May 28,2017

랜섬웨어의 위협, 끝나지 않았다

워너크라이 같은 신종 랜섬웨어 등장

FacebookTwitter

지난 12일 랜섬웨어 (Ransomware) 일종인 ‘워너크라이 (WannaCry)’ 감염 때문에 전 세계가 큰 피해를 겪었다. 피해 규모는 무려 150개국에서 최소 30만여 대의 기기가 감염된 것으로 추정하고 있다.

랜섬웨어는 영어로 인질을 의미하는 ‘랜섬 (Ransom)’과 ‘소프트웨어 (Software)’의 합성어이다. 시스템을 잠그거나 데이터를 암호화해서, 피해자가 사용할 수 없도록 하는 악성 공격이다. 피해자가 이를 해제하기를 원한다면, 해커에게 대가를 지급해야 한다. 지급방식은 가상화폐인 ‘비트코인’을 요구하는 경우가 많다. 이는 비트코인 익명성을 보장해서 해커 추적을 숨기기에 안성맞춤이기 때문이다.

마찬가지로 워너크라이도 랜섬웨어 일종으로, 파일을 암호화해서 피해자에게 비트코인 대가를 요구한다. 감염 후 3일 내로 300달러 치의 비트코인 지급을 요구하고, 거절하면  7일 안에 600달러 치의 비트코인을 요구한다. 7일을 초과하면 파일을 복호화할 수 있는 방법은 영원히 사라진다.  랜섬웨어 걸린 피해자의 심정을 비꼬아서 워너크라이, 즉 ‘울기를 원하는’이라는 뜻의 명칭을 붙였다.

워너크라이에 감염된 국가 분포도.  ⓒ 위키피디아

워너크라이에 감염된 국가 분포도. ⓒ 위키피디아

워너크라이는 ‘윈도우 운영체제 (Window OS)’의 취약점 (exploit)를 노린 공격방식이다. 윈도우 운영체계에는 ‘서버 메시지 블록 (Server Message Block)’이라는 프로토콜이 있는데, 이곳의 취약점을 노려서 공격한 것이다. 확산방법은 ‘웜 (Worm)’의 방식으로 진행됐다. 그래서 감염기기와 연결된 기기 중 취약점이 있는 기기들을 대상으로, 인터넷 연결만 돼 있으면 추가 감염시킬 수 있다.

참고로 마이크로소프트는 워너크라이 공격이 발생하기 한참 전에, 이러한 취약점을 이미 파악하고 3월 14일 업데이트 패치를 배포했다. 그런데도 워너크라이 피해 대상이 많을 수밖에 없었던 이유는, 윈도우 XP, 비스타와 같은 구버전은 업데이트 대상에서 제외됐고 사용자들이 자동 업데이트 기능을 꺼둔 경우가 많았기 때문이다.

가장 많이 피해를 본 국가는 중국과 러시아이다. 중국의 경우 지난 16일 기준으로 3만여 대의 컴퓨터가 감염된 것으로 알려졌다. 러시아는 감염기기는 1,000여 대로, 중국과 비교하면 적은 감염수이다. 그러나 은행과 통신사, 경찰, 병원, 철도업체 등의 업무가 일시적으로 마비돼, 가장 큰 피해를 보았다.

반면 한국의 경우 다른 국가와 비교했을 때 큰 피해를 보지는 않았다. 피해 규모는 16일 기준으로 워너크라이 의심건수 13건이다. 이처럼 피해 규모가 적었던 이유는, 정부의 빠른 대응 덕분이었다. 워너크라이 발생 바로 다음 날인 13일, 미래창조과학부와 한국인터넷진흥원(KISA)은 워너크라이 예방을 위한 ‘랜섬웨어 대국민 행동 요령’을 공개했다.

랜섬웨어 예방 대국민 행동요령에는 감염대상과 감염 예방 절차를 안내하고 있다. 감염 예방 방법에 따르면, 네트워크를 완전히 차단한 상태에서 컴퓨터를 켜고 ‘윈도우 보안설정’에서 방화벽 설정해 감염경로를 차단해야 한다. 이후 최신 윈도우 운영체제로 업데이트해, 워너크라이에 공격대상이 되는 윈도우 취약점을 보완해야 한다.

정부의 빠른 대응 덕분에 워너크라이의 감염 국내 확산은 막을 수 있었다. 그렇다고 안심할 수는 없다. 워너크라이는 랜섬웨어 일부일 뿐, 언제든지 해커가 다른 형태의 랜섬웨어 공격을 감행할 수 있기 때문이다.

비트코인 대가를 요구하는 워너크라이 화면. ⓒ 위키미디어

비트코인 대가를 요구하는 워너크라이 화면. ⓒ 위키미디어

점점 더 다양해지는 랜섬웨어 유형

시만텍은 ‘2017년 10대 보안 전망’ 중 랜섬웨어 보안 위협이 클 것으로 전망했다. 이 외에 포티넷과 같은 여러 보안 회사들은, 랜섬웨어가 앞으로 큰 보안 위협이 되리라고 전망하고 있다.

