워너크라이 랜섬웨어와 MS 윈도 업데이트, 그리고 사용자의 환경에 대한 고찰..
요 며칠 사이에 전세계를 강타하고 있는 바이러스가 있다. 컴퓨터 바이러스라고 해도 되고 이쪽 전문용어로는 랜섬웨어(Ransomware)라고 부르는데 중요한 파일을 해커만 아는 키로 암호화하고 암호화된 내용을 볼모로 돈이나 뭐 다른 것을 요구하는 악성코드의 하나로 보면 된다. 트로이목마의 일종이라고도 부르기도 하는데 어찌되었던 이 랜섬웨어는 다른 랜섬웨어와 달리 워낙 파급력이 엄청나서 전세계적으로 난리도 아니다.
다름아닌 워너크라이(WannaCry), 또 다른 이름으로 워너크립토(WannaCryptor)라고 불리는 랜섬웨어다. 워너크라이(WannaCry)라는 이름은 Want to cry의 줄임말일진데 이 랜섬웨어에 걸린 피해자들이 울기를(?) 원해서 그런 이렇게 이름을 지은 것인지 모르겠다. 어찌되었던 이 워너크라이 랜섬웨어가 요 며칠 사이에 전세계를 강타하고 있으며 그 피해도 상당한 듯 싶다.
일반 랜섬웨어와 다른 동작방식의 워너크라이 랜섬웨어
워너크라이 랜섬웨어의 특징은 윈도(Windows) OS의 취약점을 이용하여 공격을 한다는 점이다. 보통 일반적인 랜섬웨어는 악성코드가 감염된 어떤 특정 파일을 실행시키게 되면 동작되는 것이 일반적인 방식이다. 그래서 스팸메일을 통해서라던지 아니면 토랜트나 웹 서비스의 게시판에 이 랜섬웨어 실행 악성코드 프로그램을 업로드 시켜서 사용자들로 하여금 다운로드 받아서 실행하도록 유도하는 것이 일반적인 랜섬웨어 동작 방식이다.
그런데 이 워너크라이는 그런 방식이 아닌 윈도 OS의 취약점을 이용하여 내가 랜섬웨어 어플을 실행하지 않더라도, 아니 다운로드 받지 않았음에도 불구하고 이 랜섬웨어에 피해를 입게 되는 상황을 만들어낸다. 그래서 그 확산속도가 빨랐고 그 피해도 상대적으로 더 엄청난 것이 아닌가 싶다. 워너크라이의 동작 방식은 안랩의 블로그 글을 확인해보면 알 수 있다. 간단히 말하면 윈도 OS의 SMB(서버 메시지 블럭) 취약점을 악용한 공격이라는 얘기다. 기술적인 얘기는 안랩 블로그의 내용을 참고하길 바란다.
워너크라이 랜섬웨어가 문제가 된 이유는 앞서 얘기했던 것처럼 랜섬웨어 어플리케이션의 존재여부와 상관없이 같은 네트워크 안에서 워너크라이 랜섬웨어 프로그램이 있고 동작을 실행하면 해당 숙주에 네트워크로 연결되어 있는 다른 윈도 OS가 탑재된 PC에 영향을 미친다는 것이다. 주요 대상은 전 윈도 OS가 다 포함되며 MS가 SMB에 대한 취약점에 대해서 지난 3월인가에 취약점 패치 보안 업데이트를 진행했는데 그것을 적용하지 않은 윈도 OS는 다 감염 대상이 된다고 보면 된다. 즉, 꾸준하게 윈도 업데이트를 진행하지 않았던 윈도 OS를 탑재하고 있는 PC나 서버는 이 워너크라이의 밥이 된다는 것이며 생각보다 그런 밥들이 많다는 것이 문제라는 얘기다.
