Home > 전체기사

[주말판] 워너크라이 랜섬웨어 사태 5주년을 기념하며

  |  입력 : 2022-05-14 12:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워너크라이가 세상을 뒤집은 게 벌써 5년 전의 일이다. 그 후 랜섬웨어는 현대 사이버 공간의 팬데믹으로 불릴 정도로 성장해 왔다. 워너크라이와 현대 랜섬웨어에는 어떠한 차이가 있으며, 지난 5년 동안 변하지 않은 것은 무엇인지 정리해 보았다.

[보안뉴스 문정후 기자] 워너크라이(WannaCry)라는 랜섬웨어가 갑자기 등장하여 세상을 경악시킨 것이 벌써 5년 전의 일이다. 그 동안 랜섬웨어 산업은 천지개벽 수준으로 진화하였다. 하지만 기업들의 방어 태세는 그 때나 지금이나 크게 변하지 않았다.

[이미지 = utoimage]


랜섬웨어는 그 때나 지금이나 가장 방어하기 어려운 ‘보안 골칫거리’임에 변함이 없다. 심지어 5년 된 워너크라이의 경우 지난 11월까지도 가장 많이 발견되는 위협 혹은 멀웨어 중 하나로 꼽힐 정도니 말이다. 

여러 가지 면으로 봤을 때 기업들의 방어 능력은 강화된 것이 분명하다. 취약점 탐지 능력도 좋아졌고, 그 취약점을 업데이트 하는 속도도 빨라졌으며, 보안의 중요성에 대해 처음부터 설명할 필요가 없어진 건 이미 오래 전의 일이다. 하지만 워너크라이가 처음 그렇게까지 마른 날씨 산불처럼 빠르게 퍼질 수 있었던 이유인 SMB 프로토콜은 여전히 널리 사용되고 있다. 그리고 이곳의 취약점인 이터널블루(EternalBlue) 역시 널리 발견되고 있다.

랜섬웨어의 변신, 그러나...
그러는 동안 랜섬웨어 운영자들은 협박의 전략과 사업 운영의 방식을 완전히 바꾸었다. 5년에는 상상도 못했던 이중 협박 전략의 등장이 특히나 큰 차이를 만들고 있다. 게다가 랜섬웨어 자체도 유연해지고 있어 플랫폼을 가리지 않게 됐으며, 탐지 기술을 피해가고 분석을 방해하는 능력도 탄탄해지고 있다. 심지어 가상기계를 설치한 후에 랜섬웨어 공격을 실시하는 사례도 있다.

과거에는 랜섬웨어를 직접 만들 수 있어야 랜섬웨어로 수익을 거둘 수 있었는데, 이제는 랜섬웨어를 만들고 대여하거나 파트너사들과 협업하는 수익 모델이 다크웹에 우후죽순 생겨 아무나 랜섬웨어 공격을 기획하고 실행시킬 수 있게 됐다. 요즘 랜섬웨어는 데이터 탈취도 같이 하니 공격자들의 부가 쌓이는 속도는 더 빨라졌다.

“워너크라이는 5년 전만큼 강력한 충격을 주지는 못합니다만, 아직도 생생히 살아있는 위협입니다.” 보안 업체 로직허브(LogicHub)의 수석 분석가인 테사 미슈(Tessa Michoe)의 설명이다. “워너크라이는 랜섬웨어의 강력함을 세상에 알렸고, 더 많은 범죄자들이 랜섬웨어를 진지하게 사용하도록 자극을 주었죠. 랜섬웨어라는 시장의 시초는 아니지만 그에 못지 않은 상징성을 가지고 있습니다.”

워너크라이 빨리 보기
워너크라이는 2017년 5월 12일 세상에 등장했다. 그리고 등장 후 단 며칠 만에 전 세계 여러 나라의 컴퓨터 30만대 이상을 감염시켰다. 워너크라이 때문에 랜섬웨어라는 단어가 사전에 등재됐을 정도로 그 영향력은 컸다. 게다가 랜섬웨어라고 알려진 것과 달리 데이터를 삭제하는 기능도 탑재하고 있었다.

워너크라이 때문에 마비된 조직은 페덱스(FedEx), 니산(Nissan), 영국 국립보험국(National Health Service) 등 수도 없이 많다. 미국은 북한의 라자루스(Lazarus)가 배후에 있다고 보고 있으며, 라자루스는 그 동안 전 세계에서 10억 달러 이상의 피해를 일으킨 그룹으로 알려져 있다.

