랜섬웨어 비상…기업피해 예방하려면

취약점 평가 필수…신속한 위협탐지 등도 중요

컴퓨팅입력 :2017/07/02 11:22    수정: 2017/07/03 07:56

지난달(6월) 페트야(Petya)란 이름으로 알려진 악성코드가 우크라이나를 중심으로 확산됐다. 우크라이나는 지역 슈퍼마켓부터 중앙은행, 국제공항, 체르노빌 원전 방사능 감시시스템 등 주요 시설 전산시스템을 악성코드에 감염당했다.

해당 악성코드는 PC 부팅영역을 망가뜨리고 컴퓨터 내 다양한 문서파일을 암호화한 다음 재시작 동작을 수행, 부팅 장애 등을 유발하는 것으로 파악됐다. 악성코드 감염 사태는 유럽, 북미, 호주 지역으로 확대됐다. 지난 27일 첫 피해가 알려진 후 하루만에 세계 64개국에 2천건 이상의 공격 피해를 입힌 것으로 기록됐다. 온라인커뮤니티 등을 통해 국내 감염 피해 사례도 알려지고 있다.

페트야는 지난 5월 세계 150개국 30만대 컴퓨터를 감염시킨 랜섬웨어 '워너크라이(WannaCry)'와 동일한 보안취약점을 이용해 퍼졌다. 워너크라이는 피싱 이메일을 통해 전파되는 일반 랜섬웨어와 달리 스스로 감염된 PC와 같은 네트워크에 있는 다른 PC를 감염시킬 수 있었다. 윈도 서버메시지블록(SMB) v1 원격코드실행 취약점을 악용하는 공격코드를 품었기 때문이다.

페트야와 워너크라이가 공통적으로 사용한 공격코드는 지난 4월 '섀도브로커즈'라는 해커조직이 공개한 '이터널블루'를 가리킨다. 이터널블루는 앞서 미국 첩보기관 국가안보국(NSA)이 만들었다. 섀도브로커즈에 해킹당해 도둑맞은 자료 중 하나였다. 해킹을 당한 NSA는 그제야 공격코드가 악용한 취약점을 마이크로소프트(MS)에 알려줬다. MS는 지난 3월 취약점을 해결한 보안업데이트(MS17-010)를 내놨다.

물론 보안연구자들의 분석에 따르면 페트야는 이터널블루 공격코드가 노린 취약점을 패치한 환경에서도 감염 피해를 입힐 수 있는 기능을 갖고 있는 것으로 파악됐다. 그렇더라도 모든 사람들이 MS가 배포한 MS17-010 보안패치를 워너크라이 사태 전후해서라도 설치했다면 같은 취약점을 악용한 페트야 악성코드의 피해 규모는 지금보다 다소 덜했을 수 있다.

통상적인 전산시스템 보유 조직에서 제2, 제3의 워너크라이와 페트야 등 악성코드 피해를 줄이려면 어떻게 해야할까. 모든 보안 위협을 미리 예측할 수는 없지만 이미 알려진 이터널블루같은 공격코드에 대비하지 않으면 더 많은 위험에 노출될 수 있다는 점을 인식할 수 있어야 한다.

■ 취약점 파악, 사고 대응 및 비즈니스 연속성 계획 세워라

지난 29일 미국 테크리퍼블릭은 프라이스워터하우스쿠퍼스(PwC) 측이 이런 관점에서 기업에 제시한 6가지 보안수칙을 소개했다.

첫째는 사이버위협 및 취약점 평가 수행이다. 기업은 뛰어난 해커가 보안 시스템을 침해할 수 있는 방법을 파악하는 위협 및 취약점 평가를 수행해야 한다. 평가는 보안 격차가 존재하는 식별하는 데 도움을 주고 사이버위협 대응조직이 중요한 문제를 해결하는 데 자원을 할당할 수 있게 해준다.

