에레버스 해커는 최초 서버 한 대당 10비트코인(약 3천300만원, 6.13자 1비트코인 330만원)을 요구했지만 5.4비트코인(약 1천800만원)으로 변경했다가 돈을 빨리 받기 위해 추가로 할인하여 3.6비트코인(약 1천200만원)으로 내린 상태다. 해커가 이메일로 요구한 최종 전체 금액은 550비트코인(약 18억원)이다. 추가 협상이 진행 중이며 현재 홈페이지 복구가 시급한 10곳의 기업은 해커와 개별협상에 나선 것으로 전해지고 있다. 사고 이후 인터넷나야나와 피해 중소기업 간 항의가 잇따르고 있고 향후 손해배상에 대한 대규모 법적 소송이 예상된다.
이번 공격의 특징은 6월 초에 PC와 서버를 대상으로 무차별적으로 공격했던 ‘워너크라이’와는 달리 보안이 취약한 웹호스팅 서비스업체를 대상으로 표적형 공격을 했다는 점이 다르고 기존에 윈도 운영체제 중심의 공격대상이 리눅스 서버로 확장됐다는 것이다. 랜섬웨어로부터 상대적으로 공격을 덜 받았던 리눅스 서버 운영자들도 비상이 걸렸다.한편 5월12일에 ‘워너크라이’가 전세계를 강타했었다. 랜섬웨어 공격 역사상 최대 규모였다. 윈도 운영체제의 SMB 원격코드의 취약점을 악용하여 다른 PC와 서버로 전파시키고, 네트워크에서 악성코드를 자가 증식시키는 ‘네트워크 웜’으로 감염시겼다. 이 해킹기술의 고도화로 PC나 서버가 인터넷에 연결되는 것만으로도 감염되기 때문에 급속한 확산이 가능했다.
2016년에 전세계적으로 랜섬웨어 해커에게 지급된 비트코인 총지급액이 10억 달러(약 1조1천억) 정도라고 추정하고 있다. 지난 2년간 국내 피해 상황을 보자. 한국랜섬웨어침해대응센터에 신고된 피해자를 기준으로 분석해 볼 때, 2015년도에는 약 5만3천명이 감염되어 1천90억원의 피해를 입혔고, 30억원 정도 해커에게 비트코인이 지급된 것으로 추정되었다.
2016년에는 13만명 감염, 3천억원 정도 피해가 발생했고, 13만명 피해자 중 최소 10%인 1만3천명이 100억원 이상의 비트코인을 지급한 것으로 추정되고 있다.
올해 랜섬웨어 감염자 수가 작년 대비 2.5배 가량 증가하고 있으나 이번 웹호스팅업체 공격과 같이 서버를 공격하는 사례가 늘어나고 있어 피해액은 작년 대비 최대 10배까지 급증할 것으로 예견된다.
2014년도 랜섬웨어가 본격적으로 활동한 이후로 전세계 보안회사들이 전전긍긍하고 있다. 랜섬웨어 해커그룹들이 기존 보안회사의 암호화 기술을 채용함과 동시에 방어기술을 철저하게 분석하고 무너뜨렸기 때문이다.
백신과 방화벽과 같은‘패턴등록 보안방식’은 동일한 패턴으로 공격하지 않는 것으로 무력화시켰고, 실행파일을 중심으로 검사하는 보안기술은 ‘DLL인젝션’ 방식으로 우회했다.
행위기반 혹은 상황인식 기술은 사람처럼 행동하는 유사공격으로 회피하였고 미끼방식 기술에는 미끼파일을 물지 않는 것으로 대응한다.
방어기술을 개선하면 해커는 신속하게 패치하고 고도화한다. 현재의 보안기술은 랜섬웨어 해커의 발 아래 있다. 많은 보안회사에서 자신의 랜섬웨어 방어기술이 가장 완벽하다고 광고하지만 실패 책임에 대한 ‘보상각서’를 요구하면 뒤로 물러선다. 새로운 공격방법에 의한 ‘첫 번째 희생자’가 발생하기 때문이다.
랜섬웨어를 근본적으로 해결하기 위해서는 첫 번째가 중요한 데이터를 사전에 안전하게 백업받아 놓는 것이다. 해커가 두려워하는 기술은 방어기술이 아니라 데이터 백업기술이다. 해커 수익의 원천인 암호화된 파일이 즉시 복원되고 백업저장소의 해킹이 불가능하기 때문이다.
2015년 3월부터 우리 센터에 접수된 랜섬웨어 피해 건수는 2015년 2천678건, 2016년 3천255건, 2017년 5월까지 2천61건 등 총 8천건이다.
이 피해자의 공통점은 백신은 설치했지만 백업은 해두지 않았다는 것이다. 백업방법 역시 ‘새로운 랜섬웨어 방어 백업방식’으로 업그레이드 해야만 이번 웹호스팅업체와 같은 피해가 재발하지 않을 것이다.
랜섬웨어 해커는 ‘병원의 의료데이터’에 눈독을 들여왔다. 의료데이터는 사람의 생명과 관계가 있어 다른 업종에 비해 데이터의 가치가 높다. 하지만 매년 병원의 투자순위에서 밀려 정보보안 환경이 매우 취약하다. 지금 병원의 의료데이터가 위험하다.
지금까지 중소병원과 대규모 병원에 랜섬웨어 침해사고가 수십 건 발생되어 많은 곤란과 어려움을 겪었고 향후 병원을 표적하여 공격하는 랜섬웨어가 급격히 증가할 것으로 예상된다. 빠르게 변화하는 공격에 대해 1~2년 전 보안기술은 작동불능이다. 특단의 조치가 필요하다.
병원마다 관리해야할 서버와 PC의 중요 데이터 목록을 확보하고 신속한 보호조치가 필요하다. 보유 서버와 PC에 대한 백업상황을 다시 세심하게 점검하여 사고 후 수십 배의 시간과 노력의 낭비를 사전에 막아야 한다.
한국인터넷진흥원은 12일자 긴급 공지에서 랜섬웨어에 감염되면 자료의 복구가 불가능하므로 백업체계의 구축 및 운영과 보안성 강화를 권장하고, 지속적으로 유포되는 변종 랜섬웨어의 감염을 예방하기 위해서는 최신 상태의 백신으로 유지하고 윈도우 운영체제, 인터넷 익스플로러, MS 오피스, 자바(JAVA), 플래시 플레이어 등의 최신 보안 패치 업데이트를 모두 적용해야 한다고 강조하고 있다.중요한 의료 데이터를 많이 보유하고 있지만 정보보안에 대해 자금, 인력, 정보가 부족한 중소병원에 대한 지원정책 수립과 조치가 시급하다. 병원을 표적하는 랜섬웨어 공격에 따른 위기를 기회로 삼아 다면적이고 종합적인 의료 데이터 보호 대책수립을 촉구한다.
