2017.05.22

랜섬웨어 후폭풍··· 최신 패치 적용에 고심하는 CIO·CSO들

Clint Boulton | CIO
최근 윈도우 기반 컴퓨터에 퍼진 랜섬웨어 워너크라이(WannaCry)는 소프트웨어 보호의 중요성에 대한 경각심을 일깨웠다. 특히, 심각한 취약점을 보완하는 패치가 나오면 반드시 설치해야 한다는 점을 재차 강조하는 효과를 낳았다. 이를 등한시한 탓에 기업들이 피해를 입었기 때문이다. 그러나 모든 패치를 설치하기에는 현실적으로 어려움이 따른다는 점이 문제다. 

사이버보안 전문가들은 이면의 사연이 복잡하다는 점을 지적하면서도 워너크라이가 즉각적 패치 적용이 필요할 정도로 심각한 랜섬웨어라는 점에는 의견을 같이 했다.

사태의 발단은 지난 5월 12일 내부 데이터를 암호화 해 컴퓨터를 못 쓰게 만든 후 복호화 해 주는 조건으로 몸값 300달러를 요구하는 맬웨어가 해커들에 의해 살포돼 전세계 컴퓨터로 퍼져나가기 시작하면서였다.

이 랜섬웨어는 미 국가보안국(NSA)에서 훔쳐 낸 이터널블루 서버 메시지 블록(EternalBlue Server Message Block) 웜(worm)을 기반으로 제작됐으며, 윈도우 7과 윈도우 XP로 운영되는 컴퓨터를 공격했다.

마이크로소프트는 워너크라이 공격을 방어하는 윈도우 7용 보안 업데이트를 3월 14일 자로 배포했으며, 2014년 지원이 중단된 윈도우 XP용 보호 패치를 주말 동안 공개했다. 그러나 워너크라이는 빠른 속도로 전파돼 페덱스(FedEx), 르노(Renault), 영국의료보험기구(NHA) 등 150개국 다수 기관의 컴퓨터 20만 대 이상을 감염시켰다. 15일에는 변종까지 등장해 더 광범위한 공격을 예고했다.

패치 적용 할 것인가 말 것인가
워너크라이 출현 소식에 IT부서들에 비상이 걸렸다. 최고정보책임자(CIO)들과 최고정보보호책임자(CISO)들이 피해를 최소화시키기 위해 안간힘을 쓰고 있다.

먼저 기업들의 패치 적용 여부 결정 과정을 살펴볼 필요가 있다. 사이버보안업체 카본 블랙(Carbon Black)의 최고기술책임자(CTO)이자 전직 NSA 분석 요원 마이크 비스쿠조에 따르면, 기업 IT 부서/팀에서는 자체 개발한 수십 개에서 수백 개에 달하는 응용프로그램을 대상으로 월별 또는 분기별로 패치 및 업그레이드를 실시하곤 한다.

이 과정에서 패치 적용에 앞서 회귀 검사를 실시하는데 그 목적은 자체 맞춤 소프트웨어가 새로운 코드 적용 뒤에도 문제 없이 실행될지 확인해야 하기 위함이다.

제약회사 파이저(Pfizer) 근무 당시 다수의 OS 및 브라우저 업그레이드를 수행한 바 있는 트로이 헌트 마이크로소프트 지역 이사에 따르면, 패치 설치에서 가장 골치 아프고 비용이 많이 드는 부분 중 하나는 기존 소프트웨어와의 호환성 확보다.

헌트 이사는 자신의 블로그에 “가장 최근 예로 간단한 인터넷 익스플로러 업그레이드를 시행하다가 사내 웹 응용프로그램이 제대로 작동하지 않는 문제가 발생했는데 이를 해결하는 데 자그마치 100만 달러 대의 비용이 들었다. 각 조직에서는 보안 패치의 확인, 호환성 검사, 적용 등 일련의 작업을 사전에 할 필요가 있다. 달갑지 않고 비용도 발생하며 다른 의존성이 깨질 가능성도 있는 작업이지만, 이를 감수하지 않으면 NHS처럼 피해를 입거나 보다 더 심각한 상황을 맞을 확률이 높다”고 적었다.

