본문 바로가기

IT/과학/리뷰/벤치

피해자 속출하는 랜섬웨어, 왜 치료 못 할까?


[ #바이러스 #랜섬웨어 ]
피해자 속출하는 랜섬웨어, 왜 치료 못 할까?
워너크라이(WannaCry) 랜섬웨어



▲ 15일이 최대고비, 랜섬웨어 악몽이 시작된다.  ⓒpixbay



- 주말 낀 워너크라이(WannaCry) 15일이 최대 고비
- 전 세계 공포에 몰아넣고 여전히 활동 지속
- 14일 기준 기업 4곳 피해 신고 접수, 예방이 최선

미디어얼라이언스 / 김현동 에디터 cinetique@naver.com


[2017년 05월 15일] - 지금까지는 걷잡을 수가 없었다. 일단 감염이 된 이후에는 치료 방법이 없다는 것이다. 피해자는 있으나 치료를 했다고 주장하는 이가 나오지 않는 이유다. 처음 보고될 당시에는 희망이라도 있었다. 1세대 랜섬웨어에 한해 복원하는 유틸이 잠시 나왔기에 마음의 평온을 되찾을 수 있었다. 지금은 그조차도 소용없기에 복원을 포기했다는 게시물만 넘쳐난다.

랜섬웨어는 지금까지의 바이러스와 형태가 다르다. 쉽게 말하자면 지능화한 공격패턴과 은폐엄폐를 능숙하게 하는 똑똑한 사이버 공격이다. 그러한 까닭에 탐지도 힘들지만, 탐지가 된 공격은 변종이 되어 ‘증식’하기에 해결한 이후에도 ‘종식’이라는 단어가 통하지 않는다. 지금까지 보고된 랜섬웨어 외에도 모두 몇 종류가 추가로 활동하고 있는지 대략적으로도 집계를 못 한다.


# 이대로 당하는 것이 능사일까?


실제 2016년 1월 1일 이후로 평균 4,000건 이상의 랜섬웨어 공격이 매일 탐지될 정도로 왕성한 활동을 이어가고 있다. 통계만 보면 감염이 안 된 것이 신기할 정도이니 사이버 세상은 랜섬웨어의 활동무대로 잠식된 상태다. 문제는 12일을 기점으로 새로운 변종 랜섬웨어인 워너크라이(WannaCry)가 합류했는데, 문제가 좀 심각하다.


▲ 14일. CGV 50개 영업소에서 랜섬웨어 감염이 보고됐다.  ⓒ커뮤니티


지금까지 확인된 랜섬웨어 보다 치명적인 데다가 전염성이 매우 강하고 치명적인 자기복제 능력까지 지녀 퍼지는 속도가 빠르다는 거다. 재수가 없어 감염되면 숙주를 중심으로 공격을 이어나가기 때문에 기업이나 연구실 등과 같이 여러 대의 PC가 연결된 곳에서는 퍼지는 속도를 걷잡을 수 없게 된다. 뒤늦게 후회해봐야 소용이 없다. 어차피 감염된 PC를 되살릴 방법은 없다.

한때는 돈을 내면 해결할 수 있다고 알려지기도 했다.

그 비용이 1비트코인이라는 데 달러로 환산하면 $1,400을 넘겼다. 물론 지금도 감염된 PC 내부에는 복구비용을 요구하는 메시지를 친절하게 남겨 두기에 희망을 품기도 한다. 감염을 막기 노력을 얼마나 했냐? 는 추궁에 대답하기 어려운 것은 대응이 빠르고 느리고를 떠나 그렇게 생각할 여지가 없기 때문이다.

감염되기 전까지는 흔적도 없는데, 감염 사실을 알고 난 그때에는 이미 돌이킬 수가 없다. 랜섬웨어를 두고 사이버 인질극이라고 표현하는 이유다.

하지만 몸값을 내도 복원하는 것은 별개의 문제다. 다급한 마음에 돈부터 보내고 보는데, 복원 확률을 따져보면 후회가 막심하다. 따지고 보면 비트코인 장사꾼만 배를 불린 셈이다. 이 때문에 랜섬웨어의 배후에 비트코인이 지목되기도 한다. 증거는 없는데 정황은 비트코인의 입지를 늘리는 데 혁혁한 공을 세우고 있다.


# 예방이 유일한 해결책이라는데!


맞다. 지금까지 보고된 사례를 보면 예방이 유일한 해결책이다. 사이버 인질극이랍시고 원하는 비용을 순순히 지급 한들 이후에는 복원에 필요한 키를 받아와야 하는데, 그것도 100% 복원율을 보장하지 않는다.


