함께 만든 보안 방어막 '사이버 집단면역'

[기자수첩] 랜섬웨어 '워너크라이'가 남긴 교훈

기자수첩입력 :2017/05/19 14:02    수정: 2017/05/19 14:38

15일인지 16일인지 아무튼 주초 저녁 무렵이었다. 악성코드 '워너크라이' 때문에 한국인터넷진흥원(KISA)에 랜섬웨어 상담문의 전화가 하루 수천건씩 몰릴 때였다.

하루 종일 정신없이 기사 마감을 하고 퇴근하면서 뒤늦게 정신이 번쩍 들었다. 집에서 쓰고 있는 PC 때문이다. 난 윈도 컴퓨터 3대를 쓰고 있다. 업무용은 윈도10이 깔려 있어 별 문제 없었다.

문제는 집에서 수시로 켜고 끄는 윈도7 데스크톱과 노트북들. 다행히 감염 흔적은 없었다.

처음엔 패치돼 있겠거니 여겼다. 그래도 혹시나 해서 3대의 시스템 정보를 일일이 살폈다. 윈도10 노트북과 윈도7 데스크톱은 이상 없음. 그러다 잠시 철렁. 윈도7 노트북은 아니었다. 선명하게 '2월' 하순으로 표시된 윈도 업데이트 최종 적용일자. 워너크라이 감염을 막아 주는 패치 배포일은 3월 중순이었다.

자료는 주로 데스크톱에 뒀지만, 윈도7 노트북엔 백업하지 않은 파일이 좀 있었다. 이게 랜섬웨어로 암호화됐다면 어땠을까. 기사에 언급한대로 내게도 포기하거나, 비트코인 결제를 하거나, 2가지 선택지만 주어진다. 나조차 선뜻 포기할 수 있었을까 싶다.

악성코드는 한국에서도 주말부터 확산됐다. 그 사이 한창 켜져 있던 이 노트북이 감염될 가능성은 충분했다. 오히려 주말 내내 몇 시간씩 인터넷에 연결된 채로 사용했던 노트북에 패치가 안 됐는데도 감염 피해를 겪지 않은 이유가 궁금했다.

단순히 운이 좋았다고 넘길 일은 아니었다. 이번 악성코드는 동일한 취약점을 가진 윈도 컴퓨터 개체를 스스로 찾아다니며 자가복제와 확산을 거듭하는 능력을 갖고 있었다. 컴퓨터에 악성코드가 악용하는 취약점이 있다는 건, 생물로 치면 전염병 면역력이 없다는 얘기다.

지난 주말 수십시간동안 내 윈도7 노트북은 예방약을 받지 못해 워너크라이라는 전염병에 면역력이 없는 컴퓨터였다. 그럼에도 감염 피해를 겪지 않았다. 왜 그랬을까.

네트워크상 인접한 우리집의 다른 컴퓨터, 또는 우리 동네 이웃들의 컴퓨터가 취약점을 제거한, 즉 면역력을 갖고 있는 컴퓨터였기 때문이 아닐까 짐작한다.

어떤 전염성 질병에 면역력이 없는 구성원이 대부분인 집단에선 당연히 감염률이 높아진다. 반대로 다수 구성원이 면역력을 가진 질병이라면 면역력이 없는 구성원도 그 질병에 감염될 확률이 줄어든다. 지역사회에서 면역력이 없는 사람이 면역력을 가진 사람과 함께 있음으로 인해 전염병으로부터 간접적인 보호를 받을 수 있다.

이런 개념을 면역학은 집단 면역(herd immunity)이라 부르는 모양이다.

미국 연방정부 보건복지부산하기관인 질병통제예방센터(CDC) 홈페이지에 게재된 집단면역 개념 소개 이미지. 백신 예방접종 필요성을 강조하는 맥락이다.

집단 면역이 발휘되려면 어떻게 해야 할까?

모든 사람은 아니더라도 '많은 사람'이 면역력을 지녀야 한다는 게 전문가들의 견해다. 현대 보건의료제도에서 광범위하게 시행되는 영유아 예방접종같은 조치가 이런 집단 면역을 높이는 데 기여한다.

인터넷에 연결된 컴퓨터의 보안에 이런 아이디어를 적용해 보면 '사이버 집단 면역'이란 개념을 떠올릴 수 있다. 나를 비롯해 인터넷 이용자 중 취약점을 해결하지 못했지만 감염 피해를 겪지 않은 이들은 아마도 이런 사이버 집단 면역의 수혜자였을 것이다.

사실 사이버 집단 면역은 미국 사이버보안업체 맥아피가 이미 2년 전에 던진 화두다. 이 회사의 2015년 8월 1일자 공식 블로그 포스팅 몇 대목을 인용해 본다.

관련기사

"집단 면역은 사람과 가축 또는 우리가 보호하려는 네트워크와 엔드포인트를 위한 무리 속 구성원 규모의 임계치를 필요로 합니다. 대부분 전문가들은 이 비율을 약 80% 정도로 추정하고 있습니다. …(중략)… 이런 비율의 사용자가 최소한의 보안 수준을 갖췄다면 산업 전반 또는 세계적인 위협의 수가 줄어들 것입니다. …(중략)… 현실에서 집단 면역은 안티바이러스보다 더 많은 것(보안수단)에 의존하며, 80%라는 (면역을 지닌 비율) 수준은 충분히 높지 않을 것입니다. 하지만 다수를 보호해 모두를 지킨다, 그게 목표입니다."

오랫동안 보안 업데이트가 제공되지 않는 낡은 소프트웨어를 써 왔고 백신도 안 돌렸는데 이제껏 악성코드 감염과 같은 피해를 본 적이 없다면, 생각해 봐야 겠다. 그 안락함은 과연 순수하게 운이나 자구적 노력의 결과였을지. 아니면 돈이 좀 들거나 귀찮아도 최신 버전을 쓰고, 정기 보안 패치를 받거나 자동 업데이트를 꼬박꼬박 적용해 온 '사이버 지역사회의 이웃들'에게 빚 진 것일지.