지난 주말 '워너크라이'가 세계를 강타했다. 랜섬웨어 공격 역사상 최대 규모다. 윈도 운용체계의 파일공유(SMB) 원격코드 취약점 악용과 '네트워크 웜'으로 감염시켰다. PC나 서버가 인터넷에 연결되는 것만으로도 감염되기 때문에 빠른 확산이 가능했다.
반면에 국내 피해는 크지 않았다. 이유는 3가지로 분석된다. 업무가 끝나가는 금요일 오후 늦게 공격이 시작돼 많은 접속이 일어나지 않았고, 인터넷진흥원과 미래부를 중심으로 해외 사례를 언론에 발표하고 대국민 행동요령 등 적절한 조치가 빠르게 취해졌다. 우리나라가 이번 워너크라이 주공격 대상이 아니었던 것도 원인이다.
워너크라이 공격이 시작된 지난 금요일부터 이번 주 화요일까지 5일 동안 한국랜섬웨어침해대응센터에 신고된 랜섬웨어 피해 건수는 187건인데 이 가운데 워너크라이는 8건이다. 반면에 '케르베르6' 106건, '세이지2.2' 52건 등 다른 강력한 랜섬웨어가 80%를 차지했다. 워너크라이가 지나갔다고 안심해선 안되는 이유다. 2015년 4월과 2016년 6월 대형 커뮤니티 사이트에 대규모 피해를 입혔던 전례로 볼 때 조만간 대규모 공격이 있을 것으로 예상된다.
랜섬웨어 등장 이후로 세계 보안회사들이 전전긍긍하고 있다. 왜냐하면 랜섬웨어 해커그룹들이 기존 보안회사의 암호화 기술을 채용함과 동시에 방어기술을 철저하게 분석하고 무너뜨렸기 때문이다. 동일한 패턴으로 공격하지 않고 'DLL인젝션' 방식으로 우회했고, 사람과 동일하게 암호화 행위하는 공격으로 진화했으며 더 이상 미끼파일을 물지 않는다.
방어기술을 개선하면 해커는 신속하게 패치하고 고도화한다. 즉, 현재 보안기술은 랜섬웨어 해커의 발 아래 있다. 많은 보안회사에서 자신의 랜섬웨어 방어기술이 가장 완벽하다고 광고하지만 실패 책임에 대한 보상각서를 요구하면 뒤로 물러선다. 새로운 공격방법에 의한 첫 번째 희생자 때문이다. 그렇다면 해결방법은 없는가.
근본적인 문제 해결을 위해서는 해커 관점에서 바라봐야 한다. 랜섬웨어 해커가 가장 두려워하는 것이 무엇일까. 해커 자신의 신변보호과 랜섬웨어 방어기술도 그리 문제가 안된다. 가장 두려운 것은 감염시켰음에도 불구하고 피해자로부터 돈을 받지 못하는 것이다.
여기에 해결책이 있다. 피해를 당하더라도 해커에게 돈을 보내지 않는 것이다. 해커 입장에서 돈을 받지 못하는 국가를 공격해봐야 기회이익 상실이다. 이를 위해서는 철저한 사전준비가 필요하다.
해커와 거래 불법화를 위한 사전준비 중 첫 번째가 중요한 데이터를 안전하게 백업받아 놓는 것이다. 해커가 두려워하는 기술은 방어기술이 아니라 데이터 백업기술이다. 해커 수익의 원천인 암호화된 파일이 즉시 복원되고 백업저장소의 해킹이 불가능하기 때문이다. 지난 2년 간 대응센터에 접수된 랜섬웨어 피해 7500건의 공통점은 백신은 설치했지만 백업은 해두지 않았다는 점이다.
이번 워너크라이 사태 직후 도널드 트럼프 미국 대통령은 국토안보보좌관에게 긴급대책회의를 지시할 정도로 중대 사안으로 보고 있다. 우리 정부도 정보화 사회의 근간이 되는 사이버보안의 중요성을 다시 한번 인식하고 보안업데이트 등과 같은 대국민 홍보 수준의 대책이 아니라 다면적이고 종합적인 대책 수립에 나서야 한다.
랜섬웨어 방어기술로 등장한 데이터 백업 기술을 포함해 새로운 보안기술이 관련 법과 제도, 인증의 벽 앞에서 멈추고 있다. 한편으론 외산 보안제품 점유율이 50%를 넘어서는 심각한 수준이다. 빠르게 변화하는 공격에 한두해 전에 개발된 보안기술은 취약하다. 특단의 조치가 필요하다. 중요한 산업기술 자료를 많이 보유하고 있지만 정보보안에 대해서는 자금, 인력, 정보가 부족한 중소기업 지원을 위한 조치가 시급하다. 이번 위기를 우리 사회의 취약한 정보보안을 다지는 기회로 바꾸자.
이형택 한국랜섬웨어침해대응센터장, 이노티움 대표
원문보기