Breaking
국제 범죄(International Conflict)
미디어 프리마, 랜섬웨어 공격 받아 "사내 e메일 시스템 장악하고 댓가 요구해"
2019-05-28 18:45:00
유수연
▲말레이시아의 미디어 프리마가 컴퓨터 시스템을 통해 랜섬웨어 공격을 당했다(출처=플리커)

[라이헨바흐=유수연 기자] 익명의 해커가 말레이시아 최대의 미디어 기업인 미디어 프리마(Media Prima Berhad)의 컴퓨터 시스템에 악의적인 소프트웨어를 심은 정황이 밝혀졌다. 

말레이시아에 본사를 둔 이 회사는 지난 해 11월 13일 언론 발표를 통해 랜섬웨어 공격으로 인해 고통을 겪었다고 전했다. 실제 사건은 보도가 나오기 4일 전에 발생한 것이었다.

미디어 프리마의 대처

해커들은 미디어 프리마의 자료를 암호화하고 이들에게 1,000비트코인의 몸값을 요구했다. 1,000비트코인은 645만 달러(약 72억 2,500만 원)에 달한다. 그러나 미디어 프리마는 해커들의 요구에 따를 의사가 없다고 전했다. 이들은 랜섬웨어의 공격을 받은 시스템이 오직 이메일 시스템 뿐이었으며, 랜섬웨어 공격이 발생하자마자 이메일 시스템을 다른 시스템으로 옮겼다고 설명했다.

또 다른 미디어 회사인 더스타는 성명서를 요구하기 위해 미디어 프리마의 전무 이사인 다툭 카말 칼리드에게 서한을 보냈으나 그는 아무런 의견도 표명하지 않았다. 하지만 그는 더스타에게 자사의 커뮤니케이션 부서와 연락하라고 전했다.

미디어 프리마에 대한 랜섬웨어 공격이 어떤 형태로운 재정적 손실이나 직원의 개인 데이터를 포함한 모든 데이터를 침해한 흔적이 있는지 여부는 아직 불분명하다.

만약 해커들이 미디어 프리마의 전체 이메일 시스템을 암호화하고 아주 오랜 시간 동안 시스템을 장악하고 있었다면, 그리고 회사가 계속해서 몸값 지불을 거부했다면 영향을 받은 서버는 해커들이 암호화를 풀 때까지 접근 불가능한 상태로 남아 있었을 것이다. 미디어 프리마의 대응 방식을 고려해본다면 이 회사는 문제의 심각성을 무시하고 소위 '땜빵' 형식의 반응을 보였다. 이번에는 운이 좋았으나 문제가 심각했다면 이 회사는 손실된 이메일 서버에 오랫동안 액세스하지 못했을 수도 있다.

공격의 심각성이 간과되다

랜섬웨어 공격은 늘 미디어 프리마의 경우와 비슷하다. 공격자는 우선 대상 시스템에 침투할 방법을 찾아내고 해커는 전체 시스템을 암호화해 피해자가 중요한 작업을 수행하지 못하게 만들 수 있다. 그런 다음 잠긴 시스템을 풀어주는 대가로 몸값을 요구한다.

개인 또는 회사가 랜섬웨어 공격을 받으면 가장 큰 손실은 일반적으로 비즈니스 관련 파일, 개인용 파일 등 컴퓨터에 저장된 데이터에 접근할 수 없어지는 것이다. 랜섬웨어 공격은 데이터 유출로 끝나는 것이 아니다. 피해자가 자신의 중요한 파일에 접근할 수 없게 되는 것도 큰 문제다. 일부 피해자는 울며 겨자 먹기로 몸값을 지불하기도 한다.

그래서 미디어 프리마는 랜섬웨어 공격을 당해 암호화된 이메일을 복구하려고 시도하는 대신 이메일 시스템을 지스위트(GSuite), 즉 구글(Google)의 이메일 시스템으로 전환했다. 그렇다고 해서 미디어 프리마가 당한 해킹 공격이 사소한 일인 것은 아니다. 이것은 개인이나 기업에 큰 피해를 입힐 수 있는 사건이었다.

대부분의 경우 랜섬웨어는 타이머를 갖고 있다. 즉 이것은 시한 폭탄과 같아서, 일정 시간 동안 몸값이 지불되지 않으면 암호화돼 있던 파일들이 영구적으로 사라진다. 피해자로서는 제한된 시간 동안 결정을 내려야 한다는 뜻이다. 다만 타이머는 공격자가 랜섬웨어에 타이머를 넣은 경우에만 적용된다.

보안 전문가들은 미디어 프리마가 이번 공격은 무사히 넘겼다고 할지라도 IT 보안 시스템을 더 철저하게 고려해야 하며 이것은 하이엔드 소프트웨어 및 하드웨어를 넘어서는 것이라고 지적했다.

한 사이버 보안 전문가는 "조직의 전자 메일 시스템을 보호하기 위한 사이버 위생 요소는 암호, 액세스, 방화벽, 바이러스 백신, 스팸 방지, 보안 정책 및 서버 업데이트를 중심으로 이루어진다. 보안을 실행할 때 고려해야 할 영역은 상당히 많다"고 말했다.

미디어 프리마와 같은 비즈니스 통신 회사는 업무상 전자 메일 시스템에 주로 의존한다. 따라서 이런 보안 조치가 부족하면 데이터가 손상을 입을 가능성이 높다.

보안 전문가들은 "미디어 프리마같은 회사가 이런 사건을 겪은 것은 당황스러운 일이지만 드문 일은 아니다. 다른 기관들은 대중의 관심을 피할 수 있었다"고 말했다.

미디어 프리마와 같은 사건을 겪는다면

국제 ICT 말레이시아 기구인 말레이시아정보통신산업협회(PIKOM)은 미디어 프리마와 같은 회사들이 랜섬웨어의 공격으로부터 회사의 시스템을 보호할 방법에 대해 조언했다.

기업들은 우선 서버를 온라인 혹은 오프라인에 있는 보안 데이터 베이스에 백업해야 한다. 그래야 보안 위협이 발생하더라도 데이터를 계속해서 보호할 수 있다.

사이버 보안 부서가 없는 회사의 경우 서버 로그, IPS(침입 방지 시스템), APT(고급 지속성 위협) 및 방화벽과 같은 주요 어플라이언스를 정기적으로 모니터링해 시스템에서 의심스러운 활동을 탐지할 수 있도록 해야 한다.

▲해커는 미디어 프리마 그룹에 1,000비트코인을 요구했다(출처=픽사베이)
[라이헨바흐=유수연 기자]