2017년 5월 세계를 랜섬웨어 공포로 몰아넣은 '워너크라이' 사이버 공격이 발생했다. 세계 150여개국에서 최소 30만대 이상 컴퓨터 시스템이 피해를 입었다. 공격이 발생한 지 1년이 넘었지만 워너크라이는 잊을 만하면 한 번씩 피해 소식을 알린다. 워너크라이는 금전을 요구하는 랜섬웨어 형태였지만 의료기관과 산업시설 가동을 멈춘 파괴형 악성코드다. 제2의 워너크라이가 나타났을 때 우리는 대응할 수 있는 상태인가. 1년이 지난 지금도 워너크라이 최초 유포 경로는 밝혀지지 않았다.
◇랜섬웨어 사이버 공격은 계속
트렌드마이크로 통계에 따르면 지난해 발견된 신종 랜섬웨어 패밀리 수는 327개다. 2016년 247개에서 32%나 증가했다.
한국인터넷진흥원에 접수된 국내 랜섬웨어 피해 사례도 8829건(2015년~2018년 4월 누적)에 달한다. 워너크라이가 나타난 2017년 2분기에 3542건으로 폭증 후 꾸준히 발생했다.
특히 지난해 광범위한 공격이 여러 국가를 강타하면서 수십억 달러에 달하는 피해를 입혔다. 워너크라이 외에 페트야, 배드래빗 등이 연이어 기관과 기업을 공격했다. 초기 랜섬웨어는 특정 사무실에 국한된 피해였는데 워너크라이 시작으로 침해 규모가 대규모로 확산했다.
랜섬웨어는 돈을 버는 목적과 동시에 시스템을 파괴하는 속성을 지닌다. 사이버 범죄자를 비롯해 국가지원 해커까지 랜섬웨어 활용을 늘리는 원인이다. 지난해 10월 대만 은행은 해킹으로 6000만달러를 도난당한 것도 모자라 랜섬웨어 감염됐다. 사이버 공격자가 은행을 해킹한 후 추적과 복구를 어렵게 하려고 내부에 랜섬웨어를 감염 시켰다.
사이버 범죄자는 기존 개발한 랜섬웨어를 변형해 지속해 피해를 입힌다. 공격자는 꾸준한 실험으로 가장 수익성이 높은 공격 전략을 찾는 데 집중한다. 취약점 이용, 파일리스 감염, 사전 실행형, 머신러닝 회피 기술을 악용한다.
이 중 대규모 피해를 입히는 게 취약점이다. 워너크라이와 페트야 랜섬웨어가 '이터널블루'라 불리는 윈도 서버메시지블록(SMB) 취약점을 통해 감염됐다. 패치하지 않은 윈도 시스템을 자동으로 찾아내 감염시키는 형태다. 웜(Worm)과 유사하게 자신을 복제해 네트워크로 전파했다.
안랩은 올해 '사이버 범죄 서비스(Crime-as-a-Service)'를 예측했다. CaaS는 사이버 범죄 조직이 개발, 판매, 유통, 마케팅까지 세분화된 기업화를 추구하는 형태다. 랜섬웨어를 기업형으로 감염시키는 조직 증가가 예상된다.
이형택 이노티움 대표는 “랜섬웨어는 비용이 거의 들지 않고 해커에게 최고 수익률을 가져다 준다”면서 “향후 악성코드 사업 방정식은 '기-승-전-랜섬'으로 귀결될 것”이라고 말했다.
◇취약점은 폭발
워너크라이는 기존 랜섬웨어와 달리 운용체계(OS) 취약점을 이용해 전파가 빨랐다. 지난해 발견된 보안 취약점은 2만개에 육박했다. 플렉세라가 내놓은 '취약점 리뷰 2018'에 따르면 지난해 259개 기업 1856개 제품에서 1만9954개 보안 취약점이 발견됐다.
2016년 1만7445개보다 14% 증가했다. 각종 소프트웨어에서 발견되는 보안 취약점은 매년 늘어난다. 물론 취약점이 공개됨과 동시에 보안 패치도 나온다. 지난해 발견된 취약점 중 86%는 공개 당일에 업데이트할 수 있는 보안 패치가 나온 상태였다. 문제는 보안 패치가 신속히 이뤄지지 않는 점이다.
워너크라이 감염 도구로 쓰인 마이크로소프트 SMB 취약점 역시 2017년 3월 보안 패치가 배포됐다. 워너크라이는 두 달 후 전파됐는데 상당수 시스템이 보안 패치가 이뤄지지 않아 피해가 컸다. 대규모 시스템을 운영하는 기업이나 기관은 신속한 패치가 쉽지 않다. 당장 서비스 가용성을 유지해야 하기 때문이다. 패치를 하려면 시스템을 정지시킨 후 업데이트해야 한다. 패치 후 시스템 안전성을 유지해야 하는데 검증 작업에 3개월 이상 걸리는 곳도 많다.
데이브 호그 미국 국가안보국(NSA) 기술책임자는 “국가지원 해킹 그룹은 보안 취약점이 공개되면 하루 만에 공격도구를 개발한다”면서 “인력과 비용 투자를 많이 해야 하는 제로데이보다 알려진 취약점을 신속히 이용한다”고 설명했다.
◇제2의 워너크라이를 막자
제2의 워너크라이는 보안 기본만 지켜도 대응된다. 최근 사이버 공격은 단계를 거쳐 이뤄진다. 기업이 공격 단계별로 대응책을 마련하고 유지하면 피해를 최소화한다.
한국인터넷진흥원(KISA)은 랜섬웨어 대응 가이드라인을 내놨다. 랜섬웨어를 막는 첫 단계는 취약점 패치다. 모든 소프트웨어를 최신 버전으로 업데이트한다. 보안 업데이트가 제공되는 최신 버전 OS를 사용하고 매달 나오는 보안 업데이트를 제공한다.
윈도XP와 비스타 등 보안 지원이 중단된 OS는 최신 버전으로 교체한다. 직접 공격 수단인 인터넷 익스플로러(IE)가 아닌 엣지나 구글 크롬, 모질라 파이어폭스 등 브라우저를 사용한다. 사용하지 않는 불필요한 소프트웨어는 삭제한다.
출처가 불명확한 이메일과 웹사이트 주소(URL)는 실행하지 않는다. 이메일에 첨부된 MS 오피스 매크로 기능을 허용하지 않는다. 파일 공유사이트에서 다운로드하거나 실행할 때 주의한다.
랜섬웨어 피해 발생 시 최후 보루는 백업이다. 데이터를 백업 받아 두면 랜섬웨어에 걸려도 공격자에게 몸값을 주지 않고 복구한다. 업무와 기밀문서, 각종 이미지 등 주요 파일은 주기적으로 백업한다. 중요 파일은 외부 저장장치를 이용해 2차 백업한다. 보안 백업 SW로 쉽게 접근하기 어렵게 설정한다. 기업과 기관은 백업과 재해복구 계획을 세우고 비즈니스 연속성 절차를 유지하고 정기 점검해야 한다.
김도원 KISA 취약점분석팀장은 “랜섬웨어는 한 번 감염되면 해커가 요구하는 비용을 지불하더라도 복구가 보장되지 않기 때문에 사전 예방과 안전한 자료 백업 방법을 숙지하는 것이 중요하다”고 밝혔다.
김인순 보안 전문기자 insoon@etnews.com
