Security

워너크라이, 그리고 패트야를 통해 본 랜섬웨어의 트랜드, 그리고 못난 인간들...

학주니 2017. 6. 30. 10:14
반응형

워너크라이(WannaCry), 패트야(Petya).. 요즘 인터넷을, 아니 보안 시장을 뜨겁게 달구고 있는 단어들이다. 이들 모두 랜섬웨어(Ransomware)의 일종으로 최근 급속하게 큰 피해를 주고 있는 녀석들이다. 한달 전에는 워너크라이로, 요 며칠동안은 패트야로 기업들이 몸살을 앓고 있는 중이다. 패트야는 지금도 진행중이기도 하고 말이다. 그리고 워너크라이나 패트야같은 랜섬웨어의 특징은 그 확산 방식과 범위가 기존에 언급되었던 랜섬웨어 수준이 아닌 더 엄청나고 크다는 점이다.

기존 랜섬웨어의 방식과 피해 범위

기존 랜섬웨어는 악성코드에 감염된 컴퓨터, 혹은 모바일 기기 안의 파일들을 암호화시키고 더 확장해서 네트워크 드라이브로 연결된 NAS나 컴퓨터의 파일을 감염시켜 암호화하는 것으로 피해를 줬다. 그래서 피해의 범위가 감염된 컴퓨터와 그것에 연결된 주변 정도였다. 그 주변이라는 것도 감염된 컴퓨터에서 보면 마치 자기 자신의 디스크처럼 사용할 수 있는 상황인 것이다. 좀 어려운 얘기일 수 있지만 네트워크 드라이브로 연결이 되면 물리적인 컴퓨터의 위치나 NAS의 위치는 자신이 쓰고 있는 컴퓨터에서 떨어져 있지만 컴퓨터 안에서 볼 때에는 논리적으로 마치 내 하드디스크를 쓰듯 연결되어 있는 상태다. 그러니 랜섬웨어인 악성코드는 네트워크로 붙어있으며 로컬 컴퓨터에서 작업하듯 할 수 있기 때문에 그냥 다 감염시키는 것이다.​


랜섬웨어에 감염되면 이렇게 돈을 달라는 문구가.. -.-;


하지만 워너크라이와 패트야의 공통점은 랜섬웨어 악성코드에 감염된 숙주에 연결된 네트워크를 타고 악성코드에 감염되어있지 않은 다른 컴퓨터나 모바일 기기에 악영향을 준다는 점이다. 기존 랜섬웨어는 네트워크로 연결이 되어 있다고 하더라도 네트워크 드라이브 등으로 연결되어 있지 않는 이상, 즉 직접적인 연결이 아닌 이상 숙주의 랜섬웨어가 영향을 주지 못했다. 연결된 컴퓨터에 접속할, 그 안에서 활동할 권한이 없기 때문이다(네트워크 드라이브로 연결된 경우에는 숙주가 된 컴퓨터에서 연결된 컴퓨터의 폴더, 혹은 하드디스크에 접속, 활동할 권한을 갖고 있다. 그래서 감염이 되는 것이다).

워너크라이, 패트야의 방식과 피해 범위

워너크라이의 경우 SMB(서버 메시지 블럭) 취약점을 악용하여 감염을 시킨다. SMB는 MS의 Windows OS에서 기본적으로 제공하는 서비스이기 때문에 기본적으로 다 설치가 되어서 제공되고 있다. 즉, 모든 Windows OS에는 기본 탑재가 되어 있다는 얘기다. 그 기본 탑재된 서비스의 취약점을 이용하여 악성코드에 감염되어있지 않았더라도 SMB 서비스를 통해 랜섬웨어가 동작을 하게 된다. 랜섬웨어에 감염되어있지 않더라도 말이다.

이게 중요한 점인데 워너크라이 랜섬웨어가 엄청난 피해를 주게 된 이유가 바로 이것 때문이다. 최신 OS 패치를 한 Windows의 경우에는 SMB의 취약점이 보완이 되었지만 MS의 지원이 끊긴 Windows XP나 Windows 7의 초기 버전(서비스팩 1 이전 버전으로 알고 있다) 등 취약점이 보완되지 않은 OS를 사용하고 있으면 자신이 연결되어 있는 네트워크 안에서 누군가 워너크라이 랜섬웨어에 감염이 되었다면 나는 감염이 안되어 있더라도 SMB 취약점을 이용하여 워너크라이 랜섬웨어가 내 컴퓨터에 들어와서 감염을 시킨다는 것이다. 왜? 랜섬웨어가 없더라도 취약점을 지닌 SMB 서비스가 랜섬웨어 역할을 해버렸기에 그렇다.

