자동 업데이트 끄기가 '랜섬웨어' 키웠나

전문가들의 예방법…"최신 SW-업데이트 사용"

컴퓨팅입력 :2017/05/15 16:57    수정: 2017/05/15 16:58

랜섬웨어 워너크라이(WannaCry)가 전세계를 강타했다. 유로폴에 따르면 150개국에서 동시다발적인 랜섬웨어 공격으로 20만대 컴퓨터가 감염됐다. 한국서도 지난 13일부터 15일 오전까지 국내 5개 기업이 한국인터넷진흥원(KISA)에 피해를 신고했다. 국내 사이버위기 경보단계는 워너크라이 확산과 변종 출현에 따라 지난 14일부터 '주의'로 상향 발령됐다. 국내서 피해 확산 가능성이 여전히 작지 않다는 방증이다.

워너크라이는 인터넷에 연결된 윈도 PC 및 서버를 표적으로 삼는다. 특정 보안 취약점을 패치하지 않은 컴퓨터는 이 악성코드에 감염되고, 같은 네트워크상의 다른 컴퓨터로 악성코드 감염을 확산시키는 역할을 하게 된다. 보안 전문가들은 악성코드 감염에 대비해 PC를 켜기 전 네트워크를 끊고, PC의 파일공유 기능을 해제하고, 네트워크 연결 후 백신과 운영체제(OS) 보안 업데이트를 수행하도록 권고하고 있다.

모든 윈도 사용자가 워너크라이 감염을 걱정할 필요는 없다. 자신의 PC나 서버 OS가 윈도10, 윈도7 서비스팩(SP)1, 윈도8.1, 윈도서버2016, 윈도서버2012 R2, 윈도서버2008 R2 버전 중 하나고, 윈도업데이트를 밀리지 않고 적용해 왔다면 이번 '난리'로부터 안전하다. 마이크로소프트(MS)가 관련 취약점 패치를 지난 3월 배포했기 때문이다. 다만 SP1을 적용하지 않은 윈도7은 지원대상이 아니라 예외다.

KISA가 운영하는 보안전문사이트 보호나라에서 지난 13일 워너크립트 악성코드가 이용하는 윈도 SMB 취약점에 대비한 긴급 보안 업데이트 적용 권고 사항에서도 기본 대응 방안은 '윈도 자동업데이트를 통한 업데이트 실시'였다.

한국인터넷진흥원(KISA) 보호나라 KrCERT 홈페이지에 게재된 랜섬웨어 예방수칙 인포그래픽.

사실 어째선지 자동업데이트 기능을 끄는 방법을 알고자하는 이용자가 많다. 주요 검색사이트와 인터넷 포털에서 검색어 '자동업데이트'를 써 보면 윈도 또는 OS의 '자동업데이트 끄기'와 같은 검색어가 자동완성으로 추천된다. 이는 전문가들이 권고하는 랜섬웨어 예방법과 전면 배치된다. 전문가들이 권고하는 예방법은 단순하다. 업데이트가 지원되는 윈도를 쓰고, 기본 상태인 자동업데이트 설정을 끄지 말라는 것.

진짜 걱정해야 할 사용자 환경은 MS의 공식 기술지원 및 보안업데이트 제공이 중단된 윈도 컴퓨터다. 윈도XP, 윈도비스타, 윈도8, 윈도서버2003과 2003 R2, 윈도서버2012 등이다. 이들은 보안취약점을 노출한 채 가동되고 있었다. 워너크라이는 인터넷에 연결된 이런 시스템을 찾아내 빠르게 확산될 수 있었다. 사고가 커지자, MS는 최근 이례적으로 기술지원을 중단한 OS용 취약점 패치를 배포하기 시작했다.

■"최신 OS 쓰고, 자동업데이트 켜라"

마이크로소프트(MS) 기술전문가인 MVP로 활동하고 있는 박성기 씨는 "워너크립트(워너크라이의 다른 명칭)가 빠르게 확산된 이유 중 하나가 기술지원 및 보안업데이트가 종료된 OS를 아직도 사용하고 있기 때문"이라면서 "가장 좋은 방법은 기술지원 및 보안업데이트가 종료된 OS 사용을 중단하는 것이며, 보안업데이트 적용은 워너크립트 확산 차단을 위한 임시방편"이라고 지적했다.

역으로 MS가 기술지원 및 보안업데이트를 제공하는 윈도 사용자라 해도, 윈도업데이트 적용을 미뤄 왔다면 워너크라이 랜섬웨어의 피해를 당했을 수 있다. 근본적인 위협 수준을 낮추려면 기술지원이 종료된 OS를 쓰지 않는 게 아니라, 기술지원 대상인 윈도에서 자동으로 이뤄지는 '윈도업데이트'를 계속 켜 두는 것이 중요하다. 인터넷에서 공유되는 자동업데이트 해제 방법을 따라하는 것은 안전하지 않다.

박 씨는 "기업이라면 WSUS 또는 MS 인튠으로 업데이트를 관리하거나, 서버 업데이트 테스트 후 실 운영 서버에 적용하는 프로세스를 갖고 있어 논외가 될 수 있다"면서도 "개인사용자는 업데이트를 수동으로 적용할 필요가 없고, 보안위협에 노출되지 않으려면 자동업데이트 활성화와 주기적인 업데이트 확인이 필요하다"고 강조했다. 그에 따르면 최신 OS인 윈도10은 자동업데이트가 기본이며 해제할 수 없다.

■"윈도·백신 소프트웨어 최신버전 유지하라"

워너크라이 확산에 따른 국내외 피해 상황과 감염 예방법을 공지하고 있는 주요 보안업체들 역시 랜섬웨어 사후대응과 예방법으로 기본 보안솔루션인 백신 사용과 함께 윈도업데이트의 중요성을 언급하고 있다.

시만텍은 랜섬웨어 대비 보안수칙에서 "소프트웨어 업데이트에는 랜섬웨어 공격자가 악용할 수 있는 새로운 보안취약점에 대한 패치가 포함돼 있기 때문에 OS 및 기타 소프트웨어를 최신상태로 업데이트해 둬야 한다"고 권고했다.

카스퍼스키랩은 워너크라이 감염 위협을 줄이기 위한 권장 조치로 "MS의 공식패치를 설치해 공격에 이용된 취약점을 제거하고 카스퍼스키랩 솔루션에서 중요영역 검사 등을 시행해 감염위협을 탐지"하라고 조언했다.

관련기사

이스트시큐리티 또한 KISA가 운영하는 보안전문사이트 보호나라 공지를 인용해 "랜섬웨어 감염 피해 예방을 위해 백신과 윈도 최신 보안 업데이트를 진행하고 악성코드 검사를 수행할 것"을 권고했다.

안랩 한창규 시큐리티대응센터장은 "워너크라이 랜섬웨어 피해를 최소화하기 위해서는 사용 중인 윈도 OS와 백신을 최신으로 유지해야 한다"고 말했다.