세계는 차세대 대규모 랜섬웨어 공격에 대비하고 있는가

CSO
초미의 사건이었던 워너크라이/낫페티야 랜섬웨어 공격은 많은 곳에서 다양한 규모의 기업에 영향을 끼쳤다. 둘 다 빠르게 확산되었으며 영국이나 미국의 국가기관, 글로벌 대기업의 시스템이 멈추기도 했다. 

현재 이런 두 공격의 위협이 대부분 완화되긴 했지만 둘의 변종은 여전히 확산되고 있다. 새로운 보고서에 따르면, 같은 유형의 또 다른 세계적인 공격이 제대로 실행된다면 더 큰 피해를 입하고 기업들은 수십 억 달러의 비용을 지출하게 될 것이라고 한다.




세계적인 대규모 공격의 비용

워너크라이는 150여 개국에서 20만 개 이상의 컴퓨터를 감염시키고 패치되지 않은 버전의 마이크로소프트 윈도우를 통해 확산된 것으로 알려졌다. 낫페티야는 우크라이나의 인기있는 세무 애플리케이션의 해킹된 업데이트를 통해 확산됐으며 우크라이나와 기타 유럽 국가의 기업들에 영향을 끼쳤는데, 러시아가 해당 공격을 주도한 혐의를 받고 있다. 둘 다 NSA가 개발하고 SB(Shadow Brokers) 해커 그룹에 의해 공개된 이터널블루(Eternal Blue) 익스플로잇 공격을 이용해 SMB(Windows Server Manage Block) 프로토콜의 취약점을 이용했다.

워너크라이로 인해 영국의 NHS(National Health Service)는 약 9,150만 파운드(약 1,357억 원)를 지출한 것으로 정부 계산 결과 드러났다. 이 공격 자체로 인한 피해 금액은 1,900만 파운드(약 281억 원)였으며, 나머지 비용은 공격을 인지하고 시스템을 개선, 업그레이드하는 IT 지원 비용이었다. 공격자는 이 공격을 통해 얻은 실질적인 이익은 10만 달러(약 1억 1,000만 원)가 채 되지 않지만 사이버 위험 모델링 업체인 사이언스(Cyence)는 해당 공격의 총 비용이 40억 달러(약 4조 5,000억 원)에 이를 수 있는 것으로 추산했다.

낫페티야도 널리 확산되었고 많은 비용을 발생시켰다. 운송기업 머스크와 물류 기업 페덱스는 각각 약 3억 달러(약 3,385억 원)의 손실을 입었다. 음성 및 이미지 처리 IT 업체인 뉘앙스(Nuance)는 자체 손실이 약 9,000만 달러(약 1,000억 원)였다고 밝혔으며, 법률업체 DLA 파이퍼(DLA Piper)는 이 영향을 완화하기 위한 IT 초과 근무 시간이 1만 5,000시간이나 되었다고 밝혔다. 영향을 받은 기업의 분기별 수익 및 투자자 성명에 대한 사이버리즌의 연구에 따르면, 낫페티야 공격의 총 비용은 약 12억 달러(약 1조 3,536억 원)로 추산됐다.

게다가 사이버 보험이 있어도 누구나 손해를 만회할 수는 없다. ZAIC(Zurich American Insurance Company)는 몬델레즈가 요구한 1억 달러를 지불하지 않으면서 미국과 기타 정부가 낫페티야 공격을 러시아 군부의 소행으로 규정하고 있다고 밝혔고 그들의 주장은 "평화 또는 전시의 적대적 또는 호전적인 행위" 하에서 배제되었다.

런던로이즈(Lloyds of London)의 보고서에 따르면, 워너크라이 및 낫페티야와 같은 맥락의 또 다른 전 세계적인 전염성이 있는 악성코드에 의한 감염인 배쉬(Bashe) 공격은 전 세계적으로 60만 개 이상의 기업에 영향을 끼치고 1,930억 달러(약 217조 원)의 매출 및 해결 손실을 발생시킬 수 있었다.


차세대 워너크라이가 전 세계 조직에 심각한 피해를 입힐 수 있는 방법

이 보고서의 목적은 "연결성에 대한 세계 경제의 의존성이 악성코드에 의한 피해의 범위를 얼마나 넓혀주는 지를 보여주는 것"이었다. 

CyRiM(Cyber Risk Management) 프로젝트 그리고 CCRS(Cambridge Centre for Risk Studies)와 연계해 작성하고 제안한 시나리오에서 배쉬라는 랜섬웨어 공격은 악성 이메일을 통해 네트워크에 진입하고 네트워크에 연결된 장치로 확산 및 암호화하며 악성 이메일을 모든 연락처에 자동으로 전달해 스스로 확산된다. 가장 심각한 이벤트 버전에서는 백업도 삭제된다.

