지난 9일 랜섬웨어 해킹 공격으로 온라인 서점 예스24(YES24)의 서비스가 셧다운됐다. 사고 발생 10일째인 18일까지도 도서·음반·문구·전자책 등 상품 구매와 티켓 서비스, 주문 결제 등 일부 기능을 제외하고는 복구가 지지부진한 상황이다.

글로벌 사이버 보안 기업 서프샤크(Surfshark)의 CSO(최고전략책임자) 토마스 스타물리스(Tomas Stamulis)는 <메트로경제신문>과의 서면 인터뷰에서 "복구가 장기화된 것은 백업 파일이 상당 부분 훼손됐기 때문일 수 있다"고 분석했다. 그는 랜섬웨어 침입 경로 파악과 해커의 흔적 제거가 복구 이전에 선행돼야 한다고 강조했다. 다음은 일문일답.

-이번 예스24처럼 홈페이지와 앱이 완전히 다운되는 랜섬웨어 공격은 어떤 유형에 해당하나. 유사한 사례를 분석해본 경험이 있나. 공격 방식이나 감염 경로, 복구 시간이 오래 걸리는 기술적 특성에 대해 설명해달라.

"일반적으로 몸값을 요구하는 범죄 집단이 랜섬웨어 공격을 시도한다. 해커들은 중요한 파일들을 암호화해 시스템을 마비시킨다. 복구 과정에 필수적인 백업 파일들도 암호화되거나 완전히 삭제될 수 있다. 복구에 긴 시간이 소요되는 것을 보면, 백업 파일들이 심각하게 손상됐을 가능성이 높다.

랜섬웨어 복구 과정에 직접 참여한 경험으로 미뤄봤을 때 해커들은 대개 백도어를 남기거나, 원격 접속이 가능한 자체 계정을 생성한다. 따라서 가장 먼저 해야 할 일은 해커의 침투 경로를 파악하고, 백도어나 기타 무단 접근 경로가 있는지 확인하는 것이다.

해커가 백도어를 얼마나 오래전에 설치했는지 알 수 없기 때문에 백업 파일이 오염됐는지 여부를 확신할 수 없어 가상 머신 복구를 즉시 시작할 수 없는 경우가 많다.

복구에 걸리는 시간이 너무 길어지고 있다. 모든 시스템 파일과 데이터베이스가 암호화됐고, 백업 파일이 손상됐을 것으로 추정된다. 회사의 백업 파일이 한 곳에 저장돼 있었다면, 해커가 기업 운영을 마비시키기가 훨씬 쉬워진다.

랜섬웨어는 피싱 이메일 클릭과 같은 사회공학적 기법을 통해 감염될 수 있다. 또 전자상거래 플랫폼의 취약점을 통해 악성 파일이 업로드 되기도 한다. 이는 기업이 얼마나 다층적인 보안 체계를 구축했는지에 따라 달라진다."

-예스24는 '백업 서버는 무사했지만, 접속에 필요한 로그 파일이 암호화돼 복구가 지연됐다'고 밝혔다. 로그 파일이 암호화될 경우 실제 복구에 치명적인 영향을 줄 수 있나.

"데이터베이스(DB) 로그 파일은 복구 과정에 중대한 영향을 미친다. 로그 파일 없이는 DB를 정상적으로 불러올 수 없는 경우도 있다. DB의 용량이 수 테라바이트에 달해 해커가 전체를 다 암호화하지 못할 수도 있지만, 로그 파일이나 설정 파일만을 암호화해 DB 복구 자체를 불가능하게 만드는 건 가능하다."

-해킹 복구가 늦어지는 것을 막으려면 어떻게 해야 하나.

"핵심은 기업이 사고 원인과 경로를 얼마나 신속하게 파악하느냐에 달렸다. 랜섬웨어가 시스템에 침투한 것인지, 직원이 악성 파일을 클릭한 것인지 등 명확히 밝혀야 할 요소들이 많다. 밤새 백업 파일로 시스템을 복구했지만, 다음날 아침 해커들이 다시 암호화해 말짱 도루묵이 되는 사례도 있다. 흔히 저지르는 실수는 해킹 발생 경로를 파악하지 않은 채 무작정 복구 작업을 시작하는 것이다. 올바른 절차는 다음과 같다. '첫째, 사고 원인 규명. 둘째, 문제 요소 제거. 셋째, 해커의 접근 경로 완전 차단. 넷째, 운영 복구 시작.' 데이터 양이 매우 많으면 백업 파일을 내려받는 데만 하루가 걸릴 수도 있다. 데이터 전송 속도도 복구 시간에 큰 영향을 미친다는 것을 기억해야 한다."