이번에 문제가 된 패트야도 마찬가지다. 워너크라이 랜섬웨어와 비슷한 방식으로 동작을 하는 것으로 알려졌다. Windows OS의 취약점을 이용했으며 동작 방식이 SMB 취약점은 아니고 윈도 관리도구 명령어(WMIC)나 원결 제어 툴인 PsExes를 통해 감염시키는 방식을 이용한다. 감염된 숙주 컴퓨터에 연결된 다른 컴퓨터에 MS가, Windows OS가 제공하는 서비스를 통해서 감염시키는 방식이 워너크라이와 비슷하다는 점에서, 또 앞서 얘기했듯 감염 대상자가 랜섬웨어에 감염되어있지 않더라도 기본 서비스의 취약점을 통해서 감염이 된다는 점에서 워너크라이 랜섬웨어와 비슷하고 그 피해 규모와 범위도 엄청나다. 어떤 점에서는 워너크라이 랜섬웨어보다 더 피해가 클 것이라고 얘기가 되고 있다.

패트야에 감염되면 아예 부팅이 안되는 상황이.. -.-;


또 패트야도 워너크라이와 마찬가지로 다양한 변종들이 벌써부터 나오기 시작했다. 워너크라이 랜섬웨어가 킬스위치가 발견되었고 그로 인해 조기에 잡혔다고는 하지만 그 변형이 나오면서 지금까지도 지속적으로 피해가 나오고 있는 상황이며 패트야는 아직까지 킬스위치가 밝혀지지 않은 것으로(킬스위치가 있다고 하는데 그게 제대로 동작하고 있는지 모르겠다. 킬스위치가 있다는 뉴스가 나왔음에도 불구하고 계속 피해 관련 뉴스들이 쏟아지는 것을 보면 말이지) 알고 있다. 이 상황에서 패트야의 변종이 2~3개가 더 있다는 뉴스도 나온 상황이니 아마도 지금보다 더 큰 피해가 있지 않을까 싶다.

OS 및 소프트웨어의 취약점을 노린 랜섬웨어 방식이 현재의 트랜드

요즘 나오고 있는 랜섬웨어의 특징인지도 모르겠고 또 이게 트랜드, 유행이라고 해도 맞을지 모르겠지만 좌우간 워너크라이도 그렇고 패트야도 그렇고 동작 방식 및 피해 범위가 기존 랜섬웨어와 다르며 그 이유가 랜섬웨어의 악성코드 동작 방식이 OS의 기본 서비스, 즉 이미 설치하면서 기본적으로 보유하고 있는 서비스를 이용한다는 것이다.

뭐 대부분의 악성코드 배포 방식이 웹서버의 취약점을 이용하던지, 플래시 등 OS의 기본 서비스가 아닌 웹 서비스를 위한 별도의 프로그램(웹 서버, ActiveX, 플래시, 자바 등)의 취약점을 많이 이용했다. 그렇기 때문에 해당 프로그램을 사용하는, 서비스를 이용하는 대상자에 대해 해당 프로그램을 이용하여 접속을 해야만 악성코드에 감염이 되는 상황이었다. 웹브라우저를 실행하고 해당 웹서비스에 접속을 해야만 악성코드에 감염이 되는 상황이라는 것이다. 즉, 접속을 하지 않으면 감염되지 않는다.

하지만 OS에서 기본적으로 제공하는 서비스는 정말로 기본적으로 실행이 된다. 부팅할 때 기본적으로 실행된다는 얘기다. 물론 OS 설정에 가서 해당 서비스를 끄고 지울 수 있다. 하지만 많은 사람들이 그것을 모르며 또 기본적으로 반드시 실행되어야 할 필수 서비스들도 존재하고 해당 서비스가 필수 서비스인지도 모르는 상황이기 때문에 그냥 다 실행한다. 게다가 OS를 만든 제조사가 제공하는 서비스이기 때문에 의심을 하지 않는다. 실제로 해당 서비스는 악성코드 서비스도 아니다.