그는 또 패치 호환성 검사를 하지 않으면 위험하다고 경고했다. 가령, 금융서비스 업체에게 필수적인 고속 트레이딩 프로그램에 업그레이드 도중 문제가 발생하면 프로그램 실행을 중단하고 코드를 수정해야 한다. 프로그램을 실행하지 못하는 시간 동안 수백 만 달러의 손해를 볼 수 있다.

위험성 경고
최신 패치 적용을 게을리하는 것 역시 위험하다. 마이크로소프트가 MS17-010을 3월 14일자로 공개한 것처럼 정상 주기에서 벗어나 패치가 공개되는 경우가 있다. 이러한 경우 각 기업에 이미 정착된 IT 및 업무 절차에 혼선이 야기 된다. 그래서 다음 주기가 도래할 때까지 패치 적용을 하지 않고 기다리는 기업이 많다고 비즈쿠조는 지적했다.

이번에도 많은 기업들이 마이로소프트에서 공개한 보안 업그레이드를 통한 패치 적용을 하지 않은 탓에 워너크라이의 공격에 속수무책으로 당한 것이다.

보안 소프트웨어 업체 맥아피(McAfee)의 CTO인 스티브 그롭먼에 따르면, 워너크라이는 원격으로 악용 가능하기 때문에 컴퓨터를 네트워크에 연결만 해도 감염되는 악성 랜섬웨어이지만, 공격의 빌미가 된 취약점을 보완하는 방법은 상대적으로 매우 간단하다.

단, 이번 패치는 파일 공유를 가능하게 해 주는 운영체제의 일부인 서버메시지 블록과 연관되어 있었기 때문에 패치 도중 응용프로그램에 문제가 생길 확률 역시 높았다. 특히 많은 위험에 노출된 것은 구식 응용프로그램을 많이 쓰는 조직들이었다. 이 중에는 20년이 넘어 개발자가 이미 사망할 정도로 오래 된 프로그램도 있었던 것으로 전해졌다. 이러한 이유로 패치 적용을 하지 않고 방치한 것이다.

그롭먼 씨는 “불 위에 솥을 올려놓은 채 출근해 버리는 것과 같은 위험천만한 일이 수년 간 지속되었는데도 문제 제기가 되지 않았다. 그 동안 안 좋은 일이 일어나지 않았다고 해서 위험한 행동을 계속한다면 미래의 안전은 보장할 수 없다”라고 경고했다.

한편 이번 일을 계기로 CIO들이 자사의 IT 절차를 수정해 보다 적극적인 패치 관리에 나설 것으로 기대되고 있다. 이는 NSA로부터 이터널블루 등 취약점 악용 도구를 훔쳐냈다고 주장하는 섀도우브로커스(Shadow Brokers) 해커 단체에서 더 많은 취약점 악용 공격을 예고하고 있는 현실 속에서 중요한 의미를 지닌다.

카본 블랙의 비스쿠조는 매년 새롭게 발생하는 약 5,000개의 취약점을 일일이 보완하는 것은 불가능하다고 전제하고, CIO들에게 자사에 가장 큰 위협이 되는 취약점의 순서를 정한 후 테스트를 거쳐 업그레이드 일정을 결정해 줄 것을 당부했다.