-'데이터 파일이 암호화됐고, 로그가 없어 개인정보 유출이 없다'는 예스24 측 주장이 타당하다고 보나. 어떤 부분이 추가로 검증돼야 하는가.

"로그가 삭제됐을 가능성이 있어 보다 구체적인 설명이 필요하다. 회사는 어디에서 로그를 확인했으며, 어떤 기간에 걸쳐 기록을 확인했는지 밝혀야 한다. 방화벽을 통해 확인했는지, 대량의 데이터 전송 트래픽을 점검했는지도 중요하다. 문제는 한 달 전에 데이터가 복제돼 유출됐을 경우 회사가 한 달 이상 로그를 보관하지 않았다면 그 흔적을 더 이상 확인할 수 없다는 것이다.

개인정보를 복사하고 전송하는 방식은 다양하다. 소량씩 나눠 보내거나, 네트워크상에 올려두고 외부에서 다운로드받을 수도 있다. 핵심은 이번 예스24 서비스를 마비시킨 랜섬웨어가 언제부터 시스템이 있었느냐다. 만약 회사가 지속적으로 트래픽을 모니터링해왔고, 해당 로그가 없다면, 데이터가 유출되지 않았다는 합리적인 추론이 가능하다.

랜섬웨어의 본래 목적은 개인정보 유출이 아닌 데이터 암호화다. 하지만 대부분의 경우 암호화와 유출을 동시에 수행한다. 해커가 암호화된 시스템에서 수익을 얻기 어렵다고 판단하면 유출된 데이터를 이용해 금전적 이득을 노린다."

-랜섬웨어 공격으로 시스템이 완전히 마비된 상황에서의 단계적 복구 전략은 무엇인가.

"우선 해커가 왜 침입했는지, 어디로 들어왔는지, 무엇을 했는지를 파악해야 한다. 그 다음 서버나 네트워크에서 범죄자의 흔적을 모두 제거해야 한다. 시스템 데이터를 새로운 인프라에 복원하고, 기존 인프라는 사고 포렌식을 위해 격리된 상태로 유지해야 한다. 흔히 하는 실수는 백업 파일을 복원하면서 해킹 공격의 증거까지 지워버리는 것이다.

이러한 랜섬웨어 해킹 공격에 대비하기 위해서는 먼저 회사 데이터의 민감도를 평가해야 한다. 데이터 손실로 기업 운영이 중단될 수 있다면, 해당 데이터를 서로 다른 두 개의 장소에 분산해 저장하고, 정기적으로 백업을 수행해야 한다.

랜섬웨어 공격의 경우 해커가 백업 파일에 접근할 수 없도록 하는 것이 중요하다. 만약 회사가 서버와 백업 파일에 동일한 계정을 사용한다면, 해커는 시스템과 백업 파일 모두에 접근할 수 있게 되고, 결국 기업의 모든 활동이 완전히 마비되게 된다.

문서화, 내부 규정, 데이터 복구 절차에 대한 설명은 신속한 복구를 위해 필수적이다. 기업 내에서 누가 어떤 역할을 맡고 있는지 명확히 알고 있다면 복구 과정이 훨씬 수월해진다. 공격이 발생한 순간에는 자신의 이름조차 잊어버릴 만큼 혼란스러울 수 있기 때문에 사전에 준비된 해킹 대응 매뉴얼이 복구의 핵심이 된다.

복구를 담당하는 팀의 역량, 기업 내 복구 전담 인력 수도 중요하다. 복구 후에는 시스템이 정상적으로 작동하는지, 누락된 데이터는 없는지를 검증하는 절차가 진행돼야 한다."

-향후 유사한 사고를 방지하기 위해 대형 전자상거래 플랫폼이나 콘텐츠 서비스 기업이 반드시 갖춰야 할 사이버 보안 체계는 무엇인가.

"백업 시스템, 직원 대상 모의 해킹 훈련, 데이터 암호화, XDR(확장형 탐지·대응), EDR(엔드 포인트 탐지·대응), 서버와 직원 컴퓨터에 설치된 안티 바이러스 등이 갖춰져야 위협 발생시 즉각적으로 방어 체계가 작동할 수 있다."