이 방법론은 감염율, 모방율, 손해 비용 등 CCRS의 악성코드 및 보안 사건에 대한 역사적인 데이터세트를 기준으로 하고 있다. 6명의 프로그래머가 1년 안에 전 세계적인 규모의 악성코드 공격을 수행할 수 있다고 가정했으며 워너크라이 내의 웹 기반 킬 스위치나 낫페티야의 부실한 복호화 및 지불 프로세스 같은 이전의 대규모 공격의 부실한 부분을 제대로 수행했다고 가정했다.

해당 보고서는 "기업들은 규모 및 부문에 상관없이 혼란에 빠질 것이다"고 밝혔다. "더 이상 결제를 처리하거나 이메일을 통해 통신하거나 필수적인 프로그램을 실행할 수 없게 된다. 상인, 경찰관, 의료 전문가 등도 어쩔 수 없이 연필과 종이를 이용해 일상 업무를 처리하게 된다. 24시간 후 랜섬웨어는 전 세계 약 3,000만 개의 장치에 있는 데이터를 암호화한다."

제안된 대가는 상대적으로 낮은 감염당 약 700달러(또는 대가를 지불하지 않고 정리 또는 대체하는 경우 장치당 350달러)이며 계산된 비용에는 사이버 사고 대응, 피해 관리 및 완화, 비즈니스 중단, 매출 손실, 생산성 저하 등이 포함되고 공격의 심각도에 따라 850억~1,930억 달러 수준이다. 배쉬를 개발한 범죄 조직은 110억~270억 달러를 강탈할 것이다.

의료, 제조, 소매는 각 시나리오에서 가장 큰 영향을 받은 3대 산업이며 부문별로 90억~250억 달러의 손실을 입게 될 것이다. 소매업의 결제 시스템에 대한 의존성, 의료업의 많은 레거시 시스템 및 장비, 제조업의 지속적인 생산 요건이 취약점의 주된 이유로 언급되었다.

미국은 해당 보고서에 말하는 "주요" 기업의 수가 많기 때문에 비용 측면에서 가장 심각한 영향을 받는 지역이다. 유럽은 전통적으로 보안 예산과 자원이 부족한 중소기업의 수가 많기 때문에 영향 측면에서 2위를 차지했다.


배쉬 랜섬웨어가 발생할 가능성은 

이 보고서에서는 이런 대규모 공격이 "가능성이 낮고 극단적이지만 타당한 시나리오"라고 인정했지만 최근 선례가 있었다. 워너크라이와 낫페티야 모두 다양한 시장에서 여러 대기업에 타격을 입히고 빠르게 확산되었으며 기업들에 상당한 비용을 발생시켰다.

딥 시큐어(Deep Secure)의 CTO 사이먼 와이즈먼 박사는 "이 보고서에서 설명한 배쉬 공격 시나리오는 매우 타당하다"며, "공격자가 극복해야 하는 다양한 기술적인 문제가 있지만 이 캠페인의 핵심 요소는 보편적이며 기술에 능한 사이버 범죄자가 달성할 수 있다. 일부 심각한 백도어 익스플로잇 공격 능력이 필요하며 수평적인 확산의 속도와 심각성은 대항이 워너크라이/낫페티야 사건에서 교훈을 얻고 시스템을 적절히 구획화했는지 여부에 따라 결정될 가능성이 높다"고 설명했다. 

에일리언볼트(Alien Vault)의 보안 연구원 크리스 도만은 이메일 기반 웜은 이메일 제공 기업이 신속하게 차단할 가능성이 높기 때문에 확산이 어렵기 때문에 공격이 가능하지만 가능성이 낮고 이런 대규모 공격이 발전해 확산되려면 심각도가 높은 이터널블루 형태의 취약점이 또 필요하다고 말했다.
 
일각에서는 이 공격의 과도하게 파멸적인 속성에 대해 의문을 제기했지만 본지가 접촉한 모든 보안 연구원은 이런 공격이 여러 국가 활동세력에 의해 자행될 가능성이 높다는 점에 동의했다. 이런 심각한 제로데이 취약점을 찾고 광범위한 공격을 수행하기 위해서는 막대한 자원이 필요하며 최소한 이터널블루처럼 정부가 개발하고 유출되는 규모가 되어야 한다. 또한 이런 공격이 놀랍도록 눈에 잘 띄며 주의를 끌기 때문에 국가의 지원을 받을 가능성이 높다. 일반적으로 범죄자들은 가능하면 조용히 움직이는 것을 선호한다.


기업이 얻어야 할 랜섬웨어를 통한 교훈

배쉬 공격은 가설이지만 많은 조직이 이전의 실질적인 광범위한 공격에서 교훈을 얻지 못했고 방어력을 높이기 위해 노력해야 한다는 점을 강조할 수 있는 기회를 제공한다. 

