보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 워너크라이 1년...제2의 피해 막을 수 있는가 [전자신문 Etnews 5월 8일자_전자신문 20180509일자 본지06면]
아이디 | admin
날  짜 | 2018-05-09
조  회 | 58

워너크라이 1년...제2의 피해 막을 수 있는가


[이슈분석]워너크라이 1년...제2의 피해 막을 수 있는가

2017년 5월 세계를 랜섬웨어 공포로 몰아넣은 '워너크라이' 사이버 공격이 발생했다. 세계 150여개국에서 최소 30만대 이상 컴퓨터 시스템이 피해를 입었다. 공격이 발생한 지 1년이 넘었지만 워너크라이는 잊을 만하면 한 번씩 피해 소식을 알린다. 워너크라이는 금전을 요구하는 랜섬웨어 형태였지만 의료기관과 산업시설 가동을 멈춘 파괴형 악성코드다. 제2의 워너크라이가 나타났을 때 우리는 대응할 수 있는 상태인가. 1년이 지난 지금도 워너크라이 최초 유포 경로는 밝혀지지 않았다. 

랜섬웨어 공격은 끊이지 않는다. GettyImages
<랜섬웨어 공격은 끊이지 않는다. GettyImages>

◇랜섬웨어 사이버 공격은 계속 

트렌드마이크로 통계에 따르면 지난해 발견된 신종 랜섬웨어 패밀리 수는 327개다. 2016년 247개에서 32%나 증가했다. 

한국인터넷진흥원에 접수된 국내 랜섬웨어 피해 사례도 8829건(2015년~2018년 4월 누적)에 달한다. 워너크라이가 나타난 2017년 2분기에 3542건으로 폭증 후 꾸준히 발생했다.

[이슈분석]워너크라이 1년...제2의 피해 막을 수 있는가

특히 지난해 광범위한 공격이 여러 국가를 강타하면서 수십억 달러에 달하는 피해를 입혔다. 워너크라이 외에 페트야, 배드래빗 등이 연이어 기관과 기업을 공격했다. 초기 랜섬웨어는 특정 사무실에 국한된 피해였는데 워너크라이 시작으로 침해 규모가 대규모로 확산했다.

랜섬웨어는 돈을 버는 목적과 동시에 시스템을 파괴하는 속성을 지닌다. 사이버 범죄자를 비롯해 국가지원 해커까지 랜섬웨어 활용을 늘리는 원인이다. 지난해 10월 대만 은행은 해킹으로 6000만달러를 도난당한 것도 모자라 랜섬웨어 감염됐다. 사이버 공격자가 은행을 해킹한 후 추적과 복구를 어렵게 하려고 내부에 랜섬웨어를 감염 시켰다.

사이버 범죄자는 기존 개발한 랜섬웨어를 변형해 지속해 피해를 입힌다. 공격자는 꾸준한 실험으로 가장 수익성이 높은 공격 전략을 찾는 데 집중한다. 취약점 이용, 파일리스 감염, 사전 실행형, 머신러닝 회피 기술을 악용한다. 

랜섬웨어 증가추이(자료:트렌드마이크로)
<랜섬웨어 증가추이(자료:트렌드마이크로)>

이 중 대규모 피해를 입히는 게 취약점이다. 워너크라이와 페트야 랜섬웨어가 '이터널블루'라 불리는 윈도 서버메시지블록(SMB) 취약점을 통해 감염됐다. 패치하지 않은 윈도 시스템을 자동으로 찾아내 감염시키는 형태다. 웜(Worm)과 유사하게 자신을 복제해 네트워크로 전파했다. 

안랩은 올해 '사이버 범죄 서비스(Crime-as-a-Service)'를 예측했다. CaaS는 사이버 범죄 조직이 개발, 판매, 유통, 마케팅까지 세분화된 기업화를 추구하는 형태다. 랜섬웨어를 기업형으로 감염시키는 조직 증가가 예상된다. 

이형택 이노티움 대표는 “랜섬웨어는 비용이 거의 들지 않고 해커에게 최고 수익률을 가져다 준다”면서 “향후 악성코드 사업 방정식은 '기-승-전-랜섬'으로 귀결될 것”이라고 말했다.

◇취약점은 폭발 

워너크라이는 기존 랜섬웨어와 달리 운용체계(OS) 취약점을 이용해 전파가 빨랐다. 지난해 발견된 보안 취약점은 2만개에 육박했다. 플렉세라가 내놓은 '취약점 리뷰 2018'에 따르면 지난해 259개 기업 1856개 제품에서 1만9954개 보안 취약점이 발견됐다.

2016년 1만7445개보다 14% 증가했다. 각종 소프트웨어에서 발견되는 보안 취약점은 매년 늘어난다. 물론 취약점이 공개됨과 동시에 보안 패치도 나온다. 지난해 발견된 취약점 중 86%는 공개 당일에 업데이트할 수 있는 보안 패치가 나온 상태였다. 문제는 보안 패치가 신속히 이뤄지지 않는 점이다. 

