2017.05.30

악성코드 공격 '재발'은 제발! 5가지 예방법

Preston Gralla | Computerworld
전세계 곳곳의 병원과 정부기관, 기업과 개인을 마비시킨 글로벌 워너크라이(WannaCry) 랜섬웨어 공격은 일어나지 않아도 될 사건이었다. 천재 해커 집단들이 엄청난 기술을 이용해 벌인 일이 아니었기 때문이다. 단지 보안 문제 처리에 게으르고 허술한 조직들의 약점을 파고들었을 뿐이다. 여기에 인터넷 시대의 보안 약화에 일조하고 있는 미국 국가보안국(NSA)과 대형 기술 회사들의 미진한 대처도 빌미를 제공했다.



사실 이는 불행 중 다행이라 할 수 있다. 글로벌 악성코드 공격의 재발을 충분히 예방할 수 있다는 뜻이기 때문이다. 그 다섯 가지 방안을 소개한다.

1. NSA의 취약점 비축 금지
랜섬웨어 공격의 기반이 된 해킹 도구는 NSA에서 구축한 것으로서 ‘섀도우 브로커스(Shadow Brokers)’라는 집단이 훔친 후 퍼뜨린 것이다. 뉴욕타임스의 보도처럼 이 랜섬웨어 공격은 “미국 국민이 낸 세금으로 운영되는 NSA에서 개발한 사이버무기가 적에게 탈취되어 환자, 병원, 기업, 정부, 일반 시민들을 대상으로 한 공격에 이용된 첫 사례”였다.

NSA 도구와 랜섬웨어는 윈도우XP, 윈도우 7, 윈도우 8, 윈도우 서버 2003 등 다양한 윈도우 버전의 소프트웨어 취약점을 악용한다. NSA 작업의 대부분은 이처럼 운영체제의 보안 허점을 찾아낸 후 이를 이용할 소프트웨어를 개발하는 방식으로 이뤄진다.

NSA에서 허점을 찾아내더라도 마이크로소프트와 같은 소프트웨어 업체에 통보하지 않고 이를 비축해 두는 경우가 많다. 기업들이 미처 취약점을 보완하지 못한 상태에 있어야만 NSA 해킹 도구의 효과가 높아지기 때문이다. 오바마 행정부는 NSA가 취약점 전부까지는 아니더라도 일부를 기업에 공개하도록 강제하는 조처를 했다. 워너크라이 랜섬웨어 공격은 그와 같이 비축된 여러 취약점 중 하나를 기반으로 이루어졌다.

마이크로소프트 사장 겸 최고법률책임자 브래드 스미스는 이에 대해 NSA를 맹렬히 비난하는 글을 블로그에 남겼다. “전 세계 각국 정부는 이번 공격을 엄중한 경고로 받아들여야 한다. 이제 접근 방식을 바꿔 사이버공간에서도 실제 무기에 적용되는 규칙을 똑같이 준수할 필요가 있다. 취약점 비축으로 인해 민간인이 입는 피해와 악용 사례를 고려해야 한다”고 전제하며 “각국 정부가 취약점을 비축, 판매 또는 악용하지 말고 업체에 신고하는 것을 의무화”하는 디지털 제네바 협정 제정을 촉구했다.

지당한 주장이다. 정부기관의 취약점 비축은 금지해야 한다. 취약점이 발견되는 즉시 기술 업체에 통보하여 허점 보완 패치를 작성할 수 있게 해줘야 한다.

2. 유료 고객만이 아닌 누구에게나 보안 패치 공개 의무화
지난 3월, 마이크로소프트에서는 워너크라이 랜섬웨어가 결국 악용한 허점을 보완하기 위한 보안 패치를 공개했다. 섀도우 브로커스들이 해킹 툴을 훔쳐낸 사실을 인지한 NSA 측에서 마이크로소프트 측에게 이들이 악용하여 퍼트릴 취약점에 대해 알려주었다고 봐야 한다.

워너크라이가 전파돼 피해를 일으킨 이후, 마이크로소프트는 허점을 보완할 또 다른 보안 패치를 공개했다. 이 조치는 XP지원이 공식적으로 중단된 상황임에도 불구하고 XP사용자라면 누구든지 보안 패치를 사용할 수 있게 해 주었다는 점에서 찬사를 받았다.

