워너크라이 랜섬웨어(WannaCry Ransomware) 랜선을 뽑으라?

윈도우 SMB 취약점을 이용한 워너크라이(WannaCry) 랜섬웨어 유포에 따른 피해와 우려가 확산되고 있습니다. 킬스위치가 없는 변종이 등장했다는 소식부터 워너크라이 랜섬웨어 예방법들이 올라오는데 이미 패치가 된 윈도우에는 필요없는 예방법 때문에 일반 사용자들이 혼란과 어려움을 겪기도 하는 듯 합니다.

워너크라이(WannaCry) 랜섬웨어 때문에 PC의 인터넷 연결을 끊고 부팅해서 윈도우 SMB 기능을 끄고 다시 연결 후 보안 업데이트를 하라는 건 사용하는 윈도우가 최신업데이트 상태가 아닌 경우에만 하면 되는 겁니다.

윈도우 10의 경우 일반 사용자가 따로 설정을 하지 못하게 만든 자동 보안업데이트 설정이기에 특별한 상황이 아닌 이상 이미 보안 업데이트가 된 상태라서 윈도우 10 사용자들은 이번 랜섬웨어 공격의 영향을 크게 받지 않았다고 볼 수 있습니다. 윈도우 8.1이나 윈도우 7의 경우도 자동 업데이트 설정이 아니고 최신 업데이트가 안 된 상태일 경우만 문제가 있는거니 윈도우 업데이트 잘 하고 있었던 분들은 그냥 평소대로 사용하면 됩니다.

즉 현재 자신의 윈도우(예: 10, 8.1, 7)가 자동 업데이트 설정이고 최신 업데이트가 이루어진 상태라면 해당 취약점이 해결 된 안전한 상태이기에 크게 걱정할 필요가 없습니다.


윈도우 10이나 윈도우 8.1의 경우는 설령 서드파티 보안 소프트웨어 (예: 카스퍼스키, 이셋(ESET), 노턴, 비트디펜더, 알약, V3 등등)가 설치되어져 있지 않더라도 내장 된 윈도우 디펜더(Windows Defender)도 워너크라이(WannaCry) 랜섬웨어을 탐지하고 있고 변종에 대해서도 지속적인 업데이트로 탐지를 하고 있습니다. 이런 대규모 피해를 주는 악성코드는 보안업체들이 서로 긴밀하게 정보를 공유하기 때문에 정말 허접하지 않는 이상 대다수 보안업체 제품들이 현재까지 탐지 된 워너크라이 랜섬웨어와 변종은 정보공유를 하기에 빠르게 탐지를 합니다 물론 계속 새로운 변종이 나오겠지만 말이죠.

워너크라이 랜섬웨어가 이용한 윈도우 취약점은 전체 윈도우 OS에 모두 영향을 주지만 유포에 사용한 Shadow Brokers 가 미국 국가안보국(NSA)으로 부터 탈취한 사이버 무기(Cyber Weapon) '이터널블루(Eternal Blue)' 취약점 중 윈도우 SMB 취약점은 이미 Microsoft에서 2017년 3월 윈도우 정기 보안 업데이트로 해결했음에도 보안업데이트를 하지 않은 기기들이 감염되고 있는 것입니다

문제가 심각해진 이유는 Microsoft 보안 패치가 적용되지 않은 기기로 원격 접속하여 감염을 일으키는 웜(Worm) 공격형태이기 때문에 같은 네트워크에 워너크라이 랜섬웨어에 감염 된 PC가 있다면 IP 스캔 후 아직 보안 패치가 적용되지 않은 기기로 자동으로 전파되기 때문에 네트워크에 연결 되어있고 아직 보안 업데이트가 안 된 윈도우를 사용한다면 아무런 행동을 하지 않아도 PC가 감염 될 수 있기 때문입니다 더욱이 지원이 종료 된 윈도우 OS를 사용하는 곳들이 많기에 대규모 감염이 성공할 수 있었던거죠.

무엇보다 이번 사태는 국가레벨에서 수집되어진 소프트웨어 취약점을 사용한 사이버 무기가 탈취되면 이런 양날의 검이 될 수 있다는 게 다시한번 확인 된 점이 중요하다고 보이며 윈도우 SMB 취약점은 이전에도 여러 우려가 있었음에도 미국 국가안보국(NSA)의 사이버무기 '이터널블루' 취약점이 탈취/공개 된 후 Microsoft 가 바로 이 취약점을 패치한 걸 보면 Microsoft가 일부러 취약점을 만든 건 아니더라도 눈치채고 있었으면서도 고치지 않고 있었을 수도 있다는 합리적 의심에 도달하게 됩니다. 물론 Microsoft는 현사태를 야기한 미국 국가안보국(NSA)을 비난하는 입장을 표면적으로 보이고 있지만 말이죠.