하지만 모든 서비스가 다 완벽하지 않고 조금씩의 문제점을 다 갖고 있다. 워너크라이와 패트야, 그리고 요즘 나오고 있는 랜섬웨어들은 바로 이런 조금씩의 문제점들을 파악하고 그것을 통해 공격을 한다는 점이다. 이건 모르면서도 당하지만 알고도 당할 수 밖에 없는 상황이다. 그리고 앞서 얘기했듯 요즘의 랜섬웨어 트랜드가 바로 이런 Windows OS의 기본 서비스가 갖고 있는 취약점을 공략하는 방식을 채택하고 있기 때문에 향후 이런 랜섬웨어는 계속 나올 것이며 피해는 계속 커질 수 밖에 없는 상황이 될 것이다.

앞서 언급했듯 사람이 만든 서비스나 프로그램에는 100% 완벽이라는 것이 나올 수 없다. 어디든간에 헛점, 문제점은 존재하기 마련이다. 그래서 서비스든 프로그램이든 OS든 뭐든간에 제조사는 지속적으로 문제점을 발견하고 그것을 해결해주는 버그 패치를 제공한다. 또 버그가 해결된 차기 버전의 서비스나 프로그램을 제공하기도 한다. 그래서 늘 프로그램이나 OS, 서비스는 최신 버전을 유지하는 것이 중요하다고 한다. 바이러스 백신(안티 바이러스 프로그램)도 항상 최신 버전을 유지해야 하지만 OS의 상태도 항상 최신을, 또 자주 사용하는 프로그램도 가급적 최신 상태를 유지하는 것이 중요하다.

지금 문제가 되는 워너크라이나 패트야와 같은 랜섬웨어의 피해 상황을 보면 최신 버전의 OS가 아닌 예전, 즉 취약점이 그대로 존재하는 OS나 프로그램을 이용하는 컴퓨터라는 것을 알 수 있다.

예방 방법은 분명하지만 문제를 문제로 인식하지 못한 못난 인간들 때문에..

앞으로 나올 해커의 공격, 랜섬웨어를 통한 공격은 이런 OS나 어플리케이션의 취약점을 공략하는 방식이 주류가 될 것이다. 그렇다면 이런 공격, 위협에서 안전하게 내 컴퓨터와 그에 연결된 자산들을 지키기 위해서는 지원이 유지되는 최신의 OS를 사용하면서 동시에 항상 최신의 상태로 유지해야 한다.

여기서 딜레마에 빠지게 된다. 딜레마라고 할 수도 있고 한편으로는 이기적인 사업주들의 발악(?)이라고 해도 과언은 아닐듯 한데. 워너크라이 랜섬웨어에 대한 대비책을 얘기할 때 비슷한 얘기들이 나왔는데 최신의 OS와 최신의 프로그램을 유지하는 것에 대한 부담감이 기업이나 개인 입장에서는 무시할 수 없다는 것이다. 즉, 지금 사용하고 있는 서비스나 프로그램을 유지하는데 있어서 지금 상황도 문제가 없는데 돈을 더 들여야 할 필요가, 이유가 있느냐 하는 얘기를 한다. 이런 얘기는 기업들 중에서도 자금 사정이 안좋은 중소기업과 밴처기업 사이에서, 또 자영업자 사이에서 많이 나왔다. 1원도 아쉽기 때문에 쓸데없는 곳에 돈을 쓰기 싫다는 논리를 펴는 것이다. 하지만 이런 논리, 이런 생각이 결국 피해를 더 키우는 상황이 되고 있다.

랜섬웨어에 걸리면 결국 지 돈만 나가게 된다능 -.-;


OS나 소프트웨어를 제공하는 기업들은 해당 OS에 대해서 무한정 지원을 할 이유가 없다. 대부분의 OS나 소프트웨어에는 유지보수 기간이라는 것이 존재한다. 어떤 제품이든 무상수리기간이 있고 그 기간이 지나면 문제가 생겼을 때 돈을 주고 수리를 받아야 한다. 그리고 수리 가능 기간이 지난 상황에서는 더 이상 수리를 받을 수 없는 경우도 생긴다.

