랜섬웨어 시대의 사이버 복원력 가이드

 

랜섬웨어는 더 이상 특정 산업이나 특정 국가에 국한된 사건이 아니라, 네트워크에 연결된 거의 모든 조직이 상시로 맞닥뜨리는 보편적 위협으로 자리 잡았다.

 

 

랜섬웨어 피해 현황과 점점 심각해지는 이유

 

공격자는 피싱 메일과 악성 매크로 같은 전통적 기법부터, 취약한 원격 접속과 미패치 소프트웨어, 공급망 프로그램의 업데이트 채널, 노출된 API 키와 도난 계정 등 가능한 모든 진입 경로를 동원한다. 과거에는 파일을 암호화하고 복호화 키를 대가로 금전을 요구하는 단일한 갈취 방식이 일반적이었지만, 지금은 암호화에 더해 데이터 유출을 빌미로 한 공개 협박과 DDoS를 결합해 압박 수위를 높이는 이중·삼중 갈취 모델이 확산되었다.

 

침투 이후의 활동 속도도 과거와 비교할 수 없을 만큼 빨라졌다. 공격자는 관리자 권한을 탈취하자마자 로그를 삭제하거나 조작해 흔적을 지우고, 가장 먼저 백업 저장소와 스냅샷을 겨냥해 삭제·암호화·폐기를 시도한다. 이 때문에 기업은 사고 발생 사실을 인지했을 때 이미 복구 수단의 일부가 무력화된 상태를 마주하는 경우가 많다.

 

피해는 단순한 IT 비용을 넘어 전사적 손실로 이어진다. 서비스 중단은 매출과 계약 이행률을 떨어뜨리고, 고객과 파트너의 신뢰를 단기간에 훼손한다. 규제 대상 데이터가 외부에 유출되면 조사, 통지, 벌금, 집단 소송, 인증 취소 같은 파급 효과가 뒤따른다. 전 세계 피해액은 이미 수십조 원에 이르렀고, 해마다 약 30%씩 증가하는 흐름이 이어지고 있다. 우리나라 상황도 크게 다르지 않다. 실제로 사이버 공격을 당한 중소기업의 약 60%가 6개월 이내 폐업한다는 조사 결과가 있으며, 2020년부터 지금까지 상급병원, 종합병원, 의원 등을 포함해 약 74건의 랜섬웨어 공격이 일어난 것으로 파악되고 있다.

 

 

(출처: Cybersecurity Ventures)

 

무엇보다 랜섬웨어의 특성은 ‘반복성’에 있다. 한 차례 복구에 성공하더라도 침투 경로가 그대로 남아 있거나 휴면 상태의 악성 요소가 숨어 있으면 재감염 위험이 상존한다. 이러한 맥락에서 ‘백업만 있으면 된다’는 인식은 더 이상 유효하지 않다. 보안과 백업은 각자 따로 존재하는 기능이 아니라, 침해를 가정한 상태에서 탐지와 격리, 무결성 검증과 복구까지 한 흐름으로 이어지는 생존 전략의 구성 요소가 되어야 한다. 결국 조직이 스스로에게 던져야 할 질문은 ‘사고를 막을 수 있는가’가 아니라 ‘사고가 발생했을 때 얼마나 빨리, 얼마나 안전하게 사업을 정상화할 수 있는가’, 즉 사이버 복원력(Cyber Resilience)을 어떻게 확보할 수 있는가에 달려있다.

 

 

막을 수 없다면? 더 빨리 탐지하고 더 빠르게 복구

 

대응의 출발점은 전제의 전환이다. 침해를 완전히 차단하겠다는 목표는 중요하지만, 현실적으로 100% 방어는 불가능하다는 사실을 인정해야 한다. 따라서 전략의 중심은 빠른 탐지와 통제, 그리고 검증된 복구를 통한 업무 연속성 확보에 놓인다. 기술적으로는 탐지, 보호, 복구의 세 축이 긴밀하게 결합되어야 한다.

 

탐지 단계에서는 파일 암호화 속도의 비정상 급증, 대량 삭제와 무작위 바이트 패턴, 권한 상승과 인증 실패 급증, 백업 저장소 접근 패턴의 변화 같은 복합 신호를 조기에 잡아내야 한다. 이때 단순 시그니처 기반 탐지에만 의존하면 변종과 맞춤형 공격을 놓칠 수 있으므로, 행위 기반과 콘텐츠 기반의 신호를 결합하는 접근이 요구된다.

 

보호 단계에서 핵심은 백업과 스냅샷 자체를 공격으로부터 분리하고 불변(Immutable) 상태로 지키는 것이다. 운영 스토리지의 스냅샷은 읽기 전용·변경불가 속성을 기본값으로 설정하고, 보존 기간과 삭제 권한을 운영 계정과 분리된 정책으로 관리해야 한다.