일단 워너크라이 랜섬웨어 자체는 어떤 보안업체 직원의 노력에 의해 킬스위치(동작을 죽이는 액션)를 찾아서 어느정도 잦아든 상태다. 그런데 이 워너크라이의 다양한 변종 랜섬웨어들이 수백개가 양산되어 다시 돌아다니고 있다는 얘기가 돌고 있다. 1차 폭풍은 어느정도 지나갔으나 2차 폭풍이 다가오고 있다는 얘기다. 이에 대비해야 할 필요는 있어 보인다.
업데이트가 잘 안이뤄진 윈도가 워너크라이 랜섬웨어의 먹이감이 되었는데..
개인용 PC는 좀 사정이 괜찮지만..
이 워너크라이로 인해 윈도 OS에서 제공하는 업데이트 정책에 대해서 이런저런 얘기가 나오고 있는 것이 사실이다. 일반적으로 보통의 개인용 PC나 업무용 PC에서는 윈도 업데이트를 자동 업데이트로 해둔다. MS에서 보안 패치 업데이트 등이 나오면 자동으로 인식하여 적용한다는 얘기다. 그리고 내 경우에는 하루에 한번씩 습관적으로 윈도 업데이트에 들어가서 업데이트가 있는지 확인한다. 그런 덕분인지 내 경우에는 이 워너크라이 랜섬웨어로부터 어느정도는 안전하다고 볼 수 있다.
서비스 사정으로 인해 업데이트가 원활치 못한 기업형 윈도 서버들은 위험이..
그런데 앞서 언급했듯 이런 MS에서 제공하는 업데이트를 제대로 하지 않는 경우도 많다. 특히나 서비스 서버로 제공하는 윈도 서버가 그런 경우가 많은데 보통 윈도 업데이트를 진행하면 업데이트의 종류에 따라서 OS 재부팅(즉, PC나 서버를 재시작)해야 하는 경우가 있다. 그런데 해당 장비가 중요한 서비스를 제공하는 장비고 셧다운이 허용되지 않는 장비라면 이중화 등의 대비책이 없는 상황에서는 재시작을 할 수 없다. 재시작을 하는 시간동안 서비스가 불통이 되기 때문이다. 그래서 수많은 윈도 서버들이 업데이트가 제대로 진행되지 않고 방치되어있는 경우가 많다. 이번 워너크라이 랜섬웨어의 경우 개인용이나 업무용 PC에서도 문제가 되었지만 더 심각한 문제는 이런 윈도 서버들 중 업데이트가 제대로 진행되지 않은 윈도 서버들의 피해가 만만치 않다는 것이다.
어떤 OS든 완벽할 수 없다. 그리고 많이 사용하는 OS일수록 더 많은 위협에 노출이 된다. 윈도용 악성코드가 많은 이유도 안드로이드에 악성코드가 많은 이유도 가장 많이 사용되는 OS이기 때문에 그렇다. 그렇기 때문에 MS는 매번 주기적으로 이런 위협, 취약점에 대한 버그 패치 업데이트를 내놓는다. 그리고 가끔은 업데이트가 문제를 일으키기는 하지만 어지간한 버그 패치 업데이트는 검증을 거친 업데이트이기 때문에 설치해서 취약점을 방지하는 것이 중요하다. 그런 PC도 서버도 다 마찬가지라고 본다.
하지만 위에서 언급한 것처럼 서비스 제공용 서버로 쓰는 경우에 이중화 등으로 대비책을 마련해두지 않은 상태라면 무척이나 난감한 상황이 생긴다. 하지만 어쩔 수 없다. 서비스 서버는 늘 이중화 등을 진행해서 장애에 대한 대비책을 세워둬야 한다. 그리고 주기적으로 점검을 통해 항시 최신의 OS 상태를 유지해둬야 한다. 안티 바이러스를 설치하고 있다면 당연히 그 안티 바이러스의 정보도 최신으로 유지해야 하고 말이다.
업그레이드에 대한 투자가 부담스러운 기업들의 안일한 생각이 문제를 키울 수도..