▲ 모든 데이터를 무용지물로 만들어버리는 랜섬웨어  ⓒpixbay


‘랜섬웨어 복원’을 전문으로 해주는 업체에 방법을 문의한 결과 자신들도 중간에서 연결해 복원키를 받아주는 것이지 직접 해결을 해주는 것은 아니란다. 몇 차례의 경험상 최대 90%까지 복원할 수 있다는 것이고 감염된 PC는 절대 건들지 않는 것이 요령이라는 거다. 돈을 떼먹을 가능성에 대해 문의하자 지금까지는 그런 일은 없었다는 것이다.

의뢰라도 해서 복원을 하고 싶거든 주의할 점이 있다.

치료는 해야겠고, PC는 좀 알고 있지. 라는 심정에 이것저것 만지다 감염된 파일 정보라도 변형되면 그 즉시 복원은 물 건너간 셈이다. 돈은 돈대로 들이고 복구는 복구대로 못하고 피해는 피해대로 감당해야 하는 최악의 상황에 부닥칠 수 있기에 그대로 맡기는 편이 좋다.

결국, 예방이 유일한 해결책이라는 의미다.

연관기사 : [르포] 사이버 인질극 랜섬웨어, 당해보니 ( http://weeklypost.org/916 )

미래창조과학부와 한국인터넷진흥원 그리고 포티넷이 14일 배포한 자료에도 치료가 아닌 랜섬웨어 예방책 일색이다. 총 8가지 예방 팁은 이와 같다. 14일에 배포한 것 또한 법정 영업일이 15일부터인데, 다행히 주말이 낀 덕에 아직은 잠잠하기 때문에 아직은 여유가 있다. 워너크라이(WannaCry)의 마지막 발악에 대응할 여유다.

방법은 아주 쉽고 간편하다. 먼저 ▲사용 중인 기기의 OS, 소프트웨어 펌웨드를 주기적으로 업데이트하고, 대규모 조직의 경우, 중앙에서 관리할 수 있는 시스템을 마련한다. 물론 시스템에 대해 이해가 필요하니 전담 전산 담당자 채용이 먼저 이뤄져야 가능하겠다. 그리고 난 직후 ▲방화벽에서 IPS, AV, 웹 필터(Web Filter)를 활성화하고 최신 버전으로 유지 한다.

기업이라면 백업은 첫번째 과제다. 따라서 ▲주기적으로 백업을 수행하고, 백업된 정보는 무결성을 검증, 암호화하여 관리하고 이 모든 절차가 정상 작동하는지 지속해서 확인한다. 또한, 모든 송수신 되는 이메일을 스캔하여 보안 위협이나 실행 파일들이 사용자들에 전달되는지 확인한다. 필요하다면 보안툴 구매를 권장하는데, 예를 들면 ▲안티-바이러스(anti-virus) 및 안티-멀웨어(anti-malware) 프로그램이 주기적으로 자동 실행되도록 설정하는 노력이다.

모든 조치를 다 하고도 한 순간의 실수로 피해를 직면할 수 있다. 바로 이 메일이다. 업무용으로 사용하건 개인적으로 사용하건 무관하다. 이메일을 사용해야 한다면 ▲이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화해야 한다. 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다. 마지막은 당연한 말인데 매번 거론되는 사항인 ▲보안침해에 대한 업무대응전략을 수립하고 업무 보안취약점에 대한 정기적인 평가를 수행한다. 는 것이다.


# 감염된 PC, 어떻게 해야 할까?


예방책이 있으니 감염 후 대책도 있다. 물론 감염이 된 이후에는 아무리 고등교육을 받은 사람일지라도 신사적으로 해결하는데 필요한 이성이 남아 있을 리 없다. 하지만 이미 벌어진 일이니 금전적·정신적인 손해를 어떻게 든 보상을 받고자 정력을 쏟아가며 매달리는 것보다는 마음을 비우고 응하는 것이 바람직하다.

먼저 감염을 확인했다면, 그 즉시 추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리하여 격리한다. 요즘 업무 환경에 인터넷은 필수이니 필시 네트워크로 연결했을 것이다. 마찬가지로 모든 디바이스를 네트워크로부터 분리한다.

정말 운이 좋은 경우 활동이 중단된 상태에서 감염을 확인할 수 있다. 이 경우는 신속하게 감염된 디바이스는 전원을 끈다. 재빠른 판단이지만 이렇게 조치할 경우 복구할 수 있는 시간을 벌 수 있고, 상황이 악화하는 것을 방지할 수도 있다.