 

오브젝트 스토리지에는 WORM(Write Once Read Many)을 적용해 한 번 기록된 데이터를 임의로 변경하거나 삭제할 수 없도록 하고, 규정 준수 목적의 보존 기간을 엄격하게 강제한다. 이러한 격리와 불변성은 공격자가 선백업 제거 전략을 사용하더라도 복구 수단의 최후 보루를 지킬 수 있다.

 

복구 단계에서는 무엇보다 ‘어디까지 오염이 진행되었고, 어디로 돌아가야 안전한가’를 신속하고 신뢰성 있게 판단하는 능력이 결정적이다. 단순히 가장 오래된 스냅샷으로 돌아가면 데이터 손실이 과도해지고, 너무 최근 시점을 선택하면 오염을 끌어올 위험이 증가한다. 따라서 오염 시점과 범위를 근거로 가장 가까운 클린 시점을 찾아내는 절차가 필요하다.

 

 

무엇보다도 AI 기반 탐지가 중요하다

 

명확한 피해 원인과 현황을 파악하고 신속히 복구하려면, 결론적으로 탐지의 선진화가 핵심이다. 최근 각광받고 있는 AI 기반 탐지는 기존 도구가 놓치기 쉬운 미세한 변화나 변종 공격의 징후를 포착하도록 설계되었다. 특히 사이버센스(CyberSense)와 같은 콘텐츠 지능형 방식은 파일 확장자나 암호화 비율 같은 표면적 단서를 넘어, 스냅샷의 메타데이터와 실제 콘텐츠를 함께 색인하고 통계적·행위적 특징을 결합해 이상 여부를 판단한다.

 

예컨대 동일 파일 군에서 단기간에 압축률·엔트로피가 비정상적으로 상승하거나, 파일 헤더의 규칙성이 붕괴하고, 소용량 조각 파일이 대량 생성되며, 삭제 후 즉시 재생성이 반복되는 패턴은 대표적 신호다. 여기에 사용자·프로세스·호스트 단위의 접근 패턴 변화까지 통합해 다차원 점수로 평가하고, 이 점수가 임계치를 넘으면 경보와 함께 오염 시작 지점과 영향 범위에 대한 추정을 제시한다. 이런 절차를 통해 탐지는 단순 경고를 넘어서 복구 의사결정에 필요한 근거를 동시에 제공하게 된다.

 

이 접근이 복구 단계에서 주는 가장 큰 가치는 ‘클린 스냅샷(Clean Snapshot)의 자동 식별’이다. 수많은 스냅샷 중에서 무엇을 선택해야 데이터 손실을 최소화하면서도 오염을 들여오지 않을 수 있는지, 사람이 수작업으로 판단하기는 현실적으로 어렵다.

 

콘텐츠 분석 기반의 엔진은 스냅샷 간 변화를 연속적으로 비교해 오염의 시작 지점과 이후 전파 양상을 시각화하고, 오염 직전 시점으로 되돌릴 것을 제안한다. 관리자는 직관과 추측이 아니라 데이터에 근거한 제안을 가지고 승인 결정을 내릴 수 있으며, 복구 후에는 동일 엔진으로 무결성 재검증을 수행해 재감염 위험을 추가로 낮춘다. 이처럼 탐지와 검증, 복구 의사결정이 한 흐름으로 연결될 때, 평균 탐지 시간과 복구 시간이 모두 단축되고, 불필요한 전체 롤백이나 과도한 데이터 손실을 피할 수 있다.

 

 

사이버 복원력의 완성은 ‘재해복구’

 

조금 더 나아가면 사이버 복원력은 랜섬웨어 위협에서 데이터를 복구하는 것만을 의미하지 않는다. 어떠한 상황에서도 시스템과 데이터를 복원할 수 있는 지속 가능한 복원 체계가 되어야 한다.

 

최근에는 배터리 화재, 침수, 갑작스러운 정전 등으로 인해 데이터센터의 가용성이 중단되는 사례가 빈번하게 발생하고 있다. 만약 랜섬웨어에 노출된 동시에 데이터센터에 화재가 발생한다면, 그 피해는 상상하기도 어렵다. 따라서 앞서 언급한 랜섬웨어 대응 체계는 주센터뿐 아니라 재해복구센터에도 동일하게 구축해야 한다. 즉, 데이터를 재해복구센터와 실시간으로 동기화하고, 백업센터에서도 클린 스냅샷을 동일하게 운영해야 한다. 이러한 구조를 통해서만 진정한 의미의 사이버 복원력을 완성할 수 있다.