기 어렵다. 사고 터진 직후 패닉 상태에서 그걸 냉정하게 판단할 수 있는 회사가 얼마나 될까.
④ 그래서 실제 대기업이나 보안 사고 대응 시에는 해커와 협상하는 전문 '협상가'가 투입되기도 한다. 이건 이미 기술의 영역이 아니라 고도의 심리전이자 비즈니스 협상이다.
결국은 '사람'이 구멍이다.
① 아무리 몇억짜리 방화벽과 IPS를 깔아놔도, 임직원 한 명이 "결재 부탁드립니다"라는 피싱 메일에 첨부된 압축파일 한 번 클릭하면 끝이다.
② 보안 장비가 총이라면, 그걸 들고 있는 군인이 적군이 보낸 독사과를 먹어버리는 셈이다.
③ 그래서 보안 교육이 귀찮고 단순해 보여도, 실무자 입장에선 가장 소홀히 할 수 없는 '중요한 업무'가 된다.
그래서 요즘 뜨는 게 EDR이다.
그래서 최근 보안 시장에서 각광받고 있는 솔루션이 바로 전용 랜섬웨어 방지 솔루션과 EDR(Endpoint Detection & Response)이다.
① 기존 백신이나 방화벽은 '이미 알려진 나쁜 놈 리스트'를 기반으로 차단하는 방식이다. 문제는 랜섬웨어는 변종이 워낙 빠르게 쏟아지기 때문에, 리스트에 등록되기도 전에 이미 암호화가 끝나버린다.
② 반면 EDR은 'PC에서 지금 무슨 일이 벌어지고 있냐'를 실시간으로 들여다보는 방식이다. 파일을 대량으로 암호화하려는 이상한 프로세스가 탐지되면 즉시 차단하거나 격리해 버린다. 즉, 알려진 놈뿐만 아니라 '행동 자체가 수상한 놈'을 잡는 방식이다.
③ 그런데 여기서도 현실의 뒤통수가 하나 있다. EDR을 도입해 놓고 정작 알람을 모니터링하는 사람이 없거나, 알람이 너무 많이 울려서 그냥 꺼버리는 경우가 생각보다 많다. 장비가 아무리 좋아도 결국 운영하는 사람이 문제라는 건, 보안 업계에서 질리도록 반복되는 이야기다.
(이 부분은 나중에 EDR만 따로 한 편 쓸 예정이다. 할 말이 꽤 많다.)
영업인력들은 EDR만 깔면 만사형통인 것처럼 말하지만, 현실은?
힘들게 윗사람이나 재무팀 설득해서 들여놓고 알람 지옥에 빠져서 결국 '에이 시끄러워' 하고 꺼두는 곳이 태반이다.
장비는 잘못이 없다. 그걸 방치하는 우리가 문제지.
Google Gemini가 생성한 이미지요약하자면, 랜섬웨어 대응은 '어떤 끝판왕 보안 장비를 사느냐'의 문제가 아니라, '얼마나 꼼꼼하게 망을 분리하고(Segmentation), 오프라인 백업을 유지하며, 사용자 교육을 하느냐'라는 아주 기본적이고 지루한 싸움이다.
흔히 인터넷을 찾아보면 무슨 암호화 알고리즘이 어떻고 하는 기술적인 글들이 많지만, 사실 실무자에겐 그런 건 별로 안 중요하다. 내 서버가 살아나느냐, 내일 무사히 퇴근할 수 있느냐가 핵심이니까.
사족.
혹시라도 랜섬웨어에 걸렸다면, 그리고 진짜 어찌해야 할지 모르겠다면 일단 랜선부터 뽑고 아무것도 하지 않는 게 베스트다. 그리고 당장 보안팀 혹은 IT팀에 신고부터 하고 그 뒤에 걱정하자.
혼자서 어떻게든 해보겠다고 파일 확장자 바꾸고 복구 툴 돌리다가 데이터 영영 날려 먹고 오는 안타까운 영혼들을 너무 많이 봤거든..