워너크라이가 그렇게나 빨리 퍼질 수 있었던 건 당시 미국 NSA의 익스플로잇 도구라고 알려지며 유출된 이터널블루(EternalBlue)가 활용되었기 때문이다. 이터널블루는 MS의 SMB v1 프로토콜 내 취약점을 익스플로잇 하는 도구였고, 당시로서도 오래된 OS였던 윈도 비스타, 윈도 7, 윈도 8.1이 특히 이러한 공격에 취약했었다. 때문에 OS 업그레이드가 상당히 강조되기도 했었다. MS는 사건 발생 한 달 전에 이미 해당 취약점에 대한 패치를 배포했었지만 많은 사용자들이 적용하지 않았었다.

패치, 패치, 패치
워너크라이 사태 발생 당시 많은 보안 전문가들이 패치의 중요성을 설파했었다. 그러면 5년이 지난 지금은 어떨까? 아직도 이터널블루 익스플로잇은 공격자들 사이에서 인기가 높은 공격 도구다. 그 때 패치 안 했던 사람들은 지금도 패치를 하지 않고 있다. 공격자들은 이런 조직들을 찾아 워너크라이만이 아니라 다른 멀웨어들도 퍼트리고 있다.

보안 업체 바라쿠다 네트웍스(Barracuda Networks)가 최근 3개월 동안 발생한 사이버 공격들을 분석한 바에 의하면 SMB 포트 445번에 대한 공격들 중 무려 92%가 이터널블루 익스플로잇과 관련이 있었다고 한다. 바라쿠다의 수석 보안 연구원인 조나단 태너(Jonathan Tanner)는 “아직도 저 먼 옛날의 취약점을 그대로 놔둔 채 사용되는 시스템들이 무수히 많습니다. 공격자들 입장에서 표적을 그리 열심히 찾아내지 않아도 되는 이유입니다.” 

보안 업체 엑스트라홉(ExtraHop)이 500명의 IT 분야 결정권자들을 대상으로 조사한 결과 68%가 아직 SMB v1을 사용 중에 있다고 답했다고 한다. 그 동안 더 안전하고 효율적인 파일 공유 프로토콜이 시장에 나왔음에도 말이다. 참고로 엑스트라홉은 다음 RSAC에서 이러한 조사 결과에 대한 심층적인 분석 및 평가 내용을 발표할 것이라고 한다. 

SMB v1에 대하여 말하자면, 이미 2014년에 차기 버전으로 대체된 프로토콜이다. 엑스트라홉의 CISO인 제프 코스트로(Jeff Costlow)는 “솔직히 이번 조사를 진행하고 분석 결과까지 나왔을 때 가장 놀랐던 건, 68%가 SMB v1을 사용하고 있다는 것이 아니라 그러한 결과에 제 자신이 하나도 놀라지 않았다는 것”이라고 말한다. “보안 분야에서 일하고 많은 클라이언트들을 만나면서 저도 모르게 그런 사실을 예상하고 있었나봐요. 패치를 제대로 하지 않는다는 사용자 기업들의 문제는 좀처럼 나아지지 않고 있습니다.”

보안 업체 레드카나리아(Red Canary)의 수석 보안 전문가인 브라이언 도나휴(Brian Donahue)는 “5년 전에 비해 사용자 기업들이 워너크라이의 위협에 똑같은 수준으로 노출되어 있다고 말할 수는 없지만, 중요한 요소들을 패치하지 않은 채 사업을 하고 있다는 사실 자체는 변함이 없다”고 말한다. “소프트웨어의 패치를 빠르게 대응하는 문화가 기업들 사이에서 자리가 언젠가 잡히겠다는 생각도 솔직히 들지 않습니다.”

랜섬웨어, 최대의 위협
도나휴는 “랜섬웨어는 2017년에도 최대의 위협이었고, 2022년에도 여전히 그러하다”고 말한다. 사이버 공간에서 범죄의 방식이나 선호되는 멀웨어는 유행을 타고, 그러므로 1위 자리를 계속해서 지킨다는 건 매우 어려운 일이다. 그럼에도 랜섬웨어가 계속해서 최고 수준의 위협으로 남아 있다는 건 그만큼 랜섬웨어가 여러 번의 혁신에 성공했기 때문이다. 요즘은 표준처럼 되어 있는 이중협박, 삼중협박 전략이 좋은 혁신의 사례다.

