[보안칼럼]랜섬웨어, 피해복구 대책 마련해야

올해 가장 많이 등장한 키워드는 코로나19다. 코로나19의 위험은 감염과 전파력의 강력함에 있다. 랜섬웨어도 이 같은 감염과 전파력의 강력함이 있다. 랜섬웨어는 변형된 형태로 지속 발전하면서 위협이 된다.

지난 2017년 세계를 떠들썩하게 한 랜섬웨어가 있다. 정보기술(IT) 관리자를 울고 싶게 만든 '워너크라이' 랜섬웨어다. 세계 12만대 이상의 컴퓨터를 감염시킨 이 랜섬웨어는 기존 랜섬웨어와 완전히 다른 전파 방식을 보였다. 기존 랜섬웨어는 대부분 인터넷에서 특정 웹사이트에 접속하거나 악성코드가 포함된 첨부파일을 열어서 감염됐기 때문에 대규모 전파가 많지 않았다. 워너크라이는 운용체계(OS)에 포함된 파일공유기능(SMB 서비스)을 통해 네트워크에 연결됐다는 이유만으로 수많은 컴퓨터를 감염시켰다.

회사 시스템 담당자는 네트워크 보안 장비를 통해 SMB 포트를 차단, 다른 네트워크로 전파되는 것을 막았다. 백신 업체에서 만든 전용 백신을 설치하고 패치가 나온 후 이를 배포 툴(PMS)을 통해 PC와 POS 등 단말로 배포했다. 이런 종류의 전파 체계로 된 악성코드는 작은 구멍 하나만 있으면 침투해서 네트워크 내 단말과 서버를 모조리 감염시킨다. 흔히 폐쇄망이라 괜찮다고 하지만 진정한 폐쇄망이라는 것이 존재할까. 어느 회사에나 있는 '예외' 적용과 데이터 인터페이스 때문에 열어 놓은 부분이 있기 마련이다.

최근 암호화폐 가격이 다시 뛰면서 랜섬웨어가 기승을 부리고 있다. 지난해부터 꾸준히 유포되는 클롭(CLOP) 랜섬웨어는 전파 방식이 워너크라이와 유사하지만 주로 기업에서 운영하는 액티브 디렉토리(AD) 망을 목표로 삼는다. 이 랜섬웨어도 이용자 행위나 개입 없이 네트워크 취약점을 통해 전파되기 때문에 컴퓨터 한 대가 감염되면 해당 네트워크에 포함된 수많은 컴퓨터가 감염된다. 일반 PC뿐만 아니라 윈도 서버도 AD 망으로 묶여 관리되기 때문에 데이터베이스관리시스템(DBMS)이나 메일 서버 등이 감염될 가능성이 있다. 서비스 전체에 문제가 생기므로 파급효과가 크다.

OS 보안 패치를 꾸준히 적용한다고 해도 안심할 수 없다. 취약점이 나온 후에 보안 패치가 나오고 악성코드가 나오고 나서 백신이 나오기 때문에 항상 시간차가 있고, 해커는 그 틈을 노린다. OS에 포함된 방대한 코드에는 언제나 보안 취약점이 있다. 심지어 중앙처리장치(CPU) 설계상 문제로 IT 보안 관리자가 손을 놓게 되는 경우도 생긴다.

랜섬웨어에 대한 기술 대책이 전혀 없는 것은 아니다. 화이트리스트 백신으로 사전에 차단하고 랜섬웨어 피해복구 툴로 사후에 복구할 수 있다. 화이트리스트 백신은 블랙리스트 백신과 다르게 사전에 허용된 프로세스와 영역 외에는 실행되지 못하게 하는 방식으로 단말을 보호한다. 기존 방식이 테러리스트를 등록해 관리하는 방식이었다면 이 방식은 허용 받은 일부 사람만 등록, 나머지를 모두 차단한다.

이는 감염 위험을 현저히 떨어뜨리기 때문에 운영기술(OT) 영역에는 적합하지만 IT 영역인 사무용 PC에 적용하기에는 무리가 있다. 또 일부 예외를 허용할 수밖에 없기 때문에 완벽하다고 할 수 없다. 이에 감염될 수 있다는 가정 아래 피해복구 솔루션이 개발됐다. 엔드포인트탐지대응(EDR) 솔루션 가운데 랜섬웨어 피해복구 기능을 포함한 솔루션도 있다. 이런 솔루션은 OS 섀도 영역에 복사본을 마련한 뒤 감염 시 암호화된 파일 복구에 이를 활용한다. 감염이 되더라도 데이터를 기존 상태로 복구할 수 있다.

세상에는 수많은 랜섬웨어가 있다. 코로나19처럼 전파력은 강해지고 암호화 기법 또한 다양해진다. 감염되지 않도록 OS 보안 패치, 화이트리스트 백신 도입, HTTPS를 포함한 웹 트래픽 검색과 악성코드 유입 차단 등이 필요하지만 감염을 가정한 피해복구 솔루션이 현재 가장 시급하다.

한은혜 에스에스앤씨 대표 nonehan@secnc.co.kr