세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
워너크라이 등장한 지 1년, 이터널블루는 오히려 강세
  |  입력 : 2018-05-14 16:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1년 전 등장한 워너크라이도 오래된 시스템만 노렸건만
최근 이터널블루 사용량 급증...패치하지 않는 습관의 현주소


[보안뉴스 문가용 기자] 워너크라이(WannaCry) 랜섬웨어 사태가 벌어진 지 1년이다. 그렇지만 워너크라이의 배후에 있던 NSA의 익스플로잇 도구들은 여전히 유효한 공격 무기로 남아있다. 1년이 지났는데도 여전히 워너크라이 사태가 벌어질 수 있는 환경 그대로라는 것이다.

[이미지 = iclickart]


워너크라이 사태가 터진 당일은 2017년 5월 12일이었다. 가장 먼저 스페인의 업체들과 영국의 병원들이 대다수 마비됐다. 특히 윈도우 7 시스템을 유지하고 있던 조직들은 크게 타격을 입었다. 열흘 만에 전 세계적으로 약 50만 대의 컴퓨터가 워너크라이에 당했다.

보안 업체 바로니스(Varonis)의 부회장인 켄 스피너(Ken Spinner)는 워너크라이에 대해 “사이버 보안에 대한 인식을 업계 안팎으로 크게 높인 계기가 되었다”고 말한다. “평소 최근 소프트웨어를 사용하고 백업을 충실히 한 기업들이 워너크라이에 긁히지도 않는 것이 극명하게 드러나면서, 랜섬웨어 대처법이 극명하게 드러났죠.”

하지만 그의 평가는 지나치게 긍정적이다.

50만대라는 감염 컴퓨터 수는 워너크라이의 악명을 제대로 설명하지 못한다. 50만은 이름값에 비해 지나치게 낮은 수다. 워너크라이가 나오자마자 공포의 대상이 된 것은 초반에 보여준 감염 속도 때문이었다. 미국의 NSA가 보유한 익스플로잇 도구라고 알려진 이터널블루(EternalBlue)를 사용했기에 가능한 속도였다. 이터널블루 자체는 2017년 4월에 세상에 공개됐으며, MS는 이에 대한 패치를 한 달 후에 발표했다.

이터널블루는 윈도우 시스템의 445번 포트의 서버 메시지 블록(SMB) 내에서 발견된 취약점을 익스플로잇 한다. 하지만 이 취약점은 윈도우 XP나 윈도우 7 등의 오래된 버전에서만 발견되는 것이다. 즉 워너크라이에 당했다는 건 꽤나 오래된 윈도우를 업데이트도 하지 않고 있었다는 뜻이 된다. 실제 워너크라이에 당한 건 ‘당한 사람이 게을렀기 때문’이라는 목소리도 당시에 적지 않았다.

게다가 워너크라이 이전에도 이터널블루를 사용한 사이버 공격이 있었다. 암호화폐 채굴 봇넷이며 백도어에서도 발견된 바 있고, UIWIX라는 랜섬웨어 패밀리에서도 이터널블루가 악용됐다. 워너크라이가 발견되기 1~2주 전의 일이었다.

워너크라이 자체는 북한의 행위라고 알려져 있다. 하지만 수명이 그리 길지는 못했다. 다만 이터널블루 익스플로잇은 워너크라이 직후에 발생한 낫페트야(NotPetya) 공격에서 다시 한 번 발견되기도 했다.

이런 일련의 사건들이 있었음에도 이터널블루는 여전히 유효한 공격 도구다. 아니, 오히려 1년 전보다 지금 더 인기가 높다는 분석도 있을 정도다. 2017년 5월부터 2018년 5월까지, 약 2백만 명의 사용자들이 이터널블루에 당했다고 카스퍼스키 랩은 발표했다. “2017년 5월 이터널블루에 당한 사용자보다 2018년 4월 이터널블루에 당한 사용자가 10배 많습니다. 평균 24만 명의 사용자가 매달 이터널블루에 당하고요.”

“해커들이 이터널익스플로잇을 계속해서 사용한다는 건 아직도 많은 시스템들이 패치가 되지 않고 있다는 뜻입니다. 그거뿐입니다. 업체나 기관들이, 스스로 보유하고 있는 자산들의 업데이트 상태를 잘 모르고 있다는 뜻도 되고요. 간단한 해결책이 있음에도 하지 않고 있는 우리의 현주소를 보여줍니다.” 카스퍼스키의 일침이다.

보안 업체 이셋(ESET)의 경우는, “이터널블루 사용량이 최근 심하게 급증했다”며 “지난 해 9월부터 4월 중순까지 이 급격한 증가가 이어졌다”고 말한다. 그러면서 “의외로 많은 사용자들이 패치를 하지 않고 있으며, 그 말은 앞으로도 패치하지 않을 거라는 뜻이라는 걸 해커들이 간파한 것으로 보인다”고 설명한다.

또 다른 보안 업체 주니퍼 네트웍스(Juniper Networks)의 위협 분석 전문가인 무니르 하하드(Mounir Hahad) 역시 “이터널블루가 증가하고 있다는 건 패치 습관의 현황을 보여주는 것”이라고 정리한다. “워너크라이 사태가 발발했을 때 보안 업계는 SMBv1을 삭제하고 v2로 바꾸라고 끊임없이 말했어요. 그렇지만 아직도 SMBv1을 고수하는 기기가 2백만 대가 넘게 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)