마땅히 취해야 할 조치였다. 일회성이 아닌 표준 절차로 자리 잡아야 한다. 현재 XP의 공식 지원은 중단된 상태지만 마이크로소프트는 계속해서 보안 패치를 공개하고 있다. 단, 그 대상은 추가 비용을 지불할 의향이 있는 기업에 한정돼 있다. 그러나 XP 보안 패치는 비용을 낼 수 있는 기업뿐만 아니라 모든 이에게 무료로 제공돼야 한다. 마이크로소프트의 스미스는 워너크라이 공격이 각국 정부들의 기존 행태에 변화를 요구하는 엄중한 경고라고 말했다. 필자도 동의한다. 단, 마이크로소프트 측에서도 역시 유념해야 한다고 본다.
 
3. ‘막을 수 있었다’ IT 담당자의 책임 추궁
워너크라이 글로벌 공격을 계기로 전세계 IT담당자의 무능력이 경악할 수준이라는 점이 드러났다. 공격이 있기 전부터 보안 패치는 이미 공개되어 있었다. 이를 제대로 적용하기만 했어도 피해는 막을 수 있었을 것이다. IT 담당자의 기본 의무는 회사의 안전을 지키는 것이다. 이를 위해 가장 기본적으로 해야 할 일 중 하나는 보안 패치가 공개되는 즉시 이를 적용하는 것이다.

만일 IT 담당자가 이런 간단한 업무조차 하지 못한다면 결과의 책임을 져야 하며 최악의 경우 해고까지 각오해야 할 것이다.

4. 자동 업데이트 생활화 
많은 사람이 윈도우 10의 자동 업데이트 기능에 불평을 쏟아내고 있다. 그러나 이제 적응해야 한다. 윈도우를 비롯한 모든 운영 체제는 자동 보안 업데이트가 필수적이다. 어린이들이 한 사람도 빠지지 않고 예방 접종을 받아야 하는 것과 마찬가지이다. 전체의 안전을 위해서는 전체의 면역이 필요한 것이다. 섬처럼 고립된 컴퓨터는 없다. 타협이 허용되는 순간 그 어떠한 컴퓨터도 다른 PC에 대한 공격에 이용될 수 있다.

따라서 자동 보안 업데이트에 대한 불평은 이제 그만해야 한다. 보안 기능이 포함되지 않은 기능 업데이트는 연기할 수 있어야 하지만, 보안 업데이트는 자동 적용되어야 한다. 단, 사용자가 설치 시간을 선택할 수 있도록 해 주어야 한다.

5. 각국 정부의 해적판 사용 자제
중국은 워너크라이의 피해가 특히 심각했다. 막대한 양의 윈도우 소프트웨어가 해적판인데 해적판 소프트웨어는 보안 업데이트가 되지 않기 때문이다. 문제는 중국 정부가 해적판 금지 법률이 있음에도 불구하고 시행하지 않는 것은 물론이거니와 오히려 해적판 소프트웨어 사용에 직접 가담하고 있다는 점이다. 국립대학, 사법당국, 정유, 통신업체 등에서 해적판 윈도우를 사용 중이다. 러시아 역시 이와 같은 이유로 큰 피해를 보았다.

BSA 소프트웨어 얼라이언스(BSA: Software Alliance)의 연구에 따르면, 2015년 기준 불법 소프트웨어 사용 비율이 중국은 70%, 러시아는 64%라고 한다. “BSA의 새로운 글로벌 소프트웨어 설문조사의 일환으로 진행된 분석을 통해 불법 PC 소프트웨어 사용률이 높을수록 심각한 악성코드에 감염될 확률이 높다”고 이미 예견한 바 있다.

따라서 글로벌 악성코드에 다시 감염되는 일을 방지하려면 전 세계 각국 정부는 해적판 사용을 자제해야 한다.