둘째는 빠른 위협 탐지와 대응이다. 기업은 발생 위협을 빠르게 식별, 탐지, 차단할 능력을 강화해야 한다. 더불어 사이버위협 대응조직 구성원이 동료나 관계당국과 위협 데이터를 공유해 인텔리전스를 강화하고 업계 전반의 보안 향상을 도모해야 한다.

셋째는 비즈니스 연속성 계획 수립이다. 개별 사용자 시스템, 중요 서버는 침해사고를 당하더라도 백업에서 신속하게 복원될 수 있어야 한다. 백업 주기는 어떤 시스템이든 문제를 겪었을 때 소실에 대비가 된 데이터의 관리주기와 일치해야 한다.

넷째는 위기 및 사고 대응계획 수립이다. 기업은 직원들의 통상 업무절차와 그 책임을 우선순위가 높은 보안사고 관리에 맞게 만들어야 한다. 이로써 랜섬웨어 공격에 대응할 때 조직의 업무를 간소화하고 직원과 고객 양쪽에 서비스를 복원할 수 있는 능력을 갖춰야 한다.

다섯째는 사이버침해 예방 정책 및 직원 교육 확대다. 피싱 이메일은 가장 흔한 랜섬웨어 전달 통로다. IT리더는 강력한 직원 사이버침해 예방 절차를 마련하고 직원들에게 최신 보안 위협을 교육해 랜섬웨어가 그들의 네트워크에 침입하는 것을 예방하도록 도울 수 있다. IT리더는 그 일환으로 강력한 통제, 이메일 게이트웨이, 네트워크 경계 정책을 시행할 수 있다.

여섯째는 빠른 취약점 관리 및 패치다. 페트야 악성코드가 악용한 취약점은 지난 3월 그리고 이번주 위험도 '심각(critical)'으로 분류돼 발표된 패치로 이미 해결됐다. 강력한 보안취약점 관리 방식을 통해 이같은 사이버침해 위협에 악용될 여지를 줄일 수 있다.

■"내부망도 보안관리 주의, 최신 업데이트 상시 적용하라"

지난 28일 정부도 국내 개인 사용자와 기업 최고정보보호책임자(CISO)을 대상으로 랜섬웨어 공격 피해를 입지 않도록 조치하라고 당부했다.

정부의 권고 사항은 4가지였다. 첫째는 윈도 OS 및 백신프로그램 등 소프트웨어 최신 업데이트다. 둘째는 중요 자료를 네트워크에서 분리해 별도 장치에 백업하라는 것이다. 셋째는 의심스러운 이메일 또는 파일 다운로드에 주의하라는 것이다. 넷째는 불필요한 공유폴더 설정 해제 등의 보안 관리 조치다.

정부 발표에 따르면 페트야는 내부망 전파를 목적으로 제작된 것으로 추정된다. 앞서 언급한대로 지난 5월 워너크라이 랜섬웨어와 동일하게 윈도 SMB 취약점 패치를 적용하지 않은 시스템을 공격해 감염시킬 수 있다.

SMB 취약점 외에, 내부망의 '보안관리가 허술한 공유폴더'를 대상으로 감염 및 전파하는 능력도 지닌 것으로 파악됐다. 내부망 IP가 공인 IP로 설정됐을 경우 외부 인터넷을 통한 확산도 가능하다.

관련기사

이런 설명은 미래창조과학부와 한국인터넷진흥원(KISA)이 악성코드 샘플을 확보하고 분석한 국내외 백신업체와의 협력하고 있다면서 제시한 것이었다. 미래부는 랜섬웨어 감염이 의심되는 경우 KISA(국번없이 118번)에 즉시 신고해 달라고 밝혔다.

미래부 송정수 정보보호정책관은 "지난 워너크라이 사고 때도 개인 및 기업의 적극적인 예방조치로 상당수 피해를 예방할 수 있었다"며 "국내외 유관기관과 긴밀한 공조를 통해 유사시 사고 대응을 위한 대비에 만전을 기하고 있다"고 말했다.