카스퍼스키랩 수석 보안 연구원 데이비드 엠은 "워너크라이는 분명 많은 조직과 기업에 경종을 울렸을 것이다. 이런 공격을 받은 조직은 분명 자체적인 프로세스를 고려할 것이며, NHS와 같은 대형 조직은 더욱 그럴 것이다"며, "때로는 많은 기업이 보안 프로세스를 개선해야 하지만 워너크라이 같은 공격으로도 기업들이 조치를 취하기에는 충분했다고 생각한다"고 말했다.

하지만 당시 운 좋게도 영향을 받지 않은 기업들은 위험이 지나갔다고 오해할 수 있다. 카스퍼스키랩에 따르면 이미 오래 전에 예방 패치가 제공된 1세대 워너크라이 랜섬웨어는 2018년 3분기에만 7만 5,000명의 사용자들을 공격했고 이는 해당 기업이 해당 기간 동안 목격한 전체 랜섬웨어 공격의 약 1/3에 해당한다고 밝혔다. 

우주항공 기업 보잉(Boeing)은 1세대 공격이 발생한 후 1년 만인 2018년 3월 워너크라이 공격의 희생자가 되었다. 다른 랜섬웨어들도 워너크라이가 악용한 이너털블루 취약점뿐만 아니라 이모텟(Emotet)과 트릭봇(TrickBot) 등의 트로이 목마 공격을 이용하며 지속적으로 확산되고 있다.

보안 컨설팅 업체 NCC 그룹의 글로벌 CTO 올리 와이트하우스는 "가까운 미래에 이런 배쉬 시나리오 유형이 발생할 가능성이 생각처럼 낮지 않을 수 있다"며, "낫페티야의 영향을 모방하기 위해 고안된 확산을 이용한 자체 연구에서 수시간 만에 수백 개의 호스트가 감염됐다"고 경고했다.

NCC그룹의 연구원들은 기업들이 실제 공격에 대한 자체적인 취약점을 테스트할 수 있도록 악의적인 페이로드를 텔레메트리 데이터로 대체한 낫페티야 공격을 재구성했다. 첫번째 테스트에서 이터널글루(EternalGlue)라는 이름의 이 공격은 45분 만에 100개 이상의 호스트를 해킹하고 대상 도메인을 다운시킬 수 있었다. 

NCC가 말하는 "1,000억 달러 기업" 내에서 진행한 실시간 테스트에서 이터널글루는 15분 만에 200개 이상의 호스트를 해킹했다. 이것이 진짜 낫페티야 악성코드였다면 계정 디렉터리에도 영향을 끼쳤을 것이다.

조직에 있어서 패치는 여전히 문제가 되고 있다. 베라코드의 보고서에 따르면, 전체 애플리케이션 중 85% 이상이 최소한 1개의 취약점을 갖고 있으며 취약점 대부분은 발견 후 1개월 동안 패치되지 않은 상태로 남아 있고 절반 이상이 발견 후 3개월 동안 방치되는 것으로 나타났다.

랜섬웨어 공격은 아니지만 기타 주요 공격을 가능하게 했던 취약점이 여전히 많은 기업 내에 잔재하고 있다. 미 HOC(House Oversight Committee)가 "모두 예방 가능한" 것으로 분류한 에퀴팩스(Equifax) 팩스 유출은 해당 기업 내의 아파치 스트럿 구성요소 내의 패치되지 않은 취약점 때문에 가능했으며 해당 기업은 1억 4,300만 명의 개인 식별 정보를 잃어버렸다. 소나타입(Sonatype)은 세계적인 포춘 100 기업 중 2/3를 포함한 1만 8,000개 이상의 기업들이 여전히 취약한 아파치 스트럿 버전을 사용하고 있다는 사실을 발견했다.

기업들이 이전의 공격을 발생시킨 취약점을 패치한다 하더라도 공격자들이 악용할 수 있는 새로운 벡터의 수가 점차 늘어나고 있다. 해당 보고서에서는 IoT와 ICS(Industrial Control System)이 심각한 중단을 경험할 가능성이 높다고 밝혔다. 카스퍼스키랩에 따르면, 모니터링 중인 ICS 컴퓨터 중 40% 이상이 2018년 상반기 중 최소 1회의 악성 소프트웨어 공격을 받았으며 기업들은 민감한 운영 속성에도 불구하고 여전히 ICS 보안 때문에 고군분투하고 있다.

