2024-06-16 17:10 (일)
[보안기고] 랜섬웨어에 대한 문제점과 해결방안
상태바
[보안기고] 랜섬웨어에 대한 문제점과 해결방안
  • 길민권 기자
  • 승인 2024.03.04 18:30
이 기사를 공유합니다

최근 몇 년간 랜섬웨어 공격이 급격히 증가하고 있다. 보안 연구 기관에 따르면 전 세계적으로 11초마다 공격이 발생하고 있다고 했다. 국내에서도 북한의 해킹 시도를 통해 공공기관과 중요 인프라가 목표가 되고 있다. 특히 공공기관 해킹의 경우 80%는 북한의 소행이며 하루 100만 번이 넘게 해킹 시도가 이루어지고 있다

랜섬웨어는 공공기관, 제조업, 의료, 금융, 건설, IT 분야를 막론하고 전분야에 걸쳐 피해 사례가 지속적으로 증가하고 있다.

◇백업을 해도 소용없는 이유

재해복구 콘퍼런스나 랜섬웨어 대응에 관한 글로벌 리포트를 읽어보아도 결국 백업에 대한 중요성만 강조하고 있다. 백업 솔루션 컨설팅을 하는 업체를 통해서 인터뷰를 해보면 백업 서버까지 해킹당하면 자기네들도 어쩔 수 없다는 식이다.

랜섬웨어 공격자들은 가장 먼저 백업 데이터를 삭제하거나 암호화 시킨다. 때문에 백업에만 의지할 수는 없다. 랜섬웨어 공격자들의 90% 이상이 백업 데이터를 공격했고, 대부분 기업 서버에서 수집한 관리자 계정의 정보를 이용해 백업 서버에 침투한 후 백업 데이터를 공격한다. 백업 서버 또한 네트워크상에 연결돼 있기 때문이다.

최근 IBM에서 랜섬웨어에 감염된 데이터들을 실시간으로 탐지하고 정상 데이터로 판명이 난 데이터들을 논리적으로 완전하게 분리된 백업 서버에 백업을 하는 방식으로 랜섬웨어 대응 솔루션이 나왔다. 그러나 이런 방식은 랜섬웨어 대응을 위한 하드웨어 장비 비용이 급격하게 증가한다. 또한 수많은 데이터들 중에서 랜섬웨어에 감염된 데이터를 하나라도 놓쳐 백업 서버에 침투하게 되면 논리적으로 분리되더라도 문제가 생긴다. 기존의 개념과 방식에서 완전하게 탈피해야 한다.

최근 정부기관에서도 많은 해킹 사례들이 있고 재해복구가 늦어져서 더 큰 피해가 생기는 이유 또한 결국 비용 문제 때문이다. 데이터 생성량과 저장은 기하급수로 늘어나기 때문에 필요한 인프라를 구축하기 위한 비용 또한 비례해서 급격하게 늘어나기 때문이다. 뒷부분에서 차차 얘기하겠지만 Web 3.0 데이터 스토리지 기업인 KONEKSI 시의 솔루션으로 모두 해결이 가능하다.

◇이메일로 인한 랜섬웨어 해킹

이력서로 위장한 피싱메일을 유표하는 해커조직이 있다. 전 세계적으로 유명한 락비트는 랜섬웨어도 패키지로 판매하고 있다. 최근 재밌는 사례를 보면 한 대학교에서 대학생이 담당 교수에게 과제물인 것처럼 위장한 랜섬웨어를 보내는 해프닝도 발생했다.

견적서나 포트폴리오, 지원서와 같은 문서들을 수시로 이메일로 주고받는 사용자 입장에서 아무 없이 실행 또는 다운로드를 하게 될 때 감염이 된다. 최근엔 보안업체조차도 이력서로 위장한 피싱메일에 랜섬웨어 해킹에 당한 사례가 있다.

단순히 사용자에게 보안 교육 만으로 랜섬웨어 피해를 완전히 막겠다는 것은 축구게임에서 수비수에게 골이 안 먹히게 수비를 하라는 것과 같다. 애초에 랜섬웨어에 뚫려도 완벽하게 대응이 가능한가에 집중해야 한다.

◇Web 3.0 데이터 스토리지 기업인 KONEKSI의 생각

결국 구조적인 문제이다. 기존의 개념을 싹 다 뒤집어 엎어야 한다고 생각한다. 아무리 보안에 대한 교육을 잘하고 관리를 잘하더라도 공격에 대한 모수가 늘어나면 언젠간 뚫리게 된다.

쉽게 축구와 비유해 슈팅을 랜섬웨어 공격, 골이 먹히면 해킹에 당한 것으로 가정해 보자. 아무리 훌륭한 세계적인 골키퍼가 있더라도 골이 먹히는 확률을 줄여 줄 뿐 결국엔 골이 먹히게 된다. 지금의 Web 2.0의 방식은 골을 더 잘 막는 골키퍼를 고용하는 것과 같다.

코넥시의 Web 3.0 방식은 골이 먹히더라도 오프사이드를 만들어 골을 무효화 시키는 개념이다. 랜섬웨어 감염 자체를 완전하게 ZERO를 만들 순 없다. 랜섬웨어에 당하더라도 대응할 수 있는 솔루션이 필요하다.