▲ CGV 상영관을 마비시킨 랜섬웨어 감염 ⓒ커뮤니티


회사라면 분명 백업시스템이 있을 것이다. PC의 감염 사실이 확인되었다면 백업시스템도 안심할 수 없다. 즉시 네트워크에서 분리하고 백업된 자료가 감염되었는지 확인해야 하는데, 문제가 없다면 하루 전 백업 본으로 복원하는 것이 좋다. 그사이에 감염이 되었을 수가 있기 때문이다.

이 과정을 모두 거쳤다면 이제부터는 실전이다. 랜섬웨어 감염을 알리고 지원을 받기 위해 즉시 법무팀과 같은 법률 관련 부서와 논의하는 것이다. 중요한 것은 모든 책임을 독박으로 쓰려고 하지 말라. 그런다고 한 들 도움되는 건 없다. 어차피 기업은 기업이고 랜섬웨어는 복불복이다. 그러니 천재지변과도 흡사하다며 불가항력이라는 억울함은 호소하라! 정신차려보면 당신도 피해자다.


# 발등에 떨어진 불, 당장의 대비는?


법정 영업일의 시작은 15일(월요일)이다. 다행히도 토요일과 일요일이 끼었기에 피해 접수가 적다고 한다. 하지만 15일은 좀 다르다. 워너크라이(WannaCry)는 마음 놓고 있을 만큼 만만한 랜섬웨어가 아니라는 것이다. 그래서 주요 보안 기업은 14일 일제히 권고 가이드를 공개하고 대처에 임할 것을 강조했다. 주말이기에 그렇게 강조했으나 못 본 이도 많다는 것이 함정이다.

▲ 사용 중인 모든 윈도 시스템에 마이크로소프트(Microsoft) 최신 패치를 적용해야 한다.
▲ 멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering) 및 AV 검사 엔진(AV inspection engine)을 활성화해 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단해야 한다.
▲ 그룹 정책을 이용하여 WNCRY 확장자의 실행을 차단해야 한다.
▲ UDP 137/138, TCP 139/445 통신을 격리한다.

하지만 아쉽게도 나열한 4가지 팁은 지금 당장 해결책에 불과하다. 당장 발등 위에 떨어진 워너크라이(WannaCry)에 한해서 권고하는 예방 가이드라는 것인데, 다른 랜섬웨어가 기승을 떨친다면 그 무렵에는 다른 방법을 찾는 것이 좋다. 하긴 본 글이 추후 검색될 가능성은 높지 않다.


# 공포로 몰아넣은 랜섬웨어란?


랜섬웨어는 가정 사용자에서부터 의료 시스템, 기업 네트워크에 이르기까지 모든 컴퓨터 사용자들을 대상으로 가장 빠르게 성장하는 멀웨어 위협을 의미한다. 실제 2016년 1월 1일 이후로 평균 4,000건 이상의 랜섬웨어 공격이 매일 탐지될 정도로 기승을 떨치고 있다.

때마침 워너크라이가 전 세계에서 활동을 시작했으나 주말이 낀 연휴와 맞물리는 바람에 다가오는 영업일인 15일을 기점으로 피해가 속출할 전망이다. 인터넷진흥원을 비롯해 주요 보안기업도 피해 예방을 당부하며 15일이 최대 고비가 될 것이라 알렸다.


▲ 피할 수 없으면 대비하라!  ⓒpixbay


포티넷에 따르면 “5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신사업자들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히, 24개 이상의 언어로 금전을 요구하는 점이 특징이다.”라는 것이다.

이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 활동이 보고됐다. 하필 지난달, 쉐도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격하면서 걷잡을 수 없게 확산하는 상황이다.

결과적으로 보면 마음처럼 막을 수 있었다면 랜섬웨어 하나로 호들갑 떨 필요도 없었다. 그게 안 되는 것이니 난리가 난 것이고 고로 기왕 터진 사건 현명하게 대처하기를 권한다. 남의 일이라 여겼다가 애써 구축한 소중한 데이터 한 방에 날린 후 후회한 들 소용없다는 거다. 랜섬웨어는 더는 남의 일이 아니다. 우리에게 닥친 현실이다.

피할 수 없다면 즐기라는 소리는 군대에서나 하고, 이제는 피할 수 없으면 대비하라! 의 정신으로 임하라!

[ 저작권자 ⓒ 미디어얼라이언스 & no.1 media rePublic 위클리포스트 ]