3년 전 5월에 터진 대형 랜섬웨어 사건...사전에 랜섬웨어라는 단어가 등재되기도
오래된 윈도우가 인터넷에 연결되어 있을 때 터진 재앙...그러나 패치 안 하는 건 여전
[보안뉴스 문가용 기자] 워너크라이(WannaCry) 사태가 터지고 3년이 지났다. 당시 웜 방식으로 퍼지던 워너크라이에 수십 만대의 컴퓨터와 서버들이 빠르게 감염됐고, 전 세계적인 패닉 사태를 불러 일으켰다. 특히 영국 의료 기관들과 프랑스의 자동차 생산 공장, 페덱스(FedEx)와 같은 물류 기업들에서 피해가 발생했고, 워너크라이는 총 80억 달러가 넘는 피해를 입힌 것으로 추산된다.
[이미지 = iclickart]
당시 세상이 워너크라이에 얼마나 놀랐냐면, 보안 업계에서만 알고 있던 ‘랜섬웨어’라는 용어가 일반인들 사이에도 퍼졌고, 사전에도 등재됐을 정도다. 시스코 탈로스(Talos) 팀의 크레이그 윌리엄즈(Craig Williams)는 “사이버 공격 무기가 일반 대중들에게 널리 알려진 사건”이라고 설명하며, “웜 방식이라는 워너크라이의 매커니즘에, 시스템 패치를 좀처럼 하지 않는 사용자들의 습관이 더해져 엄청난 파괴력이 야기됐다”고 말한다.
어떤 교훈이 있었나?
워너크라이 사태가 주는 교훈은 오래된 버전의 시스템이나 소프트웨어를 고집하고 업데이트를 제 때 하지 않으면 큰 위험이 닥칠 수 있다는 것이다. 이는 랜섬웨어만이 아니라 데이터 유출 유형의 사고에도 해당되는 얘기다. 그러면 우리는 워너크라이 이후 이 교훈을 잘 받아들여 실천하고 있을까?
아니다. 아직도 수많은 기업과 기관들이 오래된 소프트웨어를 즐겨 사용한다. 보안 업체 레이시온(Raytheon)의 제이콥 노프케(Jacob Noffke)에 의하면 “소프트웨어와 시스템 패치는 여전히 간과되고 무시된다”고 한다. “물론 잘 하는 곳은 잘 합니다. 대부분 워너크라이 사태가 있기 전에도 잘했던 곳들이죠. 하지만 안 하던 곳은 여전히 안 하는 게 보통이더군요. 워너크라이가 또 터질 수 있냐고 묻는다면, 당연하다고 답할 수 있습니다.”
이 지점에서 사건을 간략히 복기해보자면 다음과 같다.
1) 2017년 5월, 워너크라이가 나타남
2) 순식간에 150개국, 20만 개의 윈도우 시스템을 점령함.
3) 워너크라이는 웜 방식으로 퍼지는데, 이 때 활용된 원격 익스플로잇은 사건 발생 두 달 전에 이미 공개된 것이었음.
4) 참고로 이 원격 익스플로잇이라는 것은 NSA가 개발하고 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 것임.
5) NSA의 원격 익스플로잇은 윈도우 XP, 윈도우 7, 윈도우 서버 2003, 윈도우 서버 2008과 같은 오래된 윈도우를 침해하는 기능을 가지고 있음.
6) 워너크라이 등장 4일 만에 30만 대의 시스템이 감염됨.
7) 이 시스템들 거의 전부 윈도우 7를 기반으로 운영되고 있었음.
8) 워너크라이는 공격자들의 설계 오류로 윈도우 XP를 공격하지 않았음. 했다면 피해가 엄청났을 것.
9) 다행히 사이버 보안 전문가인 마르커스 헛친스(Marcus Hutchins)이 등장해 ‘킬 스위치’를 발동시켜 워너크라이의 전파 속도를 크게 늦춤.
하지만 ‘패치하지 않으면 워너크라이 같은 공격에 당할 수밖에 없다’는 것만이 이 사건이 주는 유일한 교훈은 아니다. 다음과 같은 의견들이 보안 업계 내에 존재한다.
1. 오래된 익스플로잇들은 죽지 않는다
보안 업체 디지털 셰도우즈(Digital Shadows)의 알렉스 구이라쿠(Alex Guirakhoo)는 “워너크라이가 세상에 증명한 건, 업데이트 하지 않은 소프트웨어를 인터넷에 연결시키는 게 대단히 위험하다는 것”이라고 말한다. “사실 이 부분은 바로 다음 달에 터진 낫페트야(NotPetya) 랜섬웨어 사건을 통해 한 번 더 증명되었었죠.”