문제는 MS의 지원이 끊긴 옛날 윈도를 그대로 사용하고 있는 경우다. 지금 MS에서 제공하고 있는 윈도는 윈도 10이며 윈도 10도 빌드 버전에 따라 MS의 지원여부가 갈린다. 그리고 현재까지는 윈도 8.1까지는 MS가 업데이트를 제공해고 있지만 윈도 7 이하의 윈도 OS는 공식적으로 MS의 업데이트 지원이 끝난 상태다. 물론 윈도 7의 경우 서비스팩을 설치한 경우라면 어느정도 지원을 받을 수 있는 것으로 알려져 있기는 하다. 어찌되었던 MS의 공식적인 지원이 끝난 OS를 아직까지 사용하는 경우에는 위의 워너크라이 랜섬웨어의 맛난 먹이감이 된다.
그런데 생각보다 옛날 윈도를 사용하고 있는 사람들도, 기업들도, 또 서버들도 많다는 점이다. 이유는 윈도 OS가 유료 OS이기 때문에 최신 버전으로 업그레이드를 하는데 있어서 돈이 들어가기 때문에 아깝다는 생각으로 안하는 사람이 있을 수 있다. 뭐 인터넷만 사용하고 지금 사용하는 앱들이 동작되는데 별 문제만 없다면 최신 윈도 OS를 사용하지 않아도 쓰는데는 무방하다고 생각을 한다. 이것은 보통 윈도 OS가 PC나 노트북을 살 때 함께 설치되어 나오기 때문에 뮤료 제공이라는 오해가 있어서 생긴 문제일 수 있다(엄밀히 따지면 무료가 아니다. 살 때 OS 값까지 다 포함되어 있다).
기업의 경우에는 좀 이유가 다양할텐데 하나는 사장의 마인드가 그냥 사용하는데 문제만 안되면 그냥 써라 하는 마인드인 경우에는 윈도의 업그레이드 없이 계속 쓰게 하는 경우다. MS의 정책이 개인보다는 기업에 더 엄격히 적용되기 때문에 한번 설치한 윈도 OS를 사골 우려먹듯 계속 쓰게 하는 것이다. 솔직히 최악의 사장 마인드라고 보여진다.
또 다른 이유는 기업 안에서 사용하는 기업용 어플리케이션이 해당 OS에 최적화되어 다른 최신 윈도 OS에서 동작하지 않을 경우 어쩔 수 없이 예전의 윈도 OS를 고수하는 상황이다. 관공서 등에서 사용하는 프로그램 중 특정 OS나 웹브라우저 버전에 최적화되어 동작하는 프로그램들이 상당수 존재하고 있는 것으로 알고 있다. 기업용 프로그램도 마찬가지다. 그래서 최신으로 업그레이드 하고 싶어도 업무환경이 못받쳐줘서 못하는 경우가 많다. 그리고 보통 그런 업무용 프로그램을 자체적으로 만들지 않고 SI를 통해서 만드는데 최신 OS용으로 업그레이드 하는데 있어서 추가비용이 들어가니 그냥 쓰자는 생각도 있을 것이다. 이건 앞서 얘기한 최악의 사장 마인드와 비슷한 상황이다. 그런데 생각보다 기업에서 이런 경우가 많다.
가급적 최신의 OS와 업데이트 상태를 유지하는 것이 안전하다
뭐 어찌되었던간에 이번 워너크라이 랜섬웨어 사태를 보면서 느낀 것은 어떤 사정이 있던간에 문제가 터지면 그 피해는 무지막지하고 크게 후회를 하니 사전에 돈을 들여서라도 OS와 업데이트 상태는 최신을 유지하는 것이 바람직하다는 것이다. 물론 각자의 사정이 존재하기는 하겠지만 그렇다고 OS 업그레이드 비용이 아깝다고 사용하고 있는 어플리케이션의 고도화에 비용과 시간이 아깝다고 버티면 말 그대로 똥이 되고 비용과 시간에 투자한 것에 10배 이상의 손해를 볼 수 있다는 것을 알아야 할 듯 싶다.
