• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

워너크라이 랜섬웨어 사태가 우리에게 알려준 4가지 2017.06.21

신고, 패치, 백업, 홍보 등 랜섬웨어 감염 전후에 반드시 해야 할 일
사이버전연구센터 최상명 센터장, PIS FAIR 2017에서 랜섬웨어 주제로 강연

[보안뉴스 원병철 기자] 워너크라이 랜섬웨어가 전 세계를 휩쓴 지 이제 겨우 한 달이 지났다. 보안에 관심이 전혀 없던 일반 국민들까지 공포에 떨게 만들고, 랜섬웨어와 패치, 백업에 관심을 갖게 만들었던 워너크라이 이후 에레보스의 인터넷나야나 공격으로 이제 랜섬웨어는 확실하게 각인이 된 듯하다.

▲ 최상명 사이버전연구센터(CWIC) 센터장[사진=보안뉴스]


이러한 상황에서 얼마 전 북한의 ‘황금도끼 작전’을 공개해 주목을 끌었던 사이버전연구센터의 최상명 센터장이 20일 개최된 ‘제7회 개인정보보호 페어(PIS FAIR 2017)’에서 워너크라이 랜섬웨어의 등장과 이에 대한 대응, 그리고 앞으로의 과제를 짚어주는 강연을 진행했다.

최상명 센터장은 워너크라이를 비롯한 랜섬웨어가 처음 등장한 것은 2012년으로, 랜섬웨어가 성장하는 데는 비트코인이라는 가상화폐의 도움이 컸다고 설명했다. 2009년에 등장한 비트코인과 서로 도움을 주고 받으며 성장했다는 것. 실제로 워너크라이 사태 이후 비트코인은 두 배 이상 급성장했다는 것이 최 센터장의 설명이다.

워너크라이는 미국 NSA가 공격을 위해 마련했던 SMB 파일공유 프로토콜 취약점을 쉐도우 브로커스가 탈취하면서 시작됐다. 취약점을 돈을 받고 판매하려고 했던 쉐도우 브로커스가 구입하려는 사람이 나서지 않자 인터넷에 취약점을 공개해 버린 것. 워너크라이는 이 취약점을 바탕으로 만들어졌다.

워너크라이는 유포된 지 약 2시간 만에 전 세계 10만대 이상의 PC를 감염시켰다. 이는 SMB 취약점을 이용한 웜 형태였기 때문에 가능했다고 최 센터장은 설명했다. 국내에서는 소강상태지만 워너크라이는 아직까지 유포되고 있으며, 전 세계에서 현재까지 대략 53만대 이상이 감염된 것으로 파악된다.

이때 등장한 것이 바로 영국의 보안 전문가 멀웨어테크였다. 그는 워너크라이가 동작하는 것을 분석하고, 동작에 꼭 필요한 도메인이 있는 것을 확인한 후, 이 도메인을 10.69달러, 우리나라 돈 1만 2,000원 정도로 구입해 워너크라이를 봉인시켰다. 우리가 ‘킬 스위치’라고 부르는 이 도메인의 구입으로 워너크라이가 입힐 수 있는 피해를 상당히 줄일 수 있었다.

킬 스위치가 있긴 했지만, 워너크라이의 피해는 엄청났다. 우리나라 역시 식당, 극장, 토플시험장, 학교, 아파트 등 상당한 피해를 입은 것으로 조사됐다. 이러한 랜섬웨어는 복호화 키가 없다면 암호화된 파일을 복구할 수 없기 때문에 미리 백업을 해놓거나, 해커에게 돈을 지불하거나, 데이터를 포기하고 포맷하는 방법밖에 없다. 워너크라이의 경우 6월 14일 기준, 전 세계에서 1억 6,400만 원 정도를 벌어들인 것으로 확인됐다.

그렇다면 이 워너크라이는 어디서 제작됐을까? 최상명 센터장은 워너크라이가 북한의 악성코드와 명령제어 체계가 유사하고, 위장통신 프로토콜과 암호화 연산로직이 동일한 것으로 밝혀졌다고 설명했다. 또한, 다양한 언어를 지원하지만 이를 분석해보면 작업하는 데 쓰인 메모장의 기본언어가 한글임을 알 수 있으며, 배포 경로에서 북한 IP도 발견됐다고 설명했다. 게다가 미국 NSA와 영국에서 워너크라이가 북한 소행이라고 밝힌 점을 근거로 들었다.

워너크라이가 전 세계를 공격한 지 한 달, 우리는 이 사건을 통해 어떤 것들을 배울 수 있었을까? 최 센터장은 가장 첫 번째로 피해를 입었을 때 정부나 기관에 신고해야 한다고 강조했다. 워너크라이 이후 웹호스팅 업체를 타깃으로 한 인터넷나야나 사태가 터졌다. 본지에서도 보도했지만 인터넷나야나가 피해를 입기 전인 지난 12월에 이미 에레보스에 감염된 웹호스팅 업체가 있었고, 몸값을 지불하고 조용히 지나간 적이 있었다. 이와 관련해서 최 센터장은 당시 해당업체가 신고만 했다면 이번 인터넷나야나 사건은 벌어지지 않았을 수도 있었다고 아쉬워했다.

두 번째는 바로 패치다. NSA가 쉐도우 브로커스에 의해 취약점이 유출된 것을 확인하고 바로 MS에 알려 3월에 이에 대한 패치가 나왔지만, 아무도 취약점 패치에 신경 쓰지 않았기 때문에 이러한 사태가 발생하게 됐다.

세 번째는 백업이다. 현재 랜섬웨어는 복호화 키가 없이는 복호화 할 수가 없다는 것이 일반적이기 때문에 무조건 자료를 백업해야 한다는 것. 특히, 백업은 네트워크가 분리된 외부 저장장치를 이용해야 한다고 최 센터장은 강조했다.

최 센터장이 마지막으로 꼽은 것은 바로 대국민 홍보다. 워너크라이 사건 당시 네이버의 실시간 검색어 1위부터 6위까지가 워너크라이와 연관된 단어였는데, 이처럼 전 국민의 랜섬웨어에 대한 관심이 높은 이때 대국민 행동요령이나 백업 방법 등을 효과적으로 홍보하면 큰 효과를 얻을 수 있다고 최 센터장은 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>