*Preston Gralla는 컴퓨터월드 외부 편집자이자 45권의 서적을 집필한 저술가다. ciokr@idg.co.kr
 



2017.05.30

악성코드 공격 '재발'은 제발! 5가지 예방법

Preston Gralla | Computerworld
전세계 곳곳의 병원과 정부기관, 기업과 개인을 마비시킨 글로벌 워너크라이(WannaCry) 랜섬웨어 공격은 일어나지 않아도 될 사건이었다. 천재 해커 집단들이 엄청난 기술을 이용해 벌인 일이 아니었기 때문이다. 단지 보안 문제 처리에 게으르고 허술한 조직들의 약점을 파고들었을 뿐이다. 여기에 인터넷 시대의 보안 약화에 일조하고 있는 미국 국가보안국(NSA)과 대형 기술 회사들의 미진한 대처도 빌미를 제공했다.



사실 이는 불행 중 다행이라 할 수 있다. 글로벌 악성코드 공격의 재발을 충분히 예방할 수 있다는 뜻이기 때문이다. 그 다섯 가지 방안을 소개한다.

1. NSA의 취약점 비축 금지
랜섬웨어 공격의 기반이 된 해킹 도구는 NSA에서 구축한 것으로서 ‘섀도우 브로커스(Shadow Brokers)’라는 집단이 훔친 후 퍼뜨린 것이다. 뉴욕타임스의 보도처럼 이 랜섬웨어 공격은 “미국 국민이 낸 세금으로 운영되는 NSA에서 개발한 사이버무기가 적에게 탈취되어 환자, 병원, 기업, 정부, 일반 시민들을 대상으로 한 공격에 이용된 첫 사례”였다.

NSA 도구와 랜섬웨어는 윈도우XP, 윈도우 7, 윈도우 8, 윈도우 서버 2003 등 다양한 윈도우 버전의 소프트웨어 취약점을 악용한다. NSA 작업의 대부분은 이처럼 운영체제의 보안 허점을 찾아낸 후 이를 이용할 소프트웨어를 개발하는 방식으로 이뤄진다.

NSA에서 허점을 찾아내더라도 마이크로소프트와 같은 소프트웨어 업체에 통보하지 않고 이를 비축해 두는 경우가 많다. 기업들이 미처 취약점을 보완하지 못한 상태에 있어야만 NSA 해킹 도구의 효과가 높아지기 때문이다. 오바마 행정부는 NSA가 취약점 전부까지는 아니더라도 일부를 기업에 공개하도록 강제하는 조처를 했다. 워너크라이 랜섬웨어 공격은 그와 같이 비축된 여러 취약점 중 하나를 기반으로 이루어졌다.

마이크로소프트 사장 겸 최고법률책임자 브래드 스미스는 이에 대해 NSA를 맹렬히 비난하는 글을 블로그에 남겼다. “전 세계 각국 정부는 이번 공격을 엄중한 경고로 받아들여야 한다. 이제 접근 방식을 바꿔 사이버공간에서도 실제 무기에 적용되는 규칙을 똑같이 준수할 필요가 있다. 취약점 비축으로 인해 민간인이 입는 피해와 악용 사례를 고려해야 한다”고 전제하며 “각국 정부가 취약점을 비축, 판매 또는 악용하지 말고 업체에 신고하는 것을 의무화”하는 디지털 제네바 협정 제정을 촉구했다.

지당한 주장이다. 정부기관의 취약점 비축은 금지해야 한다. 취약점이 발견되는 즉시 기술 업체에 통보하여 허점 보완 패치를 작성할 수 있게 해줘야 한다.

2. 유료 고객만이 아닌 누구에게나 보안 패치 공개 의무화
지난 3월, 마이크로소프트에서는 워너크라이 랜섬웨어가 결국 악용한 허점을 보완하기 위한 보안 패치를 공개했다. 섀도우 브로커스들이 해킹 툴을 훔쳐낸 사실을 인지한 NSA 측에서 마이크로소프트 측에게 이들이 악용하여 퍼트릴 취약점에 대해 알려주었다고 봐야 한다.

워너크라이가 전파돼 피해를 일으킨 이후, 마이크로소프트는 허점을 보완할 또 다른 보안 패치를 공개했다. 이 조치는 XP지원이 공식적으로 중단된 상황임에도 불구하고 XP사용자라면 누구든지 보안 패치를 사용할 수 있게 해 주었다는 점에서 찬사를 받았다.