코넥시는 IPFS 분산 파일 저장 시스템의 원천기술을 통하여 랜섬웨어에 대한 완벽한 대응이 가능하다. IPFS는 Web 2.0인 HTTP 프로토콜에서 진화된 Web 3.0인 차세대 IPFS 프로토콜이다.

IPFS는 데이터를 업로드하면 실시간으로 암호화가 되어 여러 개 서버에 분산 저장이 된다. 암호화 방식은 SHA-256 알고리즘을 사용하는데 쉽게 말해 데이터를 B~KB 단위로 무작위로 쪼개서 저장한다. 때문에 서버에 해커들이 침투하더라도 데이터를 읽을 수 없다. 이런 암호화 방식은 블록체인 방식에서 사용하는 방식이다.

관리자 계정에 대한 탈취 문제 또한 코넥시 PIN_K 기능을 통해서 해결할 수 있는데, 전용 게이트웨이를 지원하고 특정 IP, URL, 토큰을 가진 사람만 접속이 가능하게 한다거나, 관리자 계정 또한 암호화하여 관리할 수 있다.

위와 같은 방식으로 데이터가 쪼개지면 데이터의 길이와 용량에 상관없이 맵핑되어 같은 길이의 해시값으로 변환되어 CID라고 하는 콘텐츠 아이디가 생성된다. 만약 A라는 문서에 ‘마침표’ 하나만 찍어도 모든 CID가 불규칙적으로 바뀌기 때문에 규칙성을 예측하여 암호화된 파일을 복호화를 시킬 수가 없다.

만약 여기서 랜섬웨어 공격을 통해 기존의 데이터들이 감염이 되면, CID 자체가 바뀌게 된다. 예를 들어 A, B, C, D 4개의 서버에 분산 저장을 한 상태에서 D 서버가 감염이 되면 D 서버에 저장된 데이터의 CID 값이 바뀌게 된다. 나머지 A, B, C 서버의 CID는 동일하지만 D 서버의 CID만 바뀌게 되어 데이터가 위변조 되거나 랜섬웨어에 걸렸다는 것을 파악하고, 랜섬웨어에 감염된 데이터들을 삭제한 후 나머지 A, B, C 서버에 저장된 정상 데이터를 동기화를 통해 D 서버의 데이터를 복구하는 방식이다.

만약 코넥시의 서버 또한 뚫리게 되려면 전국에 물리적으로 떨어져 있는 IDC가 동일한 시점에 해킹이 당해야 하는데 실질적으로 불가능한 일이다.

기존의 방식에선 여러 가지 소프트웨어나 하드웨어 장비를 통해 보안을 강화시키는 방법이 있지만 코넥 시의 IPFS 원천기술인 PIN_K는 소프트웨어로 해결을 하기 때문에 기존의 하드웨어를 통한 보안장치들을 사용하지 않아서 비용적으로도 저렴하다. 기존의 AWS나 구글, 애저와 비교했을 때 50~70% 이상 저렴하다.

또한 기존의 클라우드 시장의 대부분을 점유하고 있는 기존 업체들은 요금제 또한 복잡하게 꼬아두고 우리가 생각하는 것보다 많은 마진을 남기고 있다. 기존의 Web 2.0 데이터 저장 방식에서 보안을 강화하기 위해 암호화를 한다거나 미러링을 한다면 코넥시 PIN_K 서비스에 비해 가격이 5배 이상까지도 비싸진다.

특히 미러링을 한다면 트래픽 비용이 더 비싸지는데, 미러링을 코넥시 PIN_K와 동일하게 4개를 한다면 미러링 비용도 늘어나지만 트래픽 비용도 그만큼 증가한다. 코넥시 PIN_K는 분산 저장이기 때문에 4개 서버에 분산 저장을 하더라도 트래픽 비용은 1개 서버에 분산 저장을 하던 4개 서버에 분산 저장을 하던 트래픽 비용은 같다. 따라서 미러링, 백업 서버 증설 비용, 트래픽 비용을 모두 절감할 수 있다

결론은 축구게임에서 상대편 선수가 슈팅 자체를 못하게 하는 방법은 존재하지 않는다. 시간이 갈수록 슈팅의 모수가 늘어나고 방법 또한 진화할 것인데, 이것을 골키퍼의 훈련으로 모든 골을 막아낸다는 것은 불가능하다. 0.1% 확률로 골이 먹히더라도 오프사이드를 만들어 무효화 시키는 개념이 필요하다.

그러나 아직도 인증 제도만 따라가기 급급한 통념들도 문제이다. 실질적으로 인증이 있더라도 형식적인 경우가 많고 실용적이지 못한 경우가 태반이다. 이젠 Web 3.0에 대한 이해를 하고 받아들여야 한다. 기존의 구조적인 문제를 인식하고 기존의 틀에서 벗어나 구조 변화에 대한 오픈 마인드가 필요하다.

[글. 정재봉 코넥시 웹3.0사업부 수석]


■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)

△일시: 2024년 3월 12일(화)

△장소: 서울 양재동 더케이호텔서울 2층 가야금홀

△주최: 데일리시큐

△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)

△전시회: 국내외 최신 정보보안 솔루션 소개

△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

△참관객 사전등록: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★