제조사가 지원을 끝낸 제품을 계속해서 사용한다는 게 어떤 의미를 가지고 있는지 온 세상이 갑자기 깨닫게 되었다는 게 구이라쿠의 설명이다. “지금도 어느 정도는 그렇지만, 제조사의 입장이 어떻든 사용자들은 자기들이 원하는 만큼 소프트웨어나 장비를 사용했었거든요. 초연결 사회에서는 그런 기본적인 사용자 권리조차 위험 요소가 된 겁니다.”
하지만 이 사건을 통해 행동 양식을 바꾼 사용자들은 얼마나 될까? 정확히 알 수는 없지만 아직도 SMB 파일 공유 포트를 인터넷에 노출시킨 채 운영되는 시스템이 60만 대가 넘는 것으로 알려져 있다. 워너크라이도 바로 이 SMB 익스플로잇을 통해 빠르게 퍼진 것인데 말이다. 앞으로도 인터넷에 노출된 SMB 포트는 계속해서 공격을 당할 것이다.
2. 웜의 파괴력은 생각보다 크다
워너크라이가 증명한 또 다른 사실 하나는 웜 방식이 랜섬웨어와 결합했을 때 파괴력이 상당하다는 것이었다. 그래서 일각에서는 워너크라이를 랜섬웜(ransomworm)이라고 부르기도 한다. 위에서 언급된 낫페트야도 웜 방식으로 퍼져나갔었다. (물론 낫페트야는 랜섬웨어가 아니라, 파괴형 멀웨어였다.)
웜 방식으로 증식하는 워너크라이는 영국 의료 기관의 1/3을 운영 불능 상태로 만들었고, 낫페트야는 대형 제약 회사인 머크(Merck)에 소속된 랩톱 3만여 대와 서버 7500여 대를 마비시켰다. 머크는 낫페트야 때문에 8억 7000만 달러라는 손해를 입은 것으로 추정된다. 시스코의 윌리엄즈는 “웜은 오래된 방식의 위협이지만, 미래에도 계속 남아있을 것”이라고 말한다. 그나마 다행인 건 이제 많은 사람들이 ‘웜 방식의 증식’ 혹은 ‘워머블(wormable)’ 특징을 가진 멀웨어에 상당한 경계심을 갖게 되었다는 것이다.
3. 공격자를 알아내고 지적하는 건 여전히 어려운 일이다
서방 세계의 보안 업계는 워너크라이의 배후 세력으로 북한 해커들을 지목하고 있다. 낫페트야의 경우는 러시아 정부가 얽혀 있는 것으로 보는 게 중론이다. 하지만 누군가 북한이나 러시아처럼 보이도록 공격을 기획했을 수 있다는 가능성이 완전히 사라진 것도 아니다. 이 점 또한 서방 보안 전문가들이 인정하는 바다.
워너크라이 공격을 통해 배후 세력은 정보를 어마어마하게 탈취해간 것도 아니고, 큰 수익을 거둔 것도 아니었다. 공격자가 얻어간 것이 무엇이냐는 질문 앞에 워너크라이를 실패 사례로 꼽는 시각도 존재할 정도다. 그렇기 때문에 북한의 전문 해커들보다는 아마추어에 가까운 누군가가 워너크라이를 기획했을 거라고 보는 게 자연스럽다는 주장도 나오고 있다. 워너크라이의 협박 편지를 언어학적으로 분석했을 때는 중국어를 구사하는 자가 작성했을 가능성이 높다는 결론이 나오기도 했다.
실제로 사이버 공격자들은 추적을 따돌리기 위해 다른 공격 그룹인 것처럼 위장하는 전략을 자주 구사하고 있으며, 해가 갈수록 이 전략이 정교하게 다듬어지고 있어, 공격자들을 제대로 짚어내는 것이 갈수록 어려워질 전망이다. 윌리엄즈는 “너무 비관적으로 말하고 싶지는 않지만, 사이버 공격과 보안의 현재 상황을 알면 알수록 비관적으로 될 수밖에 없다”고 말한다. “앞으로 웜은 더 많아지고, 공격자를 추적하는 건 더 어려워질 겁니다. 이런 상황인데도 패치를 안 할 사람은 앞으로도 계속 안 할 겁니다. 그게 제일 절망적입니다.”
3줄 요약
1. 올 5월은 워너크라이 사태 발발 3주년.
2. 워너크라이의 가장 큰 교훈은 ‘유통기간 지난 소프트웨어의 위험성.’