보안 업체 비숍폭스(Bishop Fox)의 전문가들은 최근 랜섬웨어를 미끼로 사용하는 국가 지원 단체들의 새로운 전략을 발견했다고 발표했다. 랜섬웨어 자체가 주된 무기인 게 아니라 랜섬웨어인 척 하고 다른 목적을 달성하는 움직임이 포착되기 시작한 것이다. 이를 본 따 일반 사이버 범죄 단체들 역시 랜섬웨어를 미끼로 사용하는 전략을 구사하기 시작했다. 이런 전략의 대표적 사례는 워너크라이 직후에 나타난 낫페트야(NotPetya)다. 페트야라는 랜섬웨어를 가장한 디스크 삭제형 멀웨어였다.

비숍폭스는 낫페트야의 전략이 최근 다시 나타나기 시작했다고 말한다. “랜섬웨어로 피해자의 신경을 집중시키고 실제로는 다른 악성 행위를 하는 것입니다. 물론 낫페트야보다 훨씬 정교하고 다채로워지긴 했지요.”

워너크라이에 비해 현대 랜섬웨어들은 맞춤형 표적 공격에 훨씬 능하다. 비숍폭스의 레드팀 국장인 트레빈 에지워스(Trevin Edgeworth)는 “워너크라이는 자동화 방식으로 퍼졌지만 지금은 피해자에 따라 다양한 방식이 차용되는 게 보통”이라고 설명한다. “예를 들어 작년 콜로니얼 파이프라인(Colonial Pipeline)을 친 다크사이드(DarkSide)라는 랜섬웨어의 경우 공격자가 특정 조직들을 겨냥해 수작업으로 침투해 들어가 피해를 입히는 방식으로 유명했었습니다.”

그러면서 에지워스는 “요즘 공격자들은 다양한 조직들을 다양한 수법으로 공략하고 있으며, 어떤 식으로 피해를 입혀야 가장 큰 피해를 입고, 따라서 협상에 응할 가능성이 높은 지를 잘 이해한다"고 설명을 덧붙였다. “기술에만 능했던 공격자들이 이제는 심리전까지도 부릴 줄 알게 되었다고 볼 수 있습니다. 이런 변화가 랜섬웨어를 더 강력하게 만들고 있지요.”

보안 업체 카스퍼스키(Kaspersky)의 경우 이번 주 발표한 보고서를 통해 “최근의 랜섬웨어 공격자들은 핵티비스트가 아니더라도 자신의 정치적 스탠스를 드러내는 데 거리낌이 없다”고 밝히기도 했다. “예를 들어 콘티(Conti)라는 랜섬웨어 그룹의 경우 우크라이나-러시아 전쟁에서 러시아의 편을 들겠다고 공표하고, 러시아에 적대적 국가들에 랜섬웨어 공격을 한다고 했지요. 반대로 우크라이나의 편을 들어 우크라이나의 IT군대(IT Army)에 자발적으로 등록한 사람들도 수십만 명에 달하고요. 이는 표적형 공격이 공격자들에게 얼마나 쉬워졌는지를 드러내는 대목이기도 합니다.”

위협은 진화, 대응은 기본 그대로
워너크라이는 수많은 조직들에 랜섬웨어의 무서움을 알려주고, 패치의 중요성을 강조하게 된 계기가 되었다. 그렇기에 지금의 취약점 관리 프로그램들이 탄생하는 데에 적잖은 영향을 미쳤다. “워너크라이 덕분에 생긴 긍정적인 변화들이 없지 않습니다. 그런데 말이죠, 아직도 기업들은 OS나 펌웨어들에는 조금 더 민감하게 반응하고 오피스, 자바, 어도비 제품들 등 주요 생산성 및 업무 애플리케이션들에는 둔감하게 반응합니다. 그리고 여전히 개개인에게 패치를 맡기기 때문에 회사 전체적으로 균일하게 소프트웨어가 버전업 되지도 않습니다. 아직 가야할 길이 많이 남았습니다.” 에지워스의 설명이다.

“랜섬웨어에 대한 대비는 다른 무엇보다 기본 보안 수칙에서부터 출발합니다. 네트워크 아키텍처의 안전한 구성, 취약점의 능동적 파악과 해결, 최소한의 권한만 제공한다는 원리의 수립 및 적용 등이 바로 그것이죠. 여기에 더해 실제 공격 발생 시의 대응 시나리오를 미리 갖추는 것도 소홀히 하지 말아야 할 것입니다.”

글 : 자이 바이자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)