랜섬웨어, 본격적인 공격 시작되기 전 충분히 막는 것 가능
패치 자동화와 클라우드 확산되면 자연스럽게 사그라질 것

[보안뉴스 문가용 기자] 랜섬웨어라는 단어에는 어딘지 모를 어둡고 침침한 느낌이 있다. 그리고 이에 대한 모든 미디어의 집중도도 그 어느 때보다 높다. 정보보안에서 이토록 오래동안 열렬한 스포트라이트를 받은 주제가 있었나 싶을 정도다. 랜섬웨어로 공격자들이 얻은 이득이 1조원을 넘어섰다고 하니 그럴 만도 하다.

랜섬웨어의 가장 무서운 점은 ‘신뢰’를 바탕으로 성과를 거두고 있다는 것이다. 특정 대상이나 메일 출처에 신뢰를 가지고 있는 피해자의 심리를 악용한 가짜 이메일을 통해 퍼지는 게 가장 흔한 감염 경로다. 즉, 우리가 하루에 몇 번씩이나 하는 ‘마우스 클릭’에 담긴 무의식적인 신뢰가 이들에게 공략 당한다는 것이다. 마치 불쌍한 사람인 척 도움을 요청하고, 그에 응한 사람을 되려 공격하는 것과 같은 질 나쁜 행위다.

게다가 랜섬웨어 공격자들은 법률 전문가들이 사용하는 ‘인센티브’ 전략도 도입하기 시작했다. 크리스마스 때 돈을 지불할 경우 할인을 해주는 범인들이 생겨난 것이다. 게다가 친구 두 명에게 랜섬웨어를 전파하면 암호화 키를 제공하는, 이를 테면 피라미드 구조로 운영되는 랜섬웨어도 발견되었다.

1조원이라는 금액도 금액이지만, 이런 식의 비즈니스 전략 발전 양상도 ‘랜섬웨어 산업’이 얼마나 빠르게 발전하고 있는지를 나타낸다. 최근 IT 전문가들을 대상으로 진행한 설문에서, IT 부서 직원의 50%와 CIO의 70%가 랜섬웨어 방지를 2017년 제1 순위 목표라고 답했다. 랜섬웨어는 어떻게 이렇게까지 자라났을까? 그 동안 보안 업계를 스쳐간 악당들보다 유독 더 성공을 거두는 이유는 무엇일까? 랜섬웨어는 정말 정보보안이 마주한 최대의 적일까? 여기에 거품은 끼어있지 않은가?

1. 패치라는 고질병
2016년은 랜섬웨어가 노아 때의 홍수처럼 온 세상을 휩쓸고 간 해라고 기록되겠지만, 사실 랜섬웨어의 급부상은 이전부터 예견되어 있었다. 취약점 패치에 대한 어려움이 정보보안 업계를 오랫동안 괴롭혀왔기 때문이다. 2010년과 2015년 사이에 산업 통제 시스템에서만 발견된 취약점이 1552개인데, 그 중 516개는 공개될 때까지 픽스가 존재하지 않았다. 모두가 아는 해킹 공격 경로가, 활짝 열린 채 방치되어 있다는 것이다.

모든 생산 및 제조사에서 부지런히 패치 작업을 하지 않는 것도 문제지만, 패치가 발표된 후 실제 현장에서 적용되는 것에도 문제가 있었다. 패치 작업이라는 게 시간이 걸리고 시스템에 따라 매우 복잡한 일이기 때문에 여기에 시간과 전문가라는 자원이 투자되어야 하기 때문이다. 이런 자원을 모든 조직들이 충분히 보유하고 있지 않다보니 패치 작업은 자꾸만 뒤로 미뤄졌다. 패치를 필요로 하는 기기들은 폭발적으로 늘어나는데, 패치가 잘 나오지 않고, 잘 설치되지 않는 근본 문제는 ‘패치’되지 않았다. 보고서에 따라 실제 패치가 적용되기까지 평균 100일에서 18개월까지 걸린다고 한다. 즉 랜섬웨어든 뭐든, 공격자들을 위한 활주로가 깨끗하게 닦여 있는 상태로 우리는 몇 년을 살아왔던 것이다.

