그밖에 브라우저 광고 차단, 플래시 클릭시 재생 옵션도 권장
[보안뉴스 문가용] 최근 기승을 부리는 랜섬웨어 공격 대부분에서 공통점이 발견되었다. 이미 널리 알려지고 패치까지 나온 어도비 플래시 플레이어 및 MS 실버라이트의 버그 네 가지가 주로 악용되고 있다는 것이다. 이 취약점은 CVE-2015-7645, CVE-2015-8446, CVE-2015-8651(이상 플래시 플레이어)와 CVE-2016-0034(실버라이트)다.
그러므로 위 네 가지 취약점만 패치로 해결해도 랜섬웨어에 당할 확률이 크게 줄어든다고 해당 사실을 발견한 레코디드 퓨처(Recorded Future)는 설명한다. 스캇 도넬리(Scott Donelly) 책임자는 랜섬웨어의 활동량이 너무나 높아 조사를 하기 시작했다며, “도대체 랜섬웨어 제작자들은 어떤 취약점을 공략하기에 이렇게까지 높은 성공률을 보일 수 있는지가 먼저 궁금했다”고 한다.
“물론 랜섬웨어의 공격 방식은 다양합니다. 하지만 취약점을 익스플로잇 하는 방식이 제일 흔하죠. 모든 랜섬웨어를 방지하지는 못하지만, 가장 급한 불부터 끄자는 생각으로 랜섬웨어와 관련된 취약점부터 조사하고 나섰습니다. 일단 패치라도 내놓을 수 있어야 하니까요.”
레코디드 퓨처에 따르면 ·최근 북미와 유럽의 주요 기관 및 병원들에서 발생한 랜섬웨어 공격은 ‘표적형 해킹’은 아닐 가능성이 높으며 불특정 다수를 향한 무작위 공격에 당한 것으로 보인다고 한다. “즉 그런 평범한 무작위 해킹 공격도 표적형 공격만큼이나 치명적으로 작용할 수 있는 시대까지 온 겁니다.”
랜섬웨어를 유포하는 것으로 유명한 키트 중 앵글러(Angler), 뉴트리노(Neutrino), 매그니튜드(Magnitude), 리그(RIG), 뉴클리어(Nuclear)는 플래시 CVE-2015-7645를 주로 공격한다. 앵글러는 CVE-2015-8446도 함께 익스플로잇 한다. 앵글러와 뉴트리노는 CVE-2015-8651을 공략한다. 실버라이트의 CVE-2016-0034는 앵글러의 주무기이기도 하다. 특히 이 실버라이트 취약점은 작년에 있었던 해킹팀(Hacking Team) 해킹 사건으로 드러난 것이다.
레코디드 퓨처는 패치 외에도 다음과 같은 사항들을 권장하고 있다. “먼저 플래시 세팅을 ‘클릭시에만 재생(click to play)’으로 바꿔주세요. 브라우저에서는 광고 차단 기능을 활성화하세요. 그러면 멀버타이징 공격을 상당 수 막을 수 있습니다. 그리고 백업을 주기적으로 실시하세요. 특히 공유된 파일은 랜섬웨어의 좋은 먹잇감이니 이런 파일들은 더 신경써야 합니다.”
특히 백업을 잘 해두지 않은 채 불시에 랜섬웨어의 공격을 받았을 땐 돈을 내느냐 데이터를 잃느냐, 두 가지 옵션밖에 주어지지 않기 때문에 미리미리 대비해두는 게 현명하다는 것이 레코디드 퓨처의 설명이다.
한편 랜섬웨어의 피해자는 현재 알려진 것보다 훨씬 많을 것이라고 레코디드 퓨처는 예상하고 있다. “랜섬웨어에 걸렸다는 걸 거의 아무도 공개하려하지 않습니다. 다 해결하고 나서도요. 그러니 정확한 피해 규모를 집계하기도 힘들고요. 다만 막을 수 있는 방법이 계속 드러나고 있고 그것들만 잘 지켜도 감염 확률이 확 떨어지니, 얼마나 다행인지 모르겠습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>