그건 Windows도 마찬가지다. 워너크라이 랜섬웨어 때 그랬는데 Windows XP를 쓰고 있는 컴퓨터나 모바일 기기가 상당히 피해를 많이 봤다. 그런데 문제는 Windows XP의 지원이 이미 MS에서는 끝난 상태였다는 것이다. Windows 7 역시도 서피스팩 1 이전 버전은 지원이 끝난 상태였다고 알고 있다. 그래서 SMB 취약점 패치를 이들 OS에는 제공되지 않았다. 왜? SMB 취약점 패치는 지원기간 이후에 나왔기 때문이다. 그래서 피해가 많았다. 물론 MS가 이례적으로 Windows XP에 대해서 워너크라이 랜섬웨어에 대한 패치를 내놓기는 했지만 원칙적으로는 MS는 Windows XP의 버그 패치를 내놓지 않아도 된다.

이런 상황이라면 자신이 피해를 보지 않기 위해서는 최신의 OS로 업그레이드를 하는 것이 맞다. 어떤 병원균에 대비하기 위해 예방주사를 맞는 것과 마찬가지라는 것이다. 물론 금액의 규모는 좀 다르기는 하겠지만서도.

그런데 그게 싫다면? 그러면 알아서 이런 위협에서 피할 수 있는 방법을 스스로 찾아야 한다. 랜섬웨어의 피해는 대부분 네트워크에 연결된 상태에서 벌어지니 네트워크의 연결을 끊고 사용하던지, 네트워크에 연결되어야만 한다고 하면 현재 문제가 되는 랜섬웨어의 피해 형태는 주로 Windows OS에서 일어나니 리눅스나 맥으로 갈아타던지(물론 최근 리눅스에서도 랜섬웨어 피해가 일어나기 때문에 리눅스가 안전하다고는 100% 장담 못한다) 해야 한다.

즉, 알아서 자구책을 강구하던지 해야 하는데 그것도 안하면서 MS가 문제니 랜섬웨어를 만든 인간들을 죽여야 하느니 한다. 물론 랜섬웨어를 만든 인간들을 박멸해야 하는 것은 맞는데 이들은 범죄자고 범죄를 저지르는 사람이 상대의 사정을 생각하고 범죄를 저지르지 않는다. 해커는 무차별적으로 공격하기 때문에 이들을 욕하는 것은 자유지만 이들 입장에서는 공격하는 것도 지들 자유이기 때문에 알아서 대응을 해야 한다는 것이다.

개인이든 기업이든, 또 법인이든 자영업자든간에 이런 부분에 있어서 둔감한 사람들이 있다. 또 자기에게 한푼이라도 더 가져가기 위해서 꼭 필요한 부분에 투자하지 않고 꼭 필요한 부분에서 줄일려는(물론 그들은 그게 꼭 필요한 부분이라고는 생각하지 않는다) 모습을 보이곤 하는데 그러다가 망하는 경우가 많이 보인다는 것을 알아야 할 듯 싶다.

눈에 보이는 이익이 중요하지만 지금 당장 눈에 보이는 이익이 아닌, 또 눈에 보이는 피해가 아닌 향후 문제가 될 가능성이 충분히 있는 이런 상태를 당장에 돈이 안된다고 놔두는(그러면서도 지들의 돈은 따박따박 받아 챙기는) 이런 사장이 있다면 그 회사는 언젠가는 이런 공격에 된통 당하고 심지어는 망하는 경우도 생기게 될 것이다.

맨날 ROI(투자 대비 효과)를 얘기하는데 ROI로 설명할 수 없는 그런 분야도 많다는 것을 알아야 하며 이런 시스템적인 투자는 나중을 위해서라도 반드시 실행해야 할 부분이 아닌가 싶다. 그게 싫다면? 앞서 얘기한 것처럼 알아서 자구책을 마련해서 알아서 피해야 한다. 그리고 피해를 당하더라도 할 말이 없다는 것을 알아야 할 것이다.

이번에 문제가 되고 있는 패트야 랜섬웨어는 감염되어 파일이 암호화 된 상황이라면 다시 복구가 아예 불가능하다는 문제점도 있기 때문에 더더욱 조심을 해야 할 상황이기도 하고 말이다.

반응형