전체메뉴

랜섬웨어나 피싱 공격 등은 ‘코로나19’와 같은 특별한 상황을 절호의 기회로 삼는다. 그 중에서도 의료수요가 폭증하는 현상이나 긴급구호와 재난지원금 시즌, 재택근무의 일반화 현상 등과 같은 추세나 사건의 틈새를 노리는게 보통이다.

코로나19 치료와 예방, 확산 방지에 세계 각국이 매달리고 있는 요즘도 마찬가지다. 이미 치료 시스템이나 긴급재난지원 체제 등을 공격하는 사례가 국내외에서 빈발하고 있어 각별한 주의가 필요하다는 지적이다.

근착 외신에 따르면 미국의 경우 가상 치료 시스템이 공격을 받은 사례도 있다. 원격의료를 위한 환자 모니터링 기기에 접목된 IoT 장비의 취약성을 악용한 것이다. 해커는 이를 통해 해당 병원의 환자 DB에 접속, 랜섬웨어 공격을 퍼부었다.

이런 사례는 ‘코로나19’ 환자가 아직도 일일 수 천 명을 헤아리는 유럽 각국에서 특히 많은 것으로 보고되고 있다. 의료 IT장비의 경우 ‘설마’ 하는 생각에 사이버 보안 조치가 부실한 경우가 많은게 원인으로 꼽히고 있다. 흔히 의료 IT장비는 인터넷에서도 손쉽게 기본적인 비밀번호가 기록된 매뉴얼을 찾아볼 수 있을 정도라는게 보안 전문가들의 지적이다. 또 병동과 진료소는 일반인에게 공개된 상태인 경우가 많아서 더욱 그렇다는 얘기다.

특히 미국과 유럽 등지에선 이미 원격 의료가 활성화되고 이에 따른 가상 치료 시스템의 사용 빈도가 늘어나면서 더욱 공격에 취약하다는 우려다. 또 의료기관은 랜섬웨어 살포자에게 또 다른 ‘먹잇감’으로 안성맞춤이다.

만약 의료 네트워크가 마비되거나 기능이 저하된다면 이는 환자와 병원에 치명적이다. 그러므로 “환자 치료를 위해 24시간 의료 시스템이 가동되어야 하는 병원 입장에선 랜섬웨어로 마비된 시스템을 복구하려 들기보다는 그냥 공격자가 요구하는대로 ‘몸값’을 주고 만다”는 것이다. ‘인질극’에 다름 아니란 지적이다.

전문가들은 이런 의료 분야의 IoT장비에 대한 공격에 대처하기 위해선 일단 다양한 방어 수단을 고민해야 할 것이라고 강조한다. 그 중 대표적인 것이 네트워크 분할이다. 즉 민감한 인프라 데이터에 도달할 수 있는 IT 시스템이 있는 곳을 따로 분리해야 한다는 주장이다.

그래서 평소 취약한 운영 장비가 IT시스템과 가급적 연결되지 않도록 하는 일이 중요하다는 것이다. 물론 네트워크의 장비를 평소에도 철저하게 인지하고 감시, 관리하는 것도 필수적이다.

‘코로나19’로 인한 긴급재난지원금 수령을 이용한 스미싱이나 랜섬웨어도 기승을 부릴 가능성이 크다. IT업계에선 최근 정부가 다시 선별적 재난지원을 확정한 시점이어서 더욱 주의가 필요하다는 목소리도 나오고 있다.

실제로 지난 5월 1차 재난지원금 배포 당시에도 스미싱 문자가 도처에서 발견되었고, 이에 따른 피해도 발생한 것으로 알려졌다. 당시 떠돈 스미싱 문자는 ‘주소가 불분명하여 배달이 불가능하다’며 택배를 사칭했다.

무심코 문자에 첨부된 인터넷주소(이하 URL)를 클릭하면 공격자가 미리 제작해둔 가짜 ‘정부 긴급재난지원금 신청’ 사이트로 이동된다. 만약 사용자가 가짜 긴급재난지원금 신청 사이트에 자신의 개인정보를 입력한 후 인증번호 요청 버튼을 클릭하면, 입력된 개인정보는 고스란히 공격자에게 넘어가게 했다.

사이버 공격을 가장 주의하고 철저히 방어해야 할 사람들은 재택근무자들이다. 이는 대부분의 사이버 보안 전문가들이 강조하는 대목이기도 하다. 이 경우 해커들은 더욱 교묘해진다.

상대가 비교적 체계적인 IT시스템을 갖춘 기업체이기에 더욱 세련된 첨단 기술을 동원해서 공격한다. 예를 들어 해커는 MS 오피스 365를 타깃으로 삼아 POP, IMAP 및 기본 인증을 추적해낸다. 그리곤 비밀번호 스프레이 공격이나,

그것이 여의치 않으면 비밀번호 재사용 등의 편법으로 사용자 네트워크에 침입한다. 또 원격 데스크톱 프로토콜 (RDP)과 악성 링크 또는 첨부파일을 통한 피싱도 동원된다. 이 경우 피해자가 악성 SW(멀웨어)를 다운로드 하도록 유도하는 게 보통이다.

그래서 사이버 보안 전문가들은 “이를 막기 위해선 기본 인증이나 레거시 인증을 배제하고 새로운 첨단 인증 방식을 선택해야 한다”면서 “조건부 액세스 정책으로 오래되고 취약한 인증 방법을 차단할 필요도 있다”고 방어책을 제시한다.

전자메일에서 오작동 경보 장치, 즉 MFA를 사용하는 것도 좋은 방법이다. 반대로 사무실의 고정 IP 주소에서 로그인하는 모든 사람에겐 MFA 프롬프트가 표시되지 않도록 설정함으로써 원격으로 누군가가 진입할 수 없도록 하는 것도 전문가들이 권하는 방식이다.

흥미로운 점은 랜섬웨어 침해사고 중 76%가 근무시간 외에 일어났다는 사실이다. 앞서 사이버 보안 업체 파이어아이가 공개한 보고서에 따르면, 정규 근무시간이 끝난 주말이나 평일 오전 8시 이전, 오후 6시 이후에 공격이 실행된 것으로 나타났다. 이는 재택근무자나 기업체, 의료기관이나 공공기관 등을 타깃으로 하는 경우에 해당된다고 할 수 있다.

이 업체에 따르면 또 공격이 감지되고, 정작 랜섬웨어가 배포되기까지 걸린 시간은 0~299일 사이로 나타났다.

대체로 최초 감지부터 랜섬웨어 배포까지 최소 3일이 걸렸다는게 정설이다. “그래서 침해 사고를 초기에 탐지 및 차단하고 신속하게 조치한다면, 많은 조직이 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 피할 수 있다”는게 파이어아이의 설명이다. 즉 감지와 배포 사이의 시차를 활용해야 한다는 것이다.