3. 하지만 아직도 패치 하지 않을 사람은 계속 안 하고, 하던 사람만 하는 게 현실.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
오래된 윈도우가 인터넷에 연결되어 있을 때 터진 재앙...그러나 패치 안 하는 건 여전
[보안뉴스 문가용 기자] 워너크라이(WannaCry) 사태가 터지고 3년이 지났다. 당시 웜 방식으로 퍼지던 워너크라이에 수십 만대의 컴퓨터와 서버들이 빠르게 감염됐고, 전 세계적인 패닉 사태를 불러 일으켰다. 특히 영국 의료 기관들과 프랑스의 자동차 생산 공장, 페덱스(FedEx)와 같은 물류 기업들에서 피해가 발생했고, 워너크라이는 총 80억 달러가 넘는 피해를 입힌 것으로 추산된다.
[이미지 = iclickart]
당시 세상이 워너크라이에 얼마나 놀랐냐면, 보안 업계에서만 알고 있던 ‘랜섬웨어’라는 용어가 일반인들 사이에도 퍼졌고, 사전에도 등재됐을 정도다. 시스코 탈로스(Talos) 팀의 크레이그 윌리엄즈(Craig Williams)는 “사이버 공격 무기가 일반 대중들에게 널리 알려진 사건”이라고 설명하며, “웜 방식이라는 워너크라이의 매커니즘에, 시스템 패치를 좀처럼 하지 않는 사용자들의 습관이 더해져 엄청난 파괴력이 야기됐다”고 말한다.
어떤 교훈이 있었나?
워너크라이 사태가 주는 교훈은 오래된 버전의 시스템이나 소프트웨어를 고집하고 업데이트를 제 때 하지 않으면 큰 위험이 닥칠 수 있다는 것이다. 이는 랜섬웨어만이 아니라 데이터 유출 유형의 사고에도 해당되는 얘기다. 그러면 우리는 워너크라이 이후 이 교훈을 잘 받아들여 실천하고 있을까?
아니다. 아직도 수많은 기업과 기관들이 오래된 소프트웨어를 즐겨 사용한다. 보안 업체 레이시온(Raytheon)의 제이콥 노프케(Jacob Noffke)에 의하면 “소프트웨어와 시스템 패치는 여전히 간과되고 무시된다”고 한다. “물론 잘 하는 곳은 잘 합니다. 대부분 워너크라이 사태가 있기 전에도 잘했던 곳들이죠. 하지만 안 하던 곳은 여전히 안 하는 게 보통이더군요. 워너크라이가 또 터질 수 있냐고 묻는다면, 당연하다고 답할 수 있습니다.”
이 지점에서 사건을 간략히 복기해보자면 다음과 같다.
1) 2017년 5월, 워너크라이가 나타남
2) 순식간에 150개국, 20만 개의 윈도우 시스템을 점령함.
3) 워너크라이는 웜 방식으로 퍼지는데, 이 때 활용된 원격 익스플로잇은 사건 발생 두 달 전에 이미 공개된 것이었음.
4) 참고로 이 원격 익스플로잇이라는 것은 NSA가 개발하고 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 것임.
5) NSA의 원격 익스플로잇은 윈도우 XP, 윈도우 7, 윈도우 서버 2003, 윈도우 서버 2008과 같은 오래된 윈도우를 침해하는 기능을 가지고 있음.
6) 워너크라이 등장 4일 만에 30만 대의 시스템이 감염됨.
7) 이 시스템들 거의 전부 윈도우 7를 기반으로 운영되고 있었음.
8) 워너크라이는 공격자들의 설계 오류로 윈도우 XP를 공격하지 않았음. 했다면 피해가 엄청났을 것.
9) 다행히 사이버 보안 전문가인 마르커스 헛친스(Marcus Hutchins)이 등장해 ‘킬 스위치’를 발동시켜 워너크라이의 전파 속도를 크게 늦춤.
하지만 ‘패치하지 않으면 워너크라이 같은 공격에 당할 수밖에 없다’는 것만이 이 사건이 주는 유일한 교훈은 아니다. 다음과 같은 의견들이 보안 업계 내에 존재한다.
1. 오래된 익스플로잇들은 죽지 않는다
보안 업체 디지털 셰도우즈(Digital Shadows)의 알렉스 구이라쿠(Alex Guirakhoo)는 “워너크라이가 세상에 증명한 건, 업데이트 하지 않은 소프트웨어를 인터넷에 연결시키는 게 대단히 위험하다는 것”이라고 말한다. “사실 이 부분은 바로 다음 달에 터진 낫페트야(NotPetya) 랜섬웨어 사건을 통해 한 번 더 증명되었었죠.”
