실제 피해 시 복구할 수 있는 전문성 부족
랜섬웨어 피해 조직 90% 데이터 유출 피해도 잆어
[데이터넷] 랜섬웨어 피해가 극심해지면서 기업·기관이 랜섬웨어 대응 조치를 마련하는데 많은 노력을 기울이고 있지만, 피해는 계속 발생하고 있다.
IDC는 “랜섬웨어 피해가 늘어나는 이유는 기술이 부족해서가 아니라 지식과 표준화가 부족해서”라며 “기업이 랜섬웨어 대응과 사이버 탄력성을 개선하기 위해 노력하고 있지만, 실제로 사고가 발생했을 때 복구할 수 있는 경험과 전문성이 부족하다”고 진단했다.
IDC는 킨드릴(Kyndryl) 의뢰로 미국, 캐나다, 프랑스, 독일, 영국, 호주·뉴질랜드, 인도, 일본 등 9개국가의 다양한 산업군 경영진 1000여명을 대상으로 랜섬웨어 피해 현황을 조사했으며, 그 결과를 분석한 ‘랜섬웨어 보고서: 조직은 랜섬웨어 공격으로부터 복구할 것으로 생각되는 것보다 준비가 덜 되어 있다’를 최근 공개했다.
이 보고서에서 IDC는 “응답한 조직의 83% 이상이 멀웨어 차단, 백업·복구 시스템을 갖추고 있다고 답했다. 대부분의 조직은 재해복구(DR) 기능을 자주 테스트하고, 모의훈련을 실시하며, 사이버 위험 평가를 수행하고 있다. 더불어 제로 트러스트 보안 모델을 채택하고 있다”며 “그럼에도 불구하고 피해를 막지 못하는 이유는 피해 시 완전하게 복구할 수 있는 지식과 재능이 부족하기 때문”이라고 진단했다.
정부기관, 100만달러 이상 지불하기도
IDC 조사에 따르면 응답자의 70%가 랜섬웨어 공격을 받았으며, 절반은 몸값을 지불했고, 랜섬웨어 지불 비용은 2만5000달러에서 50만달러였다. 100만달러 이상 지불했다는 답도 2.8%에 이르는데, 정부기관이 가장 많았다. 그런데 랜섬웨어 공격을 받았는지 여부를 답하지 않은 응답자가 전체의 14.1%를 차지해 실제로 공격 피해는 이보다 많을 것으로 보인다.
응답자의 28.2%만이 백업 시스템을 사용해 복구할 수 있었다고 답했으며, 몸값을 지불했음에도 데이터를 복구하지 못했다고 답한 사람은 4.4%였다.
랜섬웨어 공격을 당한 조직의 90.7%는 데이터 유출이 병행돼 데이터 암호화 외에도 추가 피해가 발생한 것으로 분석됐다. 공격자는 유출한 데이터를 공개한다고 협박하면서 피해를 더 크게 한다. 심지어 응답자 7.7%는 유출된 데이터가 얼마나 중요한 것인지 모른다고 답해 범죄자가 제시하는 몸값을 지불해야 한다는 압박을 더 심각하게 받고 있다.
랜섬웨어 피해 조직의 46%는 공격자가 백업을 삭제하거나 비활성화 하려고 시도했다고 답했으며, 그 중 절반은 성공했다고 답했다. 전체 응답자의 21%는 백업·복구 시스템을 파괴해 복구하지 못하도록 했다고 답했다.
랜섬웨어 공격으로 인한 시스템 다운타임도 심각하다. 응답자의 절반 이상이 일주일 이상 시스템이 중단됐다고 답했다. IDC의 다른 연구에서는 온프레미스 워크로드 비용이 시간당 평균 2800달러 비용으로 매년 206시간(약 8.5일)의 다운타임을 경험하고, 오프프레미스 워크로드는 3275달러의 비용으로 매년 약 161시간(약 6.7일)의 다운타임을 경험한다. 랜섬웨어 다운타임으로 인한 피해도 상당한 수준에 이른다는 설명이다.
세밀하게 조정된 사이버 탄력성 필요
이 조사에서는 백업·복구 시스템을 갖추고 있는 조직에서도 즉각적인 비즈니스 복원이 불가능했는데, 그 이유는 복구를 위한 전문지식을 충분히 갖추고 있지 못하기 때문이다. 응답자의 22%만이 사내 역량을 복구했다고 답했으며, 나머지는 외부 전문가나 공급업체를 통해 복구를 시도했다고 답했다.
IDC는 “대부분의 조직이 1년에 2번 이상 DR 테스트를 실행하고, 1년에 2번 이상 레드팀 훈련을 수행하며, 6개월 단위로 사이버 위험 평가를 시행하는 모범 사례를 따르고 있다. 그럼에도 불구하고 랜섬웨어 피해 시 복구에 실패하는 이유는 실제로 사고가 발생했을 때 복구를 위해 필요한 솔루션과 지침을 통합하지 못했기 때문”이라고 설명했다.
IDC는 “대부분의 조직은 DR을 이용한 복구 방법을 알고 있지만, 실제로는 이를 확신하지 못하고 있으며, 일반적인 DR과 사이버 복구에 대한 별도의 계획을 갖고 있지 않다. DR과 사이버 복구의 차이를 분명히 알아야 하며, 세밀하게 조정된 시스템으로 사이버 탄력성을 갖출 수 있는 전문성을 가져야 한다. 이를 해결하기 위해서는 신뢰할 수 있는 서비스 제공업체를 찾는 것이 필요하다”고 밝혔다.