CIO 들이 유의해야 할 점을 정리하면 첫째, 업무용 컴퓨터의 패치를 주기적으로 업데이트하고 필요 시 비상 패치를 적용할 것. 둘째, PC 운영 체제를 최신 버전으로 업그레이드하고, 백신 소프트웨어를 통해 바이러스 정의 목록을 업데이트하여 유지할 것. 셋째, 랜섬웨어가 네트워크에 침투하더라도 리소스를 빠르게 복원할 수 있도록 PC와 서버를 매일 밤 백업해 둘 것 등이다. ciokr@idg.co.kr 



2017.05.22

랜섬웨어 후폭풍··· 최신 패치 적용에 고심하는 CIO·CSO들

Clint Boulton | CIO
최근 윈도우 기반 컴퓨터에 퍼진 랜섬웨어 워너크라이(WannaCry)는 소프트웨어 보호의 중요성에 대한 경각심을 일깨웠다. 특히, 심각한 취약점을 보완하는 패치가 나오면 반드시 설치해야 한다는 점을 재차 강조하는 효과를 낳았다. 이를 등한시한 탓에 기업들이 피해를 입었기 때문이다. 그러나 모든 패치를 설치하기에는 현실적으로 어려움이 따른다는 점이 문제다. 

사이버보안 전문가들은 이면의 사연이 복잡하다는 점을 지적하면서도 워너크라이가 즉각적 패치 적용이 필요할 정도로 심각한 랜섬웨어라는 점에는 의견을 같이 했다.

사태의 발단은 지난 5월 12일 내부 데이터를 암호화 해 컴퓨터를 못 쓰게 만든 후 복호화 해 주는 조건으로 몸값 300달러를 요구하는 맬웨어가 해커들에 의해 살포돼 전세계 컴퓨터로 퍼져나가기 시작하면서였다.

이 랜섬웨어는 미 국가보안국(NSA)에서 훔쳐 낸 이터널블루 서버 메시지 블록(EternalBlue Server Message Block) 웜(worm)을 기반으로 제작됐으며, 윈도우 7과 윈도우 XP로 운영되는 컴퓨터를 공격했다.

마이크로소프트는 워너크라이 공격을 방어하는 윈도우 7용 보안 업데이트를 3월 14일 자로 배포했으며, 2014년 지원이 중단된 윈도우 XP용 보호 패치를 주말 동안 공개했다. 그러나 워너크라이는 빠른 속도로 전파돼 페덱스(FedEx), 르노(Renault), 영국의료보험기구(NHA) 등 150개국 다수 기관의 컴퓨터 20만 대 이상을 감염시켰다. 15일에는 변종까지 등장해 더 광범위한 공격을 예고했다.

패치 적용 할 것인가 말 것인가
워너크라이 출현 소식에 IT부서들에 비상이 걸렸다. 최고정보책임자(CIO)들과 최고정보보호책임자(CISO)들이 피해를 최소화시키기 위해 안간힘을 쓰고 있다.

먼저 기업들의 패치 적용 여부 결정 과정을 살펴볼 필요가 있다. 사이버보안업체 카본 블랙(Carbon Black)의 최고기술책임자(CTO)이자 전직 NSA 분석 요원 마이크 비스쿠조에 따르면, 기업 IT 부서/팀에서는 자체 개발한 수십 개에서 수백 개에 달하는 응용프로그램을 대상으로 월별 또는 분기별로 패치 및 업그레이드를 실시하곤 한다.

이 과정에서 패치 적용에 앞서 회귀 검사를 실시하는데 그 목적은 자체 맞춤 소프트웨어가 새로운 코드 적용 뒤에도 문제 없이 실행될지 확인해야 하기 위함이다.

제약회사 파이저(Pfizer) 근무 당시 다수의 OS 및 브라우저 업그레이드를 수행한 바 있는 트로이 헌트 마이크로소프트 지역 이사에 따르면, 패치 설치에서 가장 골치 아프고 비용이 많이 드는 부분 중 하나는 기존 소프트웨어와의 호환성 확보다.

헌트 이사는 자신의 블로그에 “가장 최근 예로 간단한 인터넷 익스플로러 업그레이드를 시행하다가 사내 웹 응용프로그램이 제대로 작동하지 않는 문제가 발생했는데 이를 해결하는 데 자그마치 100만 달러 대의 비용이 들었다. 각 조직에서는 보안 패치의 확인, 호환성 검사, 적용 등 일련의 작업을 사전에 할 필요가 있다. 달갑지 않고 비용도 발생하며 다른 의존성이 깨질 가능성도 있는 작업이지만, 이를 감수하지 않으면 NHS처럼 피해를 입거나 보다 더 심각한 상황을 맞을 확률이 높다”고 적었다.

