Home > 전체기사
2017년의 워너크라이, 사물인터넷 장비 노리기 시작했다
  |  입력 : 2020-09-28 17:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워너크라이, 2017년에 나왔는데도 아직까지 수많은 피해를 일으켜
사물인터넷 장비의 중요도 올라가면서 이를 노리는 랜섬웨어 공격도 많아져


[보안뉴스 문가용 기자] 랜섬웨어 공격이 심상치 않은 수준으로 늘어나고 있다. 보안 업체 소닉월(SonicWall)은 미국이 2020년 전반기 동안 109% 늘어난 랜섬웨어 공격에 시달렸다고 발표했다. 랜섬웨어는 저비용으로 실시하고 많은 수익을 올릴 수 있는 고효율 사이버 공격이기 때문에 많은 사이버 범죄자들이 선호하고 있으며, 그것이 최근 수면 위로 드러난 상황인 것이다.

[이미지 = utoimage]


현재까지 랜섬웨어에 주요 표적은 컴퓨터 시스템들이었다. 하지만 그것이 최근에는 사물인터넷으로 조금씩 옮겨가고 있는 추세다. 기업 환경에서 보다 많이 사용되는 추세이지만, 그만큼의 가시성 확보 노력은 부족하며 보안 기능도 시원찮아 적은 노력으로 큰 효과를 거둘 수 있기 때문이다. 고효율과 고효율이 만난 것이다.

게다가 사물인터넷 장비의 보안 문제를 누가 책임져야 할 것인가, 하는 문제에 대해 아직 제대로 된 답이 나오지 않은 상황이기도 하다. 현재까지는 제조사가 책임을 져야 한다는 쪽으로 여론이 많이 형성되어 있는데, 사용자가 책임질 부분도 분명히 존재한다는 것이 간과되어서도 안 된다.

세상에 존재하는 수많은 랜섬웨어 중 가장 유명하고 파괴력도 막강한 것은 워너크라이(WannaCry)라고 할 수 있다. 현재까지 약 150개 국가에서 20만 대 이상의 컴퓨터를 마비시킨 것으로 알려져 있고, 그 피해는 수십 억 달러를 넘는다고 추정된다. 워너크라이는 이터널블루(EternalBlue)라는 취약점을 익스플로잇 하는 것으로도 잘 알려져 있다.

워너크라이가 처음 발견된 건 2017년 5월의 일이다. 그러나 현재 미국에서 보고되는 랜섬웨어 사건의 절반이 아직도 워너크라이와 관련되어 있다고 한다. 처음 나왔을 당시에도 ‘윈도를 패치하지 않아서 당하는 것’이라는 지적이 나왔음에도 아직까지 워너크라이가 활개를 친다는 건, 여전히 사용자들이 패치 노력이 부족하다는 뜻이 된다. 이런 상황에서 사물인터넷 장비의 보안 책임이 온전히 제조사에만 있다고 할 수는 없다.

워너크라이 얘기하는데 왜 갑자기 사물인터넷? 이렇게 생각하는 보안 전문가들이 꽤 있을 것으로 여겨진다. 워너크라이가 최근 사물인터넷 장비를 노리기 시작했기 때문이다. 2019년 유럽의 한 병원의 초음파 장비들이 랜섬웨어에 감염됐었다. 이 장비들과 네트워크로 연결된 장비들에서도 감염이 발생했다. 전부 오래된 MS 윈도 OS를 기반으로 한 것들이었다. 병원은 장비가 너무 비싸 ‘윈도 업그레이드를 해도 정상적으로 작동한다’는 제조사의 워런티가 없는 상황에서 패치를 진행할 수 없었다. 심지어 그 가격 문제 때문에 최신 장비로 대체하는 것도 고려할 선택지가 아니었다.

그런 상황에서 워너크라이가 침투했고, 각종 치료 장비들이 먹통이 되기 시작했다. 그러나 병원은 빠르게 대처해 피해를 최소화 하는 데 성공했다. 해당 병원의 움직임을 순서대로 정리하면 다음과 같다.

1) 먼저 병원은 이미지 처리 기계들에서 랜섬웨어 감염이 있었다는 걸 확인했다.
2) 그러면서 부인과에 있던 초음파 장비들을 전체 네트워크에서 분리했다.
3) 공격자가 이런 장비들에 저장된 데이터를 가져갈 경우와, 공격자가 장비를 장악해 제어할 수 있게 되는 시나리오를 막기 위해서였다고 한다.
4) 떼어낸 장비들을 대상으로 트래픽 캡처 분석을 실시했다. 상당량의 데이터가 장비로 흘러가고 있음을 발견했다. 특히 445번 TCP 포트를 통한 SMB 관련 트래픽이 많았다.
5) 이 포트는 이터널블루를 활용한 워너크라이가 자주 다니는 길목이었다. 병원은 이를 바탕으로 워너크라이를 특정해 방어를 시작할 수 있었다.
6) 그러나 패치나 업그레이드가 불가능했기 때문에 감염의 원인이 된 부분들을 근원부터 제거할 수는 없었다. 그래서 감염된 장비들에 적절한 보안 조치를 취해 그대로 사용했다.
7) 워너크라이에 감염은 되어 있으나 기능은 제대로 발휘하고 있었기 때문에 감염이 퍼져 가거나 정보가 유출되지 않은 채 사용할 수 있었다.
8) 또한 이 장비에 대한 모니터링 수위를 높였고, 언제 터질지 모르는 보안 사고에 대한 경계심도 높였다.

랜섬웨어 공격이 앞으로 거세질 거라는 건 보안 업계 누구나가 동의하는 바다. 게다가 사물인터넷 장비들도 늘어나고 있어 앞으로 우리의 사이버 공간은 점점 더 위험천만한 곳으로 변할 것이 확정적이다. 워너크라이와 같은 옛적의 위협도 현대화를 거치고 있어 전망은 밝지 않다.

위 병원의 사례는 영구적인 대처가 될 수 없다. 그들은 폭탄처럼 워너크라이를 보유한 채 매일의 업무를 이어가고 있다. 그 때문에 쏟는 유지 관리 비용과 정신적 부담감은, 그 비싼 초음파 장비보다 싸지 않을 것이다. 다만 그 비용이 한 번에 나가는 것이 아니라 잘 모를 뿐이다. 앞으로 사이버 공간이 더 위험해질 것이 분명한데, 우리는 보다 근원적인 대처법을 마련해야 한다.

그렇기 위해서는 제일 먼저 현재의 시스템 및 펌웨어 상황을 파악하고, 각 요소들이 어떤 방식으로, 또 어떤 주기로 업데이트 되는지도 검토해야 한다. 특히 업무의 최전선에서 꼭 필요한 장비들이 어떤 상태인지 파악하는 건 대단히 중요하다. 해커들이 주로 노릴 것도 바로 이러한 장비들일 것이기 때문이다.

랜섬웨어는 진화한다. 그리고 지금의 코로나보다 더 끈질기게 우리 사회의 질병으로 남아있을 것이다. 그렇다면 우리도 그에 맞는 대응을 해야 한다.

글 : 에드 콜러(Ed Koehler), CTO, Nortel
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상