워너크라이 랜섬웨어로 전 세계에서 막대한 피해가 발생했지만, 랜섬웨어의 위험성을 일반에게 알려줬다는 점은 긍정적으로 해석되기도 한다. 특히 랜섬웨어는 다양한 변종이 등장하기 때문에 이번에 유포된 워너크라이 랜섬웨어가 시들해진다 해서 안심할 일도 아니다.

워너크라이 공격자라고 주장하는 섀도우브로커 해킹그룹은 이번 사태를 촉발시킨 미 국가안보국(NSA)가 만든 공격툴을 6월 유료 서비스로 판매할 것이라고 예고해 앞으로 더 지능화된 공격이 빈번하게 발생할 가능성을 시사했다.

워너크라이는 NSA가 윈도우 취약점을 이용해 만든 ‘이터널블루’ 해킹툴을 이용해 만든 것이며, 섀도우브로커는 지난해 8월 이를 훔쳤다고 주장했으며, 온라인으로 소스를 공개했다. 이들은 탈취한 공격툴을 러시아, 중국, 이란, 북한 네트워크에 피해를 입힐 수 있고, 스마트폰, PC, 라우터, 브라우저 등을 공격할 수 있다고 주장하고 있다.

악성코드 감염 방지…취약점 제거 해야

랜섬웨어는 앞으로 더욱 극성을 부릴 것으로 예상된다. 이번 워너크라이 랜섬웨어를 통해 세계 전체 인터넷 사용자를 공포에 떨게 만들 수 있다는 것을 증명한 만큼, 공격자들은 다양한 목적을 위해 랜섬웨어 공격을 진행할 것이다.

금전적인 목적 혹은 정치·사회적인 목적을 위해 랜섬웨어를 이용할 것으로 예상된다. 공격자들은 보안 시스템을 우회해 공격을 진행하는 한편, 관리가 소홀한 시스템을 대규모로 노릴 수 있다. 보안 의식이 없는 사람들이 사용하는 드론, 스마트TV, 스마트폰, 스마트 가전기기, 스마트 헬스케어 등이 타깃이 될 수 있으며, CCTV는 이미 지난해 미라이 사고를 통해 대규모 봇넷 구성이 가능하다는 사실을 입증한 바 있다.

랜섬웨어는 악성코드 혹은 취약점을 이용해 공격을 진행하기 때문에 악성코드 감염 예방과 취약점 제거를 위해 노력해야 한다. 안랩은 17일 PC사용자, 스마트폰 사용자, 웹사이트 및 IT관리자를 위한 랜섬웨어 예방 수칙을 카드뉴스로 제작해 랜섬웨어에 대한 경각심을 일깨우고 충분한 방어 태세를 갖춰 피해를 예방하도록 하고 있다.

PC는 사용 중인 백신과 소프트웨어 최신 업데이트를 진행하고, 주기적으로 데이터를 백업하며, 보안 취약 사이트 방문을 자제하고 이메일 내 수상한 파일 실행을 금지한다. 스마트폰은 문자 메시지 혹은 SNS 내 URL 실행을 자제하고, 앱 다운로드 시 공식 마켓 평판을 확인하며, 스마트폰 백신을 설치하고 최신 버전을 유지하는 한편, 기기관리자 권한 등록에 주의해야 한다.

또한 웹 사이트와 IT 관리자는 웹사이트와 PC 관리를 강화하고, 광고 서버를 관리하며, 임직원 교육과 최적화된 보안 환경 구축이 중요하다.

안랩은 워너크라이 사전예방툴을 무료로 제공하고 있으며, V3 사용 고객이 아니더라도 누구든 다운로드 받아 이용할 수 있다. 사용자는예방 툴로 예방조치를 취한 후에, V3 등 백신 최신 엔진 업데이트와 실시간 검사를 활성화하고 윈도우 최신 보안 패치를 반드시 적용해 변종공격을 당하지 않도록 주의해야 한다.

철저한 데이터 보안으로 랜섬웨어 방어

랜섬웨어는 데이터를 무단으로 암호화하고 돈을 요구하는 공격으로, 데이터의 무단 암호화를 방지하거나 백업으로 데이터 유실을 방지할 수 있다. 데이터를 보호할 수 있다면 랜섬웨어에 감염됐다 해도 피해를 막을 수 있다.

엔드포인트 침해 탐지 및 대응(EDR) 솔루션의 경우 시그니처 기반 엔드포인트 보안 솔루션이 탐지하지 못하는 신변종 악성코드로부터 시스템과 데이터를 보호할 수 있다. ICS/SCADA, POS, ATM, 의료기기 등 강력한 보안이 요구되지만 관리가 취약한 시스템의 경우 화이트리스트 기반 통제 기술이 적합하다. 드론·센서·스마트 가전 등 IoT에 연결되는 디바이스도 허용된 기능만을 수행하는 화이트리스트 통제로 공격자가 마음대로 기기를 제어하지 못하도록 할 수 있다. 카본블랙의 신뢰기반 보안 솔루션 ‘프로텍션(Protection)’이 대표적인 화이트리스트 방식의 보안 솔루션이다.

DLP와 EDR 기능을 제공하는 디지털가디언은 파일의 변경·이동 이력을 추적하고 기록하며, 무단 변경을 감지하고 차단해 랜섬웨어와 같은 불법적인 파일·데이터의 변경을 막을 수 있다. 디지털가디언은 6월 APT 방어 기능을 추가한 신제품을 출시하고 엔드포인트 보안 시장을 강력 공략할 예정이다.

백업은 랜섬웨어 피해 예방을 위한 가장 확실한 방법이다. 단 네트워크에 연결돼 실시간으로 백업되는 방식은 암호화된 데이터가 동기화 되기 때문에 랜섬웨어 피해를 예방할 수 없다. 백업 시스템은 단말과 분리해 정기적으로 백업을 수행해야 피해를 최소화 할 수 있다.

문서중앙화 역시 랜섬웨어 피해 최소화를 위한 방법으로 제안된다. 파일 동기화 방식의 문서중앙화는 암호화된 데이터가 중앙 서버에 저장되거나 중앙 서버로 랜섬웨어 악성코드가 감염돼 모든 문서를 암호화 할 수 있다. 따라서 문서중앙화 프로세스만을 실행하도록 신뢰기반 정책을 적용하고, 악성코드가 문서중앙화 시스템으로 유입되지 않도록 주의해야 한다.