WannaCry 랜섬웨어란 무엇일까요?

WannaCry는 2017년 5월에 처음 보고된 글로벌 랜섬웨어 공격 중 하나입니다. WannaCry는 미국, 영국, 인도, 대만, 러시아, 우크라이나 등 150개국에서 하루에 23만 대가 넘는 컴퓨터를 감염시켜 수십억 달러의 피해를 입힌 것으로 추정됩니다.

WannaCry는 피싱 이메일이나 소셜 엔지니어링을 통해서가 아니라 웜으로 전파된다는 점에서 알려진 랜섬웨어 공격 중 독보적입니다. 이 공격은 북한이나 북한의 사이버 범죄자 단체인 라자루스 그룹에 의해 시작된 것으로 추정됩니다. WannaCry 랜섬웨어 공격은 멀웨어 연구원인 마커스 허친스(Marcus Hutchins)가 코드 내에서 킬 스위치를 발견한 후 하루 만에 무력화되어 영향을 받는 컴퓨터가 멀웨어를 더 확산시키지 못하게 되었습니다.

랜섬웨어의 일종인 WannaCry는 피해자의 컴퓨터나 서버에 있는 파일을 암호화해 랜섬을 지불할 때까지 접속 또는 사용을 차단합니다. 원래 WannaCry 랜섬은 300달러의 비트코인으로, 일정 기간 내에 지불되지 않으면 600달러로 랜섬을 높였습니다. WannaCry는 파일 및 데이터에 대한 접속을 차단함으로써 공격의 영향을 받은 기업의 IT 시스템을 쉽게 손상시킬 수 있었습니다.

WannaCry는 호스트 파일이나 사람의 개입 없이 빠르게 확산할 수 있는 일종의 멀웨어인 웜으로 확산된다는 점 때문에 랜섬웨어 중에서도 독특한 면모를 보입니다. 감염된 컴퓨터에서 멀웨어를 전달하고 설치하는 드롭퍼 또는 독립형 프로그램과 같이 나타납니다. WannaCry 드롭퍼 내 파일에는 데이터 암호화 및 해독용 애플리케이션, 암호화 키가 있는 파일, 랜섬웨어 운영자가 명령 및 제어(C2) 통신에 사용하는 Tor 사본이 들어 있습니다. 멀웨어가 한 디바이스에 침투하면 감염된 컴퓨터와 통신하는 패치되지 않은 다른 디바이스로 멀웨어가 전파되어 영향을 미쳤습니다.

WannaCry는 미국 국가안보국(NSA)에서 개발한 'EternalBlue'라는 취약점을 악용했는데, 이는 NSA 자체에 대한 공격에서 Shadow Brokers라는 단체에 의해 도난당했습니다. EternalBlue 악용은 특정 보안 패치를 받지 않은 이전 버전의 Microsoft Windows에서만 효과적이었지만, 2017년에는 많은 머신이 패치되지 않아 멀웨어가 빠르게 확산되었습니다.

WannaCry는 네트워크 노드가 통신하도록 지원하는 서버 메시지 블록(SMB) 프로토콜에 대한 Windows의 관리 방식에 존재하는 취약점을 이용했습니다. 보안 취약점으로 인해 EternalBlue라는 특수하게 조작된 패킷이 SMB를 속여 임의의 코드를 실행하도록 합니다. Microsoft는 몇 달 전에 이 취약점에 대한 패치를 발표했지만, 전 세계 수천 대의 컴퓨터가 패치되지 않고 보호되지 않은 상태였습니다.

스페인의 모바일 회사 Telefónica와 영국의 건강보험공단(NHS)를 비롯해 전 세계 많은 대규모 조직이 피해를 입었습니다. 영국의 경우 피해를 입은 병원 중 3분의 1이 구급차를 새로 편성해야 했습니다.

WannaCry 소스 코드를 조사하던 중 보안 블로거이자 연구원인 마커스 허친스(Marcus Hutchins)가 멀웨어가 실행 전에 존재하지 않는 도메인인 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com을 쿼리한다는 사실을 발견했습니다. WannaCry는 이 가짜 도메인으로부터 응답을 받지 않은 후 영향을 받은 시스템에서 암호화 프로세스를 실행하기 시작했습니다. 허친스가 도메인을 등록한 후에도 멀웨어는 계속 확산되었지만, 도메인의 쿼리가 실제 결과를 반환했기 때문에 파일 암호화가 중단되었고 위협을 근본적으로 무력화했습니다.