에일리언볼트의 보안 연구원 크리스 도만은 "해당 보고서에서는 SCADA/ICS 시스템을 거의 다루지 않았고 이 부분이 가장 우려된다"며, "낫페티야와 긴밀히 관련된 많은 공격이 있었고 우크라이나의 전력 네트워크와 공항 운영을 방해하는 것이 목적이었다. 인명 피해가 발생할 수도 있었다. 워너크라이와 낫페티야로 인해 사람들이 사이버보안에 관심을 갖고 끝없는 각본과 대응 계획이 마련되었다는 점은 고무적이다"고 설명했다.


배쉬 같은 랜섬웨어를 실제 예방할 수 있는 방법

매쉬는 가정에 근거한 테스트였지만 그 논리는 조직이 스스로 예방하기 위해 노력해야 하는 실질적인 이벤트에 기초하고 있다. 카스퍼스키랩의 엠은 "전염병은 빨리 확산되지만 쉽게 멈추지 않는다. 이런 공격의 결과는 어쩔 수 없이 오래 간다"며, "[배쉬 같은] 공격은 더 큰 피해를 입힐 수 있기 때문에 기업들은 복구에 집중하는 대신에 사이버 범죄자가 움직이기 전에 적절한 예방 조치를 취하는 것이 중요하다. 기업들은 자체 시스템을 감사하고 위험 평가를 수행하며 기술 프로세스와 절차에 대해 질문하며 데이터를 저장하는 위치와 데이터로 무엇을 하는지 등을 파악해야 한다"고 말했다. 

체크 포인트의 위협 예방 솔루션 책임자 에이탄 세갈은 배쉬 공격 같은 것을 예방하기 위해서는 강력한 이메일 보안을 이용해 이메일 기반 웜의 확산을 차단하고 네트워크 침입 예방 시스템을 이용해 패치되지 않은 시스템을 보호하는 가상 패치 계층을 제공하며 전용 종점 랜섬웨어 보호 기술을 활용하라고 말했다.

가디코어의 연구 부사장 오프리 지브는 "워너크라이와 낫페티야로부터 얻은 교훈은 대규모 쉐도우 인터넷의 존재, 모든 인트라넷(Intranet, 로컬 기업 네트워크)이 VPN을 이용해 다른 네트워크로 연결되고 다른 사이트를 이용해 사이트 터널에 연결되어 있다는 사실, 이런 네트워크 내 방어를 위한 면밀한 시스템의 부재의 증거였다"며, "네트워크 세분화, 최소 신뢰, 통제 및 데이터 네트워크 분리 등 이런 공격을 처리하는 기본적인 기법은 이런 공격을 차단하고 완화하며 처리하는데 도움이 될 것이다"고 말했다. 

소포스의 수석 기술 전문가 폴 더클린은 "나는 공상영화같은 '최후의 글로벌 멜트다운' 사이버보안 이야기를 믿어본 적이 없다"면서도, "하지만 일반적으로 사이버 범죄를 위해 필요한 방어책은 배쉬와 같은 오늘날의 실질적인 위협과 최후의 심판 시나리오를 방지하는데 좋다"고 덧붙였다.

이들 전문가들이 제시한 방어책은 다음과 같다. 
- 조기 및 빈번한 패치: 역사상 거의 모든 대규모 네트워크 웜 공격은 사기꾼들이 인간의 개입 없이 악성코드를 주입할 수 있는 패치되지 않은 보안 구멍에 의존했다.

- 직원 노출을 감소시키기 위한 의심스러운 이메일 첨부파일 필터링: 유출 콘텐츠도 필터링하도록 한다. 내부의 감염된 악당 컴퓨터에 대한 조기 경고를 제공할 수 있다.

- 망 분리: 소셜 미디어 전문가가 HR 데이터베이스 또는 법률 기록에 동시에 액세스할 필요가 없다. 금전 등록기와 ATM이 전화 판매팀과 같은 네트워크를 사용할 필요가 없다.

- 온라인 백업에만 의존하지 않기: 최악의 배쉬 시나리오는 공격 중 모든 백업이 즉시 동시에 파괴되는 것에 의존하는 것으로 보인다. 이런 일이 발생할 수 있다면 이미 화재, 도난, 홍수, 기타 모든 가능성 있는 실질적인 문제에 과도하게 취약한 것이다.

- 적절한 비밀번호 선택하기: 현대의 사이버 사기꾼들은 과거처럼 서두르지 않는다. 관리자로 로그인할 수 있는 경우 보통은 즉시 공격하지 않는다. 스스로 전체 네트워크의 시스템 관리자가 되고 어떻게 돈을 빼앗을지 결정하기 전에 가능한 많이 학습한다. 그런 활동이 더 어렵도록 만들자.

- 로그 확인하기: 정기적으로 로그를 검토해 사용자들의 상태를 확인하지 않는다면 처음부터 보존하지 않을 가능성도 있다. editor@itworld.co.kr