연도별 보안 취약점 수(자료:플렉세라)
<연도별 보안 취약점 수(자료:플렉세라)>

워너크라이 감염 도구로 쓰인 마이크로소프트 SMB 취약점 역시 2017년 3월 보안 패치가 배포됐다. 워너크라이는 두 달 후 전파됐는데 상당수 시스템이 보안 패치가 이뤄지지 않아 피해가 컸다. 대규모 시스템을 운영하는 기업이나 기관은 신속한 패치가 쉽지 않다. 당장 서비스 가용성을 유지해야 하기 때문이다. 패치를 하려면 시스템을 정지시킨 후 업데이트해야 한다. 패치 후 시스템 안전성을 유지해야 하는데 검증 작업에 3개월 이상 걸리는 곳도 많다.

데이브 호그 미국 국가안보국(NSA) 기술책임자는 “국가지원 해킹 그룹은 보안 취약점이 공개되면 하루 만에 공격도구를 개발한다”면서 “인력과 비용 투자를 많이 해야 하는 제로데이보다 알려진 취약점을 신속히 이용한다”고 설명했다. 

◇제2의 워너크라이를 막자 

제2의 워너크라이는 보안 기본만 지켜도 대응된다. 최근 사이버 공격은 단계를 거쳐 이뤄진다. 기업이 공격 단계별로 대응책을 마련하고 유지하면 피해를 최소화한다.

한국인터넷진흥원(KISA)은 랜섬웨어 대응 가이드라인을 내놨다. 랜섬웨어를 막는 첫 단계는 취약점 패치다. 모든 소프트웨어를 최신 버전으로 업데이트한다. 보안 업데이트가 제공되는 최신 버전 OS를 사용하고 매달 나오는 보안 업데이트를 제공한다.

윈도XP와 비스타 등 보안 지원이 중단된 OS는 최신 버전으로 교체한다. 직접 공격 수단인 인터넷 익스플로러(IE)가 아닌 엣지나 구글 크롬, 모질라 파이어폭스 등 브라우저를 사용한다. 사용하지 않는 불필요한 소프트웨어는 삭제한다. 

워너크라이 결제 안내 프로그램 화면. <자료 이스트시큐리티 >
<워너크라이 결제 안내 프로그램 화면. <자료 이스트시큐리티>>

출처가 불명확한 이메일과 웹사이트 주소(URL)는 실행하지 않는다. 이메일에 첨부된 MS 오피스 매크로 기능을 허용하지 않는다. 파일 공유사이트에서 다운로드하거나 실행할 때 주의한다. 

랜섬웨어 피해 발생 시 최후 보루는 백업이다. 데이터를 백업 받아 두면 랜섬웨어에 걸려도 공격자에게 몸값을 주지 않고 복구한다. 업무와 기밀문서, 각종 이미지 등 주요 파일은 주기적으로 백업한다. 중요 파일은 외부 저장장치를 이용해 2차 백업한다. 보안 백업 SW로 쉽게 접근하기 어렵게 설정한다. 기업과 기관은 백업과 재해복구 계획을 세우고 비즈니스 연속성 절차를 유지하고 정기 점검해야 한다. 

김도원 KISA 취약점분석팀장은 “랜섬웨어는 한 번 감염되면 해커가 요구하는 비용을 지불하더라도 복구가 보장되지 않기 때문에 사전 예방과 안전한 자료 백업 방법을 숙지하는 것이 중요하다”고 밝혔다. 

자료:KISA
<자료:KISA>
자료:KISA
<자료:KISA>
자료:KISA
<자료:KISA>

김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
169 국가사이버경보 올라가면 보안관제 인력 '52시간 어쩌나�.. 관리자 2018-05-24 12
168 '크롬 업데이트 하세요' URL 누르면 악성코드 감염 [.. 관리자 2018-05-24 11
167 보안성 높은 텔레그램 표적한 악성코드 등장...PC버전 노렸다 [.. 관리자 2018-05-24 11
166 LTE망 해킹해...가짜 재난 문자를 보낸다고? [전자신문 Etnews 5.. 관리자 2018-05-16 44
165 정부사물인터넷망 [전자신문 Etnews 5월 10일자_전자신문 201805.. 관리자 2018-05-11 61
164 SW 인재와 4차 산업혁명 [전자신문 Etnews 5월 10일자_전자신문 .. 관리자 2018-05-11 61
163 블록체인을 기존 산업에 적용할 때 고려할 점 네 가지 [전자신문.. 관리자 2018-05-11 66
162 공공 사물인터넷(IoT)망 연계 추진 '전국 단위 서비스 길 .. 관리자 2018-05-10 64
161 [ICT 미래인재포럼 2018]〈1〉광운대 지능형 국방 ICT 연구센터 .. 관리자 2018-05-10 58
워너크라이 1년...제2의 피해 막을 수 있는가 [전자신문 Etnews .. 관리자 2018-05-09 59
159 양방향 맞춤형 공간정보로 4차산업혁명 대응..6차 국가공간정보.. 관리자 2018-05-09 60
158 北, 한국소비자원 사이버 공격 시도 [전자신문 Etnews 5월 8일.. 관리자 2018-05-09 52
157 인간을 위한 인공지능 [전자신문 Etnews 5월 7일자_전자신문 201.. 관리자 2018-05-08 60
156 AI 응용 모델 확산, 정부 지원 절실[사설] [전자신문 Etnews 5월.. 관리자 2018-05-04 75
155 공유가치와 블록체인 [전자신문 Etnews 5월 3일자_전자신문 2018.. 관리자 2018-05-04 84
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265