그것이 싫다면 이런 워너크라이 랜섬웨어 같은 악성코드가 동작하지 않는 OS(예를 들어, 리눅스나 MacOS 등)로 갈아타던지. 아.. MacOS를 사용하려면 맥 제품만 되니 맥 제품을 사는데 돈이 더 들어가겠구나. 리눅스도 리눅스에 맞춰서 관련 어플리케이션을 구입하거나 구축해야 하는데 그것도 만만찮게 돈이 들어갈테고. 뭐 어찌되었던 안전한 PC 사용환경을 만들거나 유지하기 위해서는 돈이 들어가야 하는데 그것을 아깝다고 생각하면 안되는 시대가 이제는 왔다는 생각이 든다.
워너크라이 랜섬웨어도 북의 소행?
그리고 이건 좀 다른 얘기기는 한데 이번 워너크라이 랜섬웨어에서 북의 소행이 의심되는 정황이 포착되었다고 한다. 예전에 북에서 만든 악성코드의 흔적들이 워너크라이 랜섬웨어 피해 흔적에 담겨있다는 것이다. 물론 워너크라이 랜섬웨어를 만든 해커가 과거 북의 해킹 방식이나 소스를 가져와서 커스터마이징해서 만들었을 수도 있고 아니면 정말로 북의 해커가 해외에서 만든 것일 수도 있다. 재미난 것은 국내 IT 관련 언론에서 북의 소행을 언급을 했는데 그냥 깡그리 무시되었다가 이번에 해외 보안업체인 시만택에서 발표하니 정설로 믿는 상황이 된 것이다. 그것 때문에 국내 IT 언론의 기자들이 자괴감(?)을 느끼고 있다는 루머아닌 루머가 돌고 있다. 어찌되었던 북의 해킹 기술도 예전부터 느꼈지만 어떤 의미에서 한국보다 더 무섭게 진화하고 있다는 생각이 든다.
워너크라이 랜섬웨어의 대비책은?
워너크라이 랜섬웨어에 대한 대비책은 KISA의 보호나라에서 제공하는 정보를 참고하면 될 듯 싶다. 그리고 앞서 언급했듯 사용하고 있는 윈도 OS가 8.1 이상이면 항상 최신의 업데이트 상태를 유지하고 안티 바이러스도 최신 상태로 유지하는 것이 맞다. 업데이트가 귀찮다면 자동 업데이트로 상태를 변경해라. 간혹 PC 사용을 종료할 때 업데이트 한다고, 또 부팅할 때 업데이트 한다고 시간을 잡아먹는 것이 좀 짜증나기는 하지만 그나마 덜 귀찮고 안전을 도모하는 방법이다. 그리고 그 8.1 이하의 윈도 OS를 사용하고 있다면 이 기회에 최신의 OS로 업그레이드를 하는 것을 좀 심각하게 고려해보는 것이 좋을 듯 하다.
물론 내가 MS의 직원도 아니고 그쪽으로부터 뭘 받고 이 글을 쓰는 것은 아니지만 MS의 공식 지원이 끝난 OS는 언제든 해커들의 놀이터가 될 수 있다는 사실을 알아야 한다. 언제든지 폭발할 수 있는 폭탄을 안고 살고 있다는 얘기다. 그게 싫으면 앞서 얘기했던 것처럼 비 윈도 OS를 사용하면 된다(이 기회에 우분투 리눅스나 맥으로 옮겨보는 것도 방법일 듯). 어찌되었던 늘 폭발 위험을 갖고 있는 폭탄을 갖고 사는 것은 그닥 바람스럽지 않다는 생각이 든다.
쓰다보니 이것저것 얘기가 짬뽕으로 섞이게 되었다. 결론은 위에서 언급한 것처럼 윈도 OS를 사용하고 있다면 가급적 최신 OS를 사용하고 업데이트도 항상 최신을 유지하며 안티 바이러스 역시 최신의 상태를 유지하는 것이 좋다는 것이다. 그리고 이건 윈도가 아닌 다른 OS를 사용한다고 하더라도 마찬가지로 실행되어야 할 규칙같은 것이라 생각이 든다. 돈이 좀 들더라도 말이지.