워너크라이 랜섬웨어는 이 악성코드 자체보다 유출 된 사이버 무기를 이익집단이 악용했을 때 어떤식으로 단기간에 전세계에 타격을 입힐 수 있는지 보여주었다는 점에서 사아버 무기에 대한 정보공개와 논의가 더욱 적극적으로 필요한 시점이 아닐까하는 생각이 듭니다.

한국이던 외국이던 기업, 상점, 공공기관, 병원, 학교 등등에는 아직도 지원이 종료 된 윈도우 XP가 많이 사용되고 있고 2020년 1월 14일까지 보안업데이트 지원(윈도우 OS Extended Support)을 하고 있는 윈도우 7의 경우도 기업에서는 여러가지 이유로 업데이트를 중지시키는 경우가 생각보다 많습니다. 개인사용자의 경우 보안패치에 안 하는 건 보안의식이 떨어진다는 비판을 받을 수 있지만 (이번의 경우도 내 PC가 감염되어도 난 별 문제 없다는 사용자도 있겠지만 당신 PC가 다른 여러 사람들의 PC와 데이터에 민폐와 피해를 끼친다는 걸 알아야 할 겁니다) 업데이트로 인한 안정성과 호환성면에서 테스트 기간이 필요한 것도 사실입니다 정말 비판 받아야 할 건 기업이나 공공기관이 보안과 유지보수에 비용을 제대로 투자도 지불도 하지 않으면서 안정성과 호환성을 이야기하며 면피를 하려고 노력할 때겠죠. 테스트기간을 단축하고 최대한 빨리 보안패치를 적용하는 모습을 보여야하겠죠. 소프트웨어 취약점은 계속 발견될테고 요즘같은 시기에 보안패치를 안 하는 건 사용자의 데이터에 치명적 위험을 감수해야하는 일입니다.

이번 사태로 또 다른 반사이익을 본 집단이 보안회사들이 아닐까 하는 게 이미 윈도우 10이 악성코드 탐지기능(Windows Defender)을 내장한 상태에서 서드파티 보안 소프트웨어 설치와 유용성에 대해 회의적인 시각을 보이던 여론을 반전시켰다는 점도 흥미롭게 보고 있습니다. 유명 보안회사의 제품들(예: 카스퍼스키, 이셋(ESET) 등)은 네트워크 레벨에서 이번 취약점을 탐지하고 있고 변종에 대해서도 빠르게 정보를 수집하고 있습니다 그러나 이 사태의 한 단면을 유심히 보면 보안 소프트웨어(백신)보다 사용자가 사용하는 시스템의 보안 업데이트가 훨씬 더 중요하다는 걸 알 수 있죠. 이터널블루(Eternal Blue) 취약점에 대해 이미 두달전에 MS에서 윈도우 보안 패치를 공개했다지만 공격이 시작되었을 때 보안 소프트웨어 중 카스퍼스키, 이셋(ESET) 그리고 F-Secure (*방화벽 기능을 포함한 인터넷 시큐리티 제품군) 단 3제품만이 이 취약점을 네트워크 레벨에서 방어했다는 테스트 보고서를 보아도 윈도우 업데이트가 더 중요하다는 반증이 아닐까 합니다.  

하여튼 사용하는 소프트웨어와 윈도우 업데이트를 통해 사용하는 윈도우를 항상 최신 보안업데이트가 된 상태를 유지하게 가장 중요하고 의심스러운 메일이나 파일은 실행하지 않는 습관도 중요합니다. 특히 Microsoft Office 의 경우도 취약점이 큰 문제가되고 있고 공격통로로 이용되었기에 Microsoft Office 사용자의 경우 반드시 Microsoft Office 업데이트에도 신경써야 합니다.


* 웜바이러스 형태의 취약점 공격이기에 MS에서는 이례적으로 보안 업데이트가 종료된 윈도우 서버 2003, 윈도우 XP 등에도 긴급 보안패치(KB4012598)를 제공하고 있습니다. 아직도 윈도우 XP를 사용하는 곳이 있다면 윈도우 업데이트 기능을 통해 반드시 보안 패치를 설치하기를 바랍니다.

* 스마트폰이나 애플 제품들은 현재 워너크라이 랜섬웨어 공격에 영향을 받지 않습니다.





- SMB 취약점을 악용한 랜섬웨어 방지 요령

- KB4012598 긴급 보안 패치: Windows Server 2003, Windows XP, Windows Vista, Windows 8

- ETERNALBLUE vs Internet Security Suites and nextgen protections

- Proactive protection against the WannaCry ransomware (not the exploit)