Windows 운영 체제에 내장된 자동 업데이트 기능으로 최신 패치가 설치된 모든 Windows 10 컴퓨터가 2017년 5월까지 WannaCry로부터 보호되었습니다. Microsoft는 결국 Windows XP 시스템과 이전 버전의 운영 체제에서도 SMB 패치를 제공했습니다.

WannaCry 랜섬웨어 웜은 계속 위협이 되고 있습니다. 최신 버전의 WannaCry에서는 킬 스위치 도메인이 코드에서 제거되었습니다. 이러한 변종은 여전히 EternalBlue SMB 취약점을 악용하며 패치되지 않은 시스템과 Windows 컴퓨터를 감염시킬 수 있습니다.

WannaCry와 같은 공격을 방어하려면 사이버 보안에 대한 포괄적인 멀티레이어 접근 방식을 도입해야 합니다.

• 업데이트 및 패치. WannaCry 랜섬웨어를 무력화하는 것 외에도 최신 보안 업데이트와 패치를 적시에 적용하면 하드웨어와 소프트웨어의 취약점을 악용하는 다양한 공격을 방지하는 데 도움이 될 수 있습니다.

• 제로 트러스트 보안. 제로 트러스트 접근 방식은 아무것도 신뢰하지 않으므로 많은 공격을 방어하고 측면 이동을 제한합니다. 제로 트러스트에 기반하면 모든 사용자, 디바이스, 애플리케이션을 재인증하고 IT 자산에 대한 접속을 요청할 때마다 검증해야 합니다. 최소 권한 원칙은 필요에 따라 제한된 기간에만 접속을 허용함을 의미합니다.

• 중앙 집중식 정책 관리. IT 관리자가 단일 위치에서 보안을 관리할 수 있으면 보안 격차를 방지하고 최신 위협 인텔리전스를 활용하는 데 도움이 되는 전사적 정책을 설정할 수 있습니다.

• 안티바이러스 및 안티멀웨어 기술. 안티바이러스 및 안티멀웨어 솔루션은 네트워크 트래픽을 지속적으로 모니터링함으로써 랜섬웨어 공격과 관련이 있을 수 있는 잠재적으로 유해한 트래픽, 이메일, 첨부 파일을 필터링할 수 있습니다.

• 직원 교육. 많은 공격을 가능하게 하는 데는 인적 오류가 중요한 역할을 하기 때문에, IT 팀은 직원들에게 최신 사이버 범죄 기법과 공격을 차단하기 위해 직원이 사용해야 하는 모범 사례에 대한 교육을 지속적으로 제공해야 합니다.

• 암호화. 파일을 암호화하면 데이터 유출 또는 기밀 정보를 유출시키는 랜섬웨어 공격이 발생했을 때 민감한 정보 유출을 방지할 수 있습니다.

• 강력한 ID 및 접속 제어. 강력한 비밀번호 및 멀티팩터 인증과 같은 보안 요소는 공격자가 계정 및 IT 환경에 무단으로 접속하는 것을 방지하는 데 도움이 될 수 있습니다.

• 백업. 백업을 빈번하게 수행하는 것도 랜섬웨어가 감염시킬 수 없는 오프사이트에 각 파일의 복사본을 저장하여 확보함으로써 랜섬웨어로부터 보호할 수 있는 방법입니다.

• 지속적인 모니터링. IT 팀은 기술 환경을 지속적으로 모니터링해 잠재적인 위협을 검색함으로써 잠재적인 공격을 조기에 파악할 수 있습니다.

• 네트워크 세그먼테이션. 네트워크를 더 작은 서브넷으로 세그멘테이션하면 네트워크의 한 부분에서 공격이 성공해도 다른 부분의 파일이 감염되는 것을 방지할 수 있습니다. 소프트웨어 정의 마이크로세그멘테이션은 개별 워크로드를 격리해 해커가 시스템을 측면 이동하여 민감한 데이터에 접속하지 못하게 함으로써 더욱 강력한 보안을 제공합니다.

• 보안 인증. IT 팀은 보안 인증을 유지하고 규제 프레임워크 준수를 모니터링해 함께 협력하는 모든 벤더사가 랜섬웨어 및 기타 사이버 공격을 방지하기 위한 모범 사례를 준수하도록 해야 합니다. 예를 들어 헬스케어 기관과 응급 대응 담당자는 보안 제어를 설정하기 위해 DISA(Defense Information Systems Agency)에서 정한 표준을 준수함으로써 데이터 및 환자 기록의 보안을 보장할 수 있습니다.