보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
갈수록 커지는 사이버 공격의 파급력, 예방이 중요하다.
[이스트시큐리티 IMAS 개발팀 박종화 과장]
갈수록 커지는 사이버 공격의 파급력
2017년 5월 12일, 전 세계적인 사이버 공격이 발생하여 크게 이슈가 되었다. 스스로를 워너크라이(WannaCry)라는 랜섬웨어로 칭하는 해당 사이버 공격은 최신 제로데이를 이용하여 빠른 확산에 성공하였다. 해외 보안 업체 시만텍은 랜섬웨어의 경우 작년 한 해에만 매일 4,000건 이상의 공격이 있었다고 밝히기도 했다. 이처럼 사이버 공격은 더욱 스마트해지며 그 파급력도 함께 커지고 있다.
워너크라이(WannaCry) 랜섬웨어는 전통적인 방식인 파일 암호화기능을 수행하지만 SMBv1 취약점과 전자메일을 이용한 방법이 추가된 형태이다. SMBv1 제로 데이 공격은 445포트가 열려있을 경우 인터넷에 연결된 장치를 직접 공격할 수 있으며, 전자메일 피싱으로 악성코드가 실행되는 경우 로컬 망에서도 악성코드의 확산이 가능하다. 이러한 공격 방법은 2008년 등장하자마자 전 세계 100만대 PC를 감염시킨 Conficker 웜에서도 주목받은 바 있다. 워너크라이(WannaCry) 랜섬웨어는 네트워크 웜과 파일 암호화를 수행하는 랜섬웨어 기능이 결합된 ‘랜섬 웜’의 형태인 것이다. 취약점의 특성에따라 달라지겠지만 Smart Car, IoT(Internet of Things) 등으로 초연결시대가 도래하고 있는 것을 감안할 때, 이러한 공격의 파급력은 더욱 커질 전망이다.
서비스형 랜섬웨어가 자리잡다
파급력이 커지는 또 다른 원인 중 하나는 바로 서비스형 랜섬웨어(RaaS: Ransomware as a Service) 비즈니스 모델의 정착이다. 작년 한 해 동안 랜섬웨어 변종만 증가한게 아니라 제작과 배포 방식 또한 고도화 되었다. 자원 및 지식이 부족하거나 개발 능력이 따라주지 않더라도 누구나 쉽게 사이버 공격이 가능해졌다.
해외 보안 업체 카스퍼스키랩에 따르면 랜섬웨어 개발자가 코드 개발자 계약에 따라 악성코드나 바이러스를 범죄자에게 제공하고, 또 구매자 요구에 맞게 수정된 버전을 판매한다고 한다. 랜섬웨어의 배포 또한 관리가 되지 않는 서버 및 자체 봇넷을 미리 준비하여 판매가 되는 형태다. 악성코드 제작부터 배포까지 모든 영역이 빠르게 비즈니스화되고 있는 것이다. 악성코드 제작자와 배포자 둘 다 안정적인 이득을 얻을 수 있어 지속적으로 고도화될 것으로 예상된다.
예방은 선택이 아닌 필수
앞서 이야기한 사이버 상의 공격 양상과 파급력에 비추어 봤을 때 사후 대응보다 중요한 것은 ‘예방’이다. 빠르게 확산될 수 있다는 것은 대응할 수 있는 시간을 확보하지 못할 가능성이 존재함을 의미한다. 2011년 3월 3일 <3.3 디도스 공격>으로 알려진 공격에 하드디스크 파괴 기능이 포함되어 있어 대한민국의 주요 정부기관, 은행 등의 업무가 마비되었던 사례가 있다. 물론 당시의 공격으로 이후 상당 부분 예방을 위한 조치들이 이루어졌지만, 새로운 기술과 인프라들이 도입되고 환경이 변화할수록 새로운 취약점들도 존재하기 마련이기 때문에 기술이 발전하니 보안도 그 만큼 발전하리란 안일한 생각은 금물이다.
예방 방법은 존재하지 않는 것인가? 그렇지 않다
이번 워너크라이(WannaCry) 랜섬웨어 공격이 이용한 SMB 취약점은 사실 지난 3월 14일경 마이크로소프트 사에서 MS17-010으로 패치한 바 있다. 그리고 이 SMB 취약점은 해킹 그룹 ‘섀도 브로커스(Shadow Brokers)’에서 미리 공개한 이른바 NSA 사이버무기인 ‘이터널블루(EternalBlue)’으로 알려져 있었다. 보안 업계에서는 취약점 공개 시점부터 이미 굉장히 큰 이슈였기 때문에 대규모 사이버 공격을 예측할 수도 있었는데, 특히 SMB 취약점의 경우 과거 전력이 많아 사실 공격은 시간 문제일 뿐이었다.
하지만 워너크라이(WannaCry) 랜섬웨어가 이렇게 이슈가 될 수 있었던 건 조직 관리자의 보안 의식 결여가 가장 큰 문제라고 볼 수 있다. 꾸준한 패치 업데이트가 쉽지만은 않지만, 예측된 공격이었기에 패치 업데이트만 받았더라도 대규모 피해는 피할 수 있었다. 랜섬웨어 피해 예방을 위한 첫 번째 조건이자 기본은 관리자의 보안 의식 고취이다.
두 번째로는 다양한 방어 수단을 두는 것이다. 사이버 상에도 공격을 지연시키거나 빠르게 공격 징후를 확인할 수 있는 여러 수단이 존재한다. 바꿔 말하면, 한 제품이 공격을 놓치더라도 다른 제품이 찾아낼 수 있도록 여러 계층의 전술진지를 구축하는 것이다. IT기술이 발전하며 하드웨어부터 소프트웨어까지 여러 계층의 방어 체계 구축이 용이 해진 만큼 다양한 보안 솔루션 도입을 고려해 봐야 한다.
적은 리소스로 큰 효과, 클라우드 보안
IMAS 클라우드는 이스트시큐리티에서 제공하는 분석 서비스로, 전 세계적으로 유포되는 샘플들을 수집/분석하여 악성여부 판단정보와 인텔리전스 해석정보를 제공하고 있다. 때문에 현재 이슈되는 악성코드는 물론 표적형 공격 악성코드까지 보다 빠르게 대응할 수 있다.
IMAS 클라우드가 선제적으로 사이버 공격에 대한 정보를 수집한 다음 연결된 모든 사용자에게 해당 위협을 공유하기 때문에, 이를 기존의 클라이언트 제품이나 기타 솔루션과 연동한다면 보다 강력한 방어 체계를 갖추게 된다. 조직 내부에 기술적 또는 물리적 어려움으로 대규모 방어 체계가 구축되지 않았더라도, 클라우드 연결을 통해 비교적 간편하게 적은 리소스를 투자하여 큰 예방 효과를 볼 수 있는 것이다.
앞으로도 사이버 공격은 진일보할 것이고 그 파급력은 커질 수 밖에 없다. 관리자는 전체 조직의 보안에 대한 경각심을 키우고 미연에 공격을 막을 수 있는 다방면의 대안을 준비하여야 할 것이다.