랜섬웨어가 보안에서 가장 큰 위협이 되리라고 전망하는 이유는, 해커의 동기가 명확하기 때문이다. 해커들의 사이버 공격 목적은 금전적인 이득이다. 다시 말해 해킹으로 금전 이득을 얻는 것이 목적이다.

랜섬웨어는 이러한 동기가 확실하다. 기존에 정보 유출과 같은 사건들은 금전적인 동기가 명확하지 않다. 정보유출 해서 정보를 팔 수 있지만, 랜섬웨어에 비해 금전이득이 크지 않다.

랜섬웨어는 파일을 잠근 후 비트코인으로 금전 가치를 직접 요구하기 때문에, 금전적 이득을 가장 많이 얻을 수 있는 수단이 된다. 더욱이 계좌 추적이 어려운 비트코인으로 금액을 요구하기 때문에, 랜섬웨어는 본인의 범죄를 숨길 수 있는 해킹 중에서 가장 좋은 돈벌이 수단 중 하나이다.

이러한 이유로 랜섬웨어는 다양한 형태로 진화하고 있다. 워너크라이가 가장 대표적인 예이다. 기존 랜섬웨어는 메일과 홈페이지로 유포돼 피해를 줬다. 그래서 지스케일러 같은 여러 보안회사는 랜섬웨어 예방책으로 메일과 홈페이지 보안에 초점을 두었다.

그러나 이번 워너크라이는 인터넷 연결만 되어도 감염된다. 홈페이지 접속 및 메일 열람을 하지 않았는데도, 자동으로 감염되는 셈이다. 또한 이는 감염을 쉽게 확산하게 한다. 그래서 무려 30만여 대가 넘는 기기들이 감염된 것이다.

또 다른 형태로 스마트폰 전용 랜섬웨어가 있다. 기존에는 컴퓨터만 감염시켰다면, 스마트폰 대상으로 감염시키는 랜섬웨어도 등장하고 있다. 그리고 파일만 암호화시킨 랜섬웨어 외에도 화면을 잠그거나, 시스템 자체에 대한 접근을 막는 유형의 신종 랜섬웨어 들이 많이 생겨나고 있다.

이처럼 랜섬웨어 변종들은 앞으로 계속 생겨날 것으로 보인다. 그리고 랜섬웨어로부터 직접 피해를 보는 기업과 개인이 많아질 것으로 전망된다.

사물인터넷 확산으로 인한 랜섬웨어 위협 증가

랜섬웨어 공격이 진화하는 것도 문제지만, 사물인터넷 확산과 같은 외부 요인도 랜섬웨어 위협을 증가시키고 있다.

사물인터넷 센서 기반 기술로, 하드웨어 자체가 저사양이기 때문에 수준 높은 보안솔루션을 탑재할 수 없다. 그래서 사물인터넷은 보안에 상당히 취약하다. 이러한 취약점은, 작년 10월 미국에서 사물인터넷 기기 10만대를 감염시켜서 대규모 디도스 공격을 감행한 사례로 알 수 있다. 당시 사이버 공격 수준은 상당히 초보적인 수준임에도 불구하고, 많은 사물인터넷 기기들이 감염되었다.

그뿐만 아니라 사물인터넷은 여러 기기와 연결 돼 있다. 그래서 워너크라이와 같은 랜섬웨어에 감염된다면, 컴퓨터 대상이었던 것보다 더 빠르고 광범위하게 감염시킬 수 있다. 이는 순식간에 사사물인터넷과 통신하는 기기들을 랜섬웨어에 감염시킬 수 있게 한다. 그래서 해커가 취약한 사물인터넷으로 워너크라이와 같은 랜섬웨어를 유포한다면, 랜섬웨어 감염은 순식간에 벌어지게 되는 셈이다.

홈페이지와 이메일 유포의 경우 사용자가 조심하면 예방할 수 있다. 그러나 워너크라이와 같은 웜 종류의 랜섬웨어 예방법은, 조심만 가지고는 예방할 수 없다. 그래서 번거롭지만, 시스템들을 정기적으로 업데이트하는 것이 중요하다. 그리고 중요 파일은 클라우드와 같은 곳에 별도로 저장해서, 랜섬웨어 감염 시에도 최소화하는 것도 중요하다.

실제로 보안 전문가들은 랜섬웨어뿐만 아니라 악성코드 감염 피해에 최소화하기 위해서, 파일을 안전한 공간에 저장해둔다. 이러한 방법 말고는, 현재로서는 랜섬웨어와 같은 공격피해를 최소화 할 수 있는 방법이 없다.

현실에서 재산을 보호하기 위해서 문을 철저히 잠그듯이, 사이버보안도 이제 우리 자산의 일부가 돼가고 있다. 그래서 사이버공간의 보안 관리도 중요하다.

의견달기(0)