제조사가 지원을 끝낸 제품을 계속해서 사용한다는 게 어떤 의미를 가지고 있는지 온 세상이 갑자기 깨닫게 되었다는 게 구이라쿠의 설명이다. “지금도 어느 정도는 그렇지만, 제조사의 입장이 어떻든 사용자들은 자기들이 원하는 만큼 소프트웨어나 장비를 사용했었거든요. 초연결 사회에서는 그런 기본적인 사용자 권리조차 위험 요소가 된 겁니다.”
하지만 이 사건을 통해 행동 양식을 바꾼 사용자들은 얼마나 될까? 정확히 알 수는 없지만 아직도 SMB 파일 공유 포트를 인터넷에 노출시킨 채 운영되는 시스템이 60만 대가 넘는 것으로 알려져 있다. 워너크라이도 바로 이 SMB 익스플로잇을 통해 빠르게 퍼진 것인데 말이다. 앞으로도 인터넷에 노출된 SMB 포트는 계속해서 공격을 당할 것이다.
2. 웜의 파괴력은 생각보다 크다
워너크라이가 증명한 또 다른 사실 하나는 웜 방식이 랜섬웨어와 결합했을 때 파괴력이 상당하다는 것이었다. 그래서 일각에서는 워너크라이를 랜섬웜(ransomworm)이라고 부르기도 한다. 위에서 언급된 낫페트야도 웜 방식으로 퍼져나갔었다. (물론 낫페트야는 랜섬웨어가 아니라, 파괴형 멀웨어였다.)
웜 방식으로 증식하는 워너크라이는 영국 의료 기관의 1/3을 운영 불능 상태로 만들었고, 낫페트야는 대형 제약 회사인 머크(Merck)에 소속된 랩톱 3만여 대와 서버 7500여 대를 마비시켰다. 머크는 낫페트야 때문에 8억 7000만 달러라는 손해를 입은 것으로 추정된다. 시스코의 윌리엄즈는 “웜은 오래된 방식의 위협이지만, 미래에도 계속 남아있을 것”이라고 말한다. 그나마 다행인 건 이제 많은 사람들이 ‘웜 방식의 증식’ 혹은 ‘워머블(wormable)’ 특징을 가진 멀웨어에 상당한 경계심을 갖게 되었다는 것이다.
3. 공격자를 알아내고 지적하는 건 여전히 어려운 일이다
서방 세계의 보안 업계는 워너크라이의 배후 세력으로 북한 해커들을 지목하고 있다. 낫페트야의 경우는 러시아 정부가 얽혀 있는 것으로 보는 게 중론이다. 하지만 누군가 북한이나 러시아처럼 보이도록 공격을 기획했을 수 있다는 가능성이 완전히 사라진 것도 아니다. 이 점 또한 서방 보안 전문가들이 인정하는 바다.
워너크라이 공격을 통해 배후 세력은 정보를 어마어마하게 탈취해간 것도 아니고, 큰 수익을 거둔 것도 아니었다. 공격자가 얻어간 것이 무엇이냐는 질문 앞에 워너크라이를 실패 사례로 꼽는 시각도 존재할 정도다. 그렇기 때문에 북한의 전문 해커들보다는 아마추어에 가까운 누군가가 워너크라이를 기획했을 거라고 보는 게 자연스럽다는 주장도 나오고 있다. 워너크라이의 협박 편지를 언어학적으로 분석했을 때는 중국어를 구사하는 자가 작성했을 가능성이 높다는 결론이 나오기도 했다.
실제로 사이버 공격자들은 추적을 따돌리기 위해 다른 공격 그룹인 것처럼 위장하는 전략을 자주 구사하고 있으며, 해가 갈수록 이 전략이 정교하게 다듬어지고 있어, 공격자들을 제대로 짚어내는 것이 갈수록 어려워질 전망이다. 윌리엄즈는 “너무 비관적으로 말하고 싶지는 않지만, 사이버 공격과 보안의 현재 상황을 알면 알수록 비관적으로 될 수밖에 없다”고 말한다. “앞으로 웜은 더 많아지고, 공격자를 추적하는 건 더 어려워질 겁니다. 이런 상황인데도 패치를 안 할 사람은 앞으로도 계속 안 할 겁니다. 그게 제일 절망적입니다.”
3줄 요약
1. 올 5월은 워너크라이 사태 발발 3주년.
2. 워너크라이의 가장 큰 교훈은 ‘유통기간 지난 소프트웨어의 위험성.’
3. 하지만 아직도 패치 하지 않을 사람은 계속 안 하고, 하던 사람만 하는 게 현실.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
