[넋두리] 10. 해커, 전 세계에 전쟁을 선포하다
코로나19를 타고 온 불청객 '랜섬DDoS'
2020년 한 해를 통틀어 가장 정보보안조직을 힘들게 만드는 2가지 이슈가 있다. 재택근무의 증가 추세를 노려 직원들의 가정용 PC 장악을 노리는 '랜섬웨어'와 전 세계 기업·기관을 대상으로 무차별적으로 이루어지고 있는 분산 서비스 공격(DDoS)이 그것이다.
그중 최근의 DDoS 공격이 가지는 두드러지는 특징이 있는데, 돈을 요구한다는 점이다. 웹서비스 접속을 방해하여 기업이나 기관에 피해를 주는 방식은 동일하지만 협박메일을 통해 돈(대체로 암호화폐)을 요구한다는 특징이 추가되어 '랜섬DDoS'라고 불린다. 컴퓨터의 자료들을 인질로 잡고 돈을 요구하는 악성코드 랜섬웨어와 DDoS 공격을 합성한 용어로, DoS 공격을 통한 서비스 방해를 무기로 돈을 요구한다.
랜섬DDoS 공격을 수행하는 해커의 공격 절차는 이렇다.
⓵ 기업 IT 담당자에게 메일로 돈(비트코인)을 요구하는 협박메일을 보낸다. 이때 사전 공격과 본공격 일시, 암호화폐 입금계좌를 알려 준다.
⓶ 예고한 사전 공격 시간에 맞춰 DDoS 공격을 감행한다. 사전 공격은 실제 본 공격이 있을 것임을 강조하기 위한 협박용 공격으로 보통 1시간 정도 공격을 수행한다. 대규모 트래픽 발생으로 공격 대상자의 인터넷 서비스 중지 등의 피해를 발생시켜 협박의 효과를 증대시킨다. 대체로 협박메일이 접수되는 시간에 맞추어 비슷한 시간대에 이루어지는 경우가 많아 공격 대상 기업·기관의 사전 대비 시간이 충분치 않은 경우가 대부분이다. 많은 경우 이 사전 공격으로 기업의 대외 서비스 중지 등의 피해가 발생한다.
⓷ 본공격 일시까지 암호화폐 입금이 되지 않은 경우 본공격을 수행한다. 특이한 점은 예고된 본공격이 이루어지지 않는 경우도 많다. 아마도 입금이 되지 않을 것으로 판단되면 빨리 포기하고 다음 공격 목표로 이동하는 것으로 생각된다.
⓸ 다음 목표 국가(또는 기업)로 이동한다. 이렇게 전 세계를 돌면서 반복하여 공격을 수행하므로, 일정기간이 지난 뒤 다시 재공격이 이루어질 가능성이 높다.
전 세계적으로 많은 기업·기관들이 해커에 의한 랜섬DDoS 공격 피해를 입고 있는 것으로 보고되고 있다. 우리나라도 금융회사, 온라인쇼핑몰 등 인터넷 기업, 대기업들이 해커들의 목표가 되어 협박메일과 랜섬DDoS 공격을 받고 있다.
다행인 것은 기업 보안조직과 IT조직의 발 빠르고 적극적인 대응으로 서비스 중지 피해 최소화에 성공하고 있다는 점이다. 아직까지 국내에서는 해커의 협박에 굴복해 암호화폐를 지불한 사례가 없는 것으로 확인되고 있다. 여러 정보보안 법규와 감독기관의 요구사항을 준수하느라 갖추게 된 다양한 보안솔루션들이 효과를 발휘했고, 오랫동안 해커와의 싸움을 통해 향상된 보안조직의 대응력이 큰 기여를 했다고 할 수 있다.
그런데 왜 최근 들어 돈을 노리는 랜섬DDoS 공격이 증가했을까.
우선, 코로나19로 인해 자택격리가 증가한 점을 들 수 있다. 전 세계적으로 많은 사람들이 코로나19로 자의 반 타의 반으로 자택격리에 들어갔다. 당연히 해커들도 격리 대상에 포함되었을 것이다. 해커들이 격리된 긴 시간 동안 해킹이나 기업들을 대상으로 한 랜섬DDoS 공격에 집중했을 것으로 예상할 수 있다.
기업의 온라인 서비스 집중화 현상도 이유 중에 하나다. 코로나19로 사람들이 자택에 머무는 시간이 많아지면서 많은 기업들이 오프라인 사업의 비중을 줄이고 온라인 사업개발에 집중하게 됐다. 이는 해커들이 공격 가능한 웹서비스의 증가로 이어져 공격이 가능한 공격표면의 증가로 이어졌다. 기업의 온라인서비스 비중이 높아지게 되면 DDoS 공격 효과도 비례해 높아지게 된다.
인터넷 사용 증가도 또 다른 요인이다. 재택근무·격리로 사람들이 자택 PC를 사용하는 시간이 증가했고, 자연스럽게 악성코드에 노출돼 감염되는 경우도 늘어나게 된다. 이러한 상황은 해커들이 공격에 이용하는 '봇넷'의 증가로 이어진다.
해커가 배포한 악성코드에 감염되면, 감염된 PC는 해커의 공격에 악용되게 된다. 보안업계에서는 이렇게 확보된 PC를 통칭해 '봇넷'이라고 부른다. 뛰어난 해커일수록 많은 수의 봇넷을 확보한 것을 자랑하며, 봇넷은 주로 해커가 DDoS 공격을 위한 트래픽을 발생하는데 이용된다.
해외의 경우 해커들의 공격에 굴복해 암호화폐를 지불한 기업들도 많다. 미국의 경우 해커에게 지불되는 암호화폐를 막기 위해 정부 차원에서 해커에게 지불하지 못하도록 금지하는 규정까지 발표했을 정도이다.
코로나19 불똥이 예상치 못한 방향으로 진행되면서 힘든 상황을 타개하기 위해 필사적인 기업들을 더 힘들게 하고 있다. 현재까지는 기업들이 대비해 놓았던 여러 보안 대비책들이 효과를 발휘해 해커의 공격을 잘 막아내고 있는 것으로 보여 안심이다.
하지만 기약 없는 코로나19 종식처럼 해커들의 랜섬DDoS 공격도 기한이 없어 보안담당자들을 힘들게 한다. 코로나19가 지나도 랜섬DDoS 공격은 계속될지 모른다. 부디 지치지 말고 힘든 시기를 잘 헤쳐나가기를 바라며 격려와 응원을 보낸다.
