[칼럼]워너크라이 위기를 정보보호의 기회로 바꾸자
상태바
[칼럼]워너크라이 위기를 정보보호의 기회로 바꾸자
  • 데이터넷
  • 승인 2017.05.26 15:50
  • 댓글 0
이 기사를 공유합니다

전체 랜섬웨어 공격 중 워너크라이 비중 작은 편…국가 차원 랜섬웨어, 사이버 안보 위협
이노티움 이형택 대표

지난 주 ‘워너크라이’가 전세계를 강타했다. 랜섬웨어 공격 역사상 최대 규모다.

윈도 운영체제의 SMB 원격코드의 취약점 악용해 다른 PC와 서버로 전파시키고, 네트워크에서 악성코드를 자가 증식시키는‘네트워크 웜’으로 감염시킨다. 이 해킹기술의 고도화로 PC나 서버가 인터넷에 연결되는 것만이라도 감염되기 때문에 급속하게 확산이 가능했다.

반면 국내 피해는 크지 않았다. 그 이유는 3가지로 분석된다.

업무가 끝나가는 금요일 오후 늦게 공격이 시작되어 접속이 많이 일어나지 않았고, 인터넷진흥원과 미래부를 중심으로 해외사태에 대해 언론에 발표하고 대국민행동요령 등 신속하고 적절한 조치를 취했으며, 우리나라가 이번 워너클라이의 주공격대상이 아니었던 것으로 판단된다.

워너크라이 활동 중에도 케르베르 랜섬웨어 활발히 활동

원너크라이 공격이 시작된 지난 금요일부터 금주 화요일까지 5일 동안 한국랜섬웨어침해대응센터에 신고된 랜섬웨어 피해 건수는 187건인데 이중 ‘워너크라이’가 8건인 반면 ‘케르베르6’ 106건, 세이지2.2 52건 등 강력한 두 개의 랜섬웨어가 80%를 차지하고 있다. 해커의 요구금액도 워너크라이가 34만원선이고 케르베르6는 220만원으로 7배 정도 높다.

‘워너크라이’가 지나갔다고 안심해서 안되는 이유다. 2015년 4월과 2016년 6월 대형 커뮤니티 사이트를 통한 대규모 랜섬웨어 피해사태가 있었던 전례로 볼 때 조만간 대규모 공격이 있을 것으로 예상된다.

랜섬웨어 등장 이후로 전세계 보안회사들이 쩔쩔매고 있다. 왜냐하면 랜섬웨어 해커그룹들이 기존 보안회사의 암호화 기술을 채용함과 동시에 방어기술을 철저하게 분석하고 무너뜨렸기 때문이다.

백신과 방화벽과 같은 ‘패턴등록 보안방식’은 동일한 패턴으로 공격하지 않는 것으로 무력화시켰고, 실행파일을 중심으로 검사하는 보안기술은 ‘DLL 인젝션’ 방식으로 우회했고, 행위기반 혹은 상황인식 기술은 사람이 행위하는 유사공격으로 회피했으며, 미끼방식 기술에는 미끼파일을 물지 않는 것으로 대응하고 있다.

방어기술을 개선하면 해커는 신속하게 패치하고 고도화한다. 즉 현재의 보안기술은 랜섬웨어 해커의 발 아래 있다. 많은 보안회사에서 자신의 랜섬웨어 방어기술이 가장 완벽하다고 광고하지만 실패 책임에 대한 ‘보상각서’를 요구하면 뒤로 물러선다. 새로운 공격방법에 의한‘첫 번째 희생자’때문이다.

“공격자, 데이터 백업 가장 두려워해”

근본적인 문제 해결을 위해서는 해커의 관점에서 바라봐야 한다. 랜섬웨어 해커가 가장 두려워하는 것이 무엇일까? 사법당국으로부터 체포되는 것이 가장 두렵겠지만 가상IP활용 등으로 위장할 수 있고 추적이 불가능한 비트코인으로 돈을 수취하고 있고 때문에 안전하다. 랜섬웨어 방어기술도 그리 문제가 안된다. 가장 두려운 것은 감염시켰음에도 불구하고 피해자로부터 돈을 받지 못하는 것이다.

따라서 피해를 당하더라도 해커에게 돈을 보내지 않는 것이 근본적인 해결책이다. 해커 입장에서 돈을 받지 못하는 국가를 공격해봐야 기회이익 상실이다. 해커와의 거래를 불법화시켜 우리나라가 랜섬웨어 해커의 수익성 높은 놀이터가 되는 것을 막는 것이다. 막지 못하면 랜섬웨어 공격이 일상화되고 장기화될 것이다. 이를 위해서는 철저한 사전준비가 필요하다.

해커와의 거래하지 않으려면 중요한 데이터를 안전하게 백업받아야 한다. 해커가 두려워하는 기술은 방어기술이 아니라 데이터 백업기술이다. 해커 수익의 원천인 암호화된 파일이 즉시 복원되고 백업저장소의 해킹이 불가능하기 때문이다.

2015년 3월부터 한국랜섬웨어침해대응센터에 접수된 랜섬웨어 피해 건수는 2015년 2678건, 2016년 3255년, 2017년 5월까지 1500건 등 총 7500건이다. 이 피해자의 공통점은 백신은 설치했지만 백업은 해두지 않았다는 것이다. 또한, 복구가 필요한 피해자에 대해 신고제를 도입하여 감염과 복구 전과정을 데이터베이스화하고 향후 해커 추적과 수사에 빅데이터로 활용하게 해야 한다.

랜섬웨어 침해는 사이버보안의 바로미터다. 즉 랜섬웨어에 의해 암호화되었다는 것은 언제든지 PC의 좀비화와 APT공격을 받을 수 있고, 특정그룹에 의해 사이버안보 문제로도 발전할 수 있다는 사실을 의미하기 때문에 산업계, 정부기관 및 국방 관련 기관에서는 예의주시해야 한다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.