2. 랜섬웨어? 알고 보면...
보안이 아니라 IT 전문가의 입장에서 랜섬웨어를 봤을 때, 첫 단계의 침투가 성공한다고 해도 막기가 그다지 까다로운 멀웨어는 아니다. 랜섬웨어가 실제로 구현하는 악성 행위인 ‘암호화’는 랜섬웨어 공격의 전체 과정에 있어 꽤나 후반부에 속한 일이다. 기술적으로 봤을 때 최초 침투부터 실제 암호화가 진행되기까지, 랜섬웨어를 구축할 수 있는 기회가 여러 차례 존재한다. 만약 URL 필터링이나 보안이 강화된 웹 게이트웨이에서 랜섬웨어가 발견되었다면 비교적 간단히 우회가 가능하다.

하지만 위 두 가지 방어 시스템을 통과해 시스템에 안착한 멀웨어가 두 번째 페이로드를 다운로드 받기 시작한다면 어떨까? 일단 이 공격이 성립되려면 멀웨어가 피해자의 시스템으로부터 공격자의 서버로 트래픽을 뻗쳐야 한다. 여기까지도 성공을 해서 C&C 서버로부터 실제 암호화 기능을 가지고 있는 페이로드가 다운로드 되었다면? 여전히 암호화 키 생성을 위해 C&C 서버와 연결을 유지해야 한다. 이 모든 과정에 탐지의 기회가 풍부히 들어있다. 즉, 랜섬웨어가 알고 보면 그렇게나 대단하고 완벽한 프로그램이 아니라는 것이다. 그런데 왜 그렇게 성공률이 높은 걸까?

3. 복잡 복잡 복잡
지난 11월, 보안 전문가들은 SVG 파일에 대한 익스플로잇의 변종을 발견했다. SVG란 XML을 바탕으로 한 벡터 이미지 포맷으로 웹 브라우저 및 다양한 애플리케이션과 호환이 된다. 사람들은 페이스북 메신저 같은 프로그램을 통해 SVG 파일을 주고받기도 한다. 공격자들은 이 SVG 파일에 악성 자바스크립트 코드를 삽입하는 법을 개발했다. 이미지를 클릭해보고 싶은 사용자들의 마음을 꿰뚫은 것이다.

게다가 SVG 파일의 악성코드는 난독화 처리까지 되어 있었다. 이러한 파일을 사용자가 클릭하면, 악성 웹사이트로 우회되고, 이는 엔드포인트 감염으로 이어진다. 난독화 때문에 탐지가 매우 어렵고, 서명을 기반으로 한 탐지 기법은 거의 100% 무용지물이 된다.

이 공격이 시사하는 바가 무엇일까? 우리가 가지고 있는 방어 시스템은 언젠가 반드시 뚫린다는 것이다. 위에서 패치가 고질적인 문제라고 했는데, 사실 더 근본적인 문제는 패치가 나온다 안 나온다, 적용한다 안 한다가 아니라 1) 패치는 반드시 깨지며 2) 공격자가 항상 더 빠르다는 것이다. 랜섬웨어 역시 이 맥락에 놓여 있다. 즉, 우리는 속도의 싸움에서 지고 있다고도 볼 수 있다. 랜섬웨어라는 게 그렇게 막기 어렵지 않다는 사실 또한 ‘속도전’이라는 본질을 받쳐주고 있다.

4. 그래도 희망이 있다
결국 물리적인 속도에서 이길 수 없어서 랜섬웨어가 급증하는 것이기 때문에 CIO들이 랜섬웨어를 방어 1순위에 놓고 있는 것이다. 사전방지가 가장 좋은 랜섬웨어 대처법이라는 걸 그들도 알고 있다. 그런 차원에서 현재 트렌드로 자리잡아가고 있는 클라우드 기반 보안과 ‘간편한 패치 / 자동 업데이트’이 큰 도움이 될 것으로 보인다. 자동 패치가 늘어나면서 공격자들을 위한 ‘활주로’가 줄어들고, 클라우드 기반 보안은 방어자들의 속도와 유연성을 높여주기 때문이다.

2016년이 랜섬웨어로 물든 건 1) 패치와 2) 클라우드 도입이 느리다는 현상과 맞물렸기 때문이다. 그들이 잘 한 측면도 있지만 우리가 못 한 측면도 분명히 존재한다. 클라우드의 사용이 늘어나고 좀 더 많은 패치들이 자동으로 적용되기 시작하면 랜섬웨어도 사그라들 것이 분명하다.

글 : 구르 샤츠(Gur Shatz)

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

http://www.boannews.com/media/view.asp?idx=53089&page=1&kind=4