그는 또 패치 호환성 검사를 하지 않으면 위험하다고 경고했다. 가령, 금융서비스 업체에게 필수적인 고속 트레이딩 프로그램에 업그레이드 도중 문제가 발생하면 프로그램 실행을 중단하고 코드를 수정해야 한다. 프로그램을 실행하지 못하는 시간 동안 수백 만 달러의 손해를 볼 수 있다.

위험성 경고
최신 패치 적용을 게을리하는 것 역시 위험하다. 마이크로소프트가 MS17-010을 3월 14일자로 공개한 것처럼 정상 주기에서 벗어나 패치가 공개되는 경우가 있다. 이러한 경우 각 기업에 이미 정착된 IT 및 업무 절차에 혼선이 야기 된다. 그래서 다음 주기가 도래할 때까지 패치 적용을 하지 않고 기다리는 기업이 많다고 비즈쿠조는 지적했다.

이번에도 많은 기업들이 마이로소프트에서 공개한 보안 업그레이드를 통한 패치 적용을 하지 않은 탓에 워너크라이의 공격에 속수무책으로 당한 것이다.

보안 소프트웨어 업체 맥아피(McAfee)의 CTO인 스티브 그롭먼에 따르면, 워너크라이는 원격으로 악용 가능하기 때문에 컴퓨터를 네트워크에 연결만 해도 감염되는 악성 랜섬웨어이지만, 공격의 빌미가 된 취약점을 보완하는 방법은 상대적으로 매우 간단하다.

단, 이번 패치는 파일 공유를 가능하게 해 주는 운영체제의 일부인 서버메시지 블록과 연관되어 있었기 때문에 패치 도중 응용프로그램에 문제가 생길 확률 역시 높았다. 특히 많은 위험에 노출된 것은 구식 응용프로그램을 많이 쓰는 조직들이었다. 이 중에는 20년이 넘어 개발자가 이미 사망할 정도로 오래 된 프로그램도 있었던 것으로 전해졌다. 이러한 이유로 패치 적용을 하지 않고 방치한 것이다.

그롭먼 씨는 “불 위에 솥을 올려놓은 채 출근해 버리는 것과 같은 위험천만한 일이 수년 간 지속되었는데도 문제 제기가 되지 않았다. 그 동안 안 좋은 일이 일어나지 않았다고 해서 위험한 행동을 계속한다면 미래의 안전은 보장할 수 없다”라고 경고했다.

한편 이번 일을 계기로 CIO들이 자사의 IT 절차를 수정해 보다 적극적인 패치 관리에 나설 것으로 기대되고 있다. 이는 NSA로부터 이터널블루 등 취약점 악용 도구를 훔쳐냈다고 주장하는 섀도우브로커스(Shadow Brokers) 해커 단체에서 더 많은 취약점 악용 공격을 예고하고 있는 현실 속에서 중요한 의미를 지닌다.

카본 블랙의 비스쿠조는 매년 새롭게 발생하는 약 5,000개의 취약점을 일일이 보완하는 것은 불가능하다고 전제하고, CIO들에게 자사에 가장 큰 위협이 되는 취약점의 순서를 정한 후 테스트를 거쳐 업그레이드 일정을 결정해 줄 것을 당부했다.

CIO 들이 유의해야 할 점을 정리하면 첫째, 업무용 컴퓨터의 패치를 주기적으로 업데이트하고 필요 시 비상 패치를 적용할 것. 둘째, PC 운영 체제를 최신 버전으로 업그레이드하고, 백신 소프트웨어를 통해 바이러스 정의 목록을 업데이트하여 유지할 것. 셋째, 랜섬웨어가 네트워크에 침투하더라도 리소스를 빠르게 복원할 수 있도록 PC와 서버를 매일 밤 백업해 둘 것 등이다. ciokr@idg.co.kr 

X