마땅히 취해야 할 조치였다. 일회성이 아닌 표준 절차로 자리 잡아야 한다. 현재 XP의 공식 지원은 중단된 상태지만 마이크로소프트는 계속해서 보안 패치를 공개하고 있다. 단, 그 대상은 추가 비용을 지불할 의향이 있는 기업에 한정돼 있다. 그러나 XP 보안 패치는 비용을 낼 수 있는 기업뿐만 아니라 모든 이에게 무료로 제공돼야 한다. 마이크로소프트의 스미스는 워너크라이 공격이 각국 정부들의 기존 행태에 변화를 요구하는 엄중한 경고라고 말했다. 필자도 동의한다. 단, 마이크로소프트 측에서도 역시 유념해야 한다고 본다.
 
3. ‘막을 수 있었다’ IT 담당자의 책임 추궁
워너크라이 글로벌 공격을 계기로 전세계 IT담당자의 무능력이 경악할 수준이라는 점이 드러났다. 공격이 있기 전부터 보안 패치는 이미 공개되어 있었다. 이를 제대로 적용하기만 했어도 피해는 막을 수 있었을 것이다. IT 담당자의 기본 의무는 회사의 안전을 지키는 것이다. 이를 위해 가장 기본적으로 해야 할 일 중 하나는 보안 패치가 공개되는 즉시 이를 적용하는 것이다.

만일 IT 담당자가 이런 간단한 업무조차 하지 못한다면 결과의 책임을 져야 하며 최악의 경우 해고까지 각오해야 할 것이다.

4. 자동 업데이트 생활화 
많은 사람이 윈도우 10의 자동 업데이트 기능에 불평을 쏟아내고 있다. 그러나 이제 적응해야 한다. 윈도우를 비롯한 모든 운영 체제는 자동 보안 업데이트가 필수적이다. 어린이들이 한 사람도 빠지지 않고 예방 접종을 받아야 하는 것과 마찬가지이다. 전체의 안전을 위해서는 전체의 면역이 필요한 것이다. 섬처럼 고립된 컴퓨터는 없다. 타협이 허용되는 순간 그 어떠한 컴퓨터도 다른 PC에 대한 공격에 이용될 수 있다.

따라서 자동 보안 업데이트에 대한 불평은 이제 그만해야 한다. 보안 기능이 포함되지 않은 기능 업데이트는 연기할 수 있어야 하지만, 보안 업데이트는 자동 적용되어야 한다. 단, 사용자가 설치 시간을 선택할 수 있도록 해 주어야 한다.

5. 각국 정부의 해적판 사용 자제
중국은 워너크라이의 피해가 특히 심각했다. 막대한 양의 윈도우 소프트웨어가 해적판인데 해적판 소프트웨어는 보안 업데이트가 되지 않기 때문이다. 문제는 중국 정부가 해적판 금지 법률이 있음에도 불구하고 시행하지 않는 것은 물론이거니와 오히려 해적판 소프트웨어 사용에 직접 가담하고 있다는 점이다. 국립대학, 사법당국, 정유, 통신업체 등에서 해적판 윈도우를 사용 중이다. 러시아 역시 이와 같은 이유로 큰 피해를 보았다.

BSA 소프트웨어 얼라이언스(BSA: Software Alliance)의 연구에 따르면, 2015년 기준 불법 소프트웨어 사용 비율이 중국은 70%, 러시아는 64%라고 한다. “BSA의 새로운 글로벌 소프트웨어 설문조사의 일환으로 진행된 분석을 통해 불법 PC 소프트웨어 사용률이 높을수록 심각한 악성코드에 감염될 확률이 높다”고 이미 예견한 바 있다.

따라서 글로벌 악성코드에 다시 감염되는 일을 방지하려면 전 세계 각국 정부는 해적판 사용을 자제해야 한다.

*Preston Gralla는 컴퓨터월드 외부 편집자이자 45권의 서적을 집필한 저술가다. ciokr@idg.co.kr
 

X