국내·외 보안 인텔리전스 네트워크 확대 필요성 대두
유럽에서 시작된 워너크라이 랜섬웨어가 국내에 본격적으로 상륙한지 일주일이 지났다. 지난 주말내 유럽을 중심으로 150개국 30만대 이상의 컴퓨터를 감염시켜 막대한 피해를 입힌 워너크라이 랜섬웨어는 명성에 비해 국내에서는 눈에 띄는 큰 피해가 발생하진 않은 것으로 나타났다.
워너크라이 랜섬웨어의 소스코드를 처음 공개한 것으로 알려진 '쉐도우 브로커스'는 최근 자신들의 공식 소셜네트워크서비스(SNS)를 통해 미국 국가안전보장국(NSA)에서 보유하고 있던 다량의 해킹툴의 소스코드를 추가로 공개할 계획을 밝힌바 있다. 이에 글로벌 전역의 보안 당국과 민간 보안업계에서는 그동안 NSA가 공개하지 않았던 소프트웨어(SW) 취약점 내역을 공개하라는 목소리를 냄과 동시에 자체적으로 보안 취약점 점검에 나선 것으로 알려졌다.
국내 보안당국과 민간 보안업계에서는 워너크라이 랜섬웨어로 인해 국민들과 고객사들 사이에 특별한 피해가 발생하지 않았다는 점에서 안도의 한숨을 쉬고 있는 것으로 나타났다. 하지만 이번 사태를 통해 그동안 알려지지 않았던 사이버공격 대비의 부족한 점을 발견할 수 있어, 이에 대한 대책 마련이 새로운 과제로 떠올랐다.
워너크라이 랜섬웨어 국내 상륙과 본격 대응 시작
국내의 경우 미래창조과학부와 보안 실무 당국인 한국인터넷진흥원(KISA)는 이번과 같은 추가적인 대규모 사이버공격에 철저한 대비에 나설 계획을 전했다. 또한 국가사이버위기 경보를 당분간 '주의'로 유지하며 비상모니터링 체제를 유지할 계획으로 알려졌다. 하지만 이번 랜섬웨어 비상체제 기간동안 KISA가 운영 중인 보안 정보 포탈 '보호나라'가 다운되는 등 문제점이 발견돼 추가적인 랜섬웨어나 사이버공격에 앞서 미쳐 대비하지 못했던 문제점을 개선해야 한다는 목소리도 커졌다. 이와 함께 정부 보안당국뿐만 아니라 민간 보안 업체와도 긴밀한 보안 인텔리전스 공유의 필요성도 대두됐다.
지난 13일(현지시간) 워너크라이 랜섬웨어가 유럽에서 처음 유포되며 미쳐 대비를 하지 못한 유럽 각국 특히 영국 국민보건서비스(NHS) 산하 병원, 프랑스 자동차 제조사 르노 등 유럽 전역에서 초기에 큰 피해를 입었다. 이에 따라 국내에서는 미래창조과학부와 KISA가 '워너크라이 랜섬웨어 비상대응체계 구성'을 하며 보호나라를 통한 'SMB 취약점을 이용한 랜섬웨어 주의' 긴급 보안 공지를 하며 대응이 본격화됐다.
이와 동시에 KISA는 국내 민간 보안업체와 인텔리전스 공유를 통해 워너크라이 랜섬웨어 코드 분석 및, 변종 발견 공유, 추가 업데이트 진행 등을 주도하며 보안당국과 민간 보안업체의 대응을 일원화해 효과적인 대응을 할 수 있었던 것으로 나타났다.
박상환 KISA 실장은
KISA는 그간 민간 보안업체, 전문가들과 민간 분야 사이버 침해사고에 대비한 정보 공유 및 공동대응을 위한 인텔리전스 네트워크 등 협력체계를 구축해왔고, 이번 워너크라이 랜섬웨어 사태에서도 인텔리전스 네트워크를 통해 정보 공유가 이뤄져 민간 영역의 피해가 최소화됐다.
이번 워너크라이 랜섬웨어는 마이크로소프트(MS)의 윈도 운영체제(OS)의 공유 폴더 및 공유 프린터 등 공유 관련 서비스를 관리하는 SMB(server message block) 취약점을 노린 사이버공격으로, 취약점 패치가 없다면 방어할 수 없는 일종의 '제로데이' 공격 형태로 진행됐다.
해당 취약점은 윈도 OS을 개발한 MS가 취약점 분석 후 패치를 배포하는 것으로, 이번 유럽 등 피해가 많이 발생한 지역의 경우 MS가 지난 2014년 4월 8일 모든 공식 지원을 종료하기로 선언한 윈도XP를 사용 중 랜섬웨어에 감염된 것으로 나타났다.
MS에 따르면 SMB 취약점의 경우 지난 3월 윈도XP를 제외한 나머지 OS, 윈도 비스타, 윈도8, 윈도8.1, 윈도10, 윈도 서버군 등 모든 OS는 이미 취약점 패치 업데이트를 진행했던 것으로 확인됐다. 이번 랜섬웨어 사태는 이미 지원이 종료된 SW를 사용 중이었거나 MS 등 SW 개발사에서 제공하는 보안 업데이트를 적용하지 않았던 점이 일차적인 원인으로 지목됐다.
박미숙 한국MS 과장은
MS에서는 이번 워너크라이 랜섬웨어 사태에 있어서 이미 지난 3월 윈도 전체 업데이트를 통해 취약점 패치 작업을 진행했다. 이미 지원이 종료된 윈도XP의 경우에도 추가로 취약점 패치 업데이트 파일을 제공하는 만큼 윈도OS를 이용 중인 사용자는 반드시 패치를 적용해야 한다.
MS는 국내 뿐만 아니라 글로벌 보안 인텔리전스를 통해 보안에 관한 다양한 정보롤 수집·분석하며 대응책 마련을 하고 있고, 향후에도 윈도OS 사용자는 MS가 제공하는 자동업데이트을 통해 반드시 보안 패치나 기능 추가 등 다양한 업데이트를 적용해야 한다.
보안 포털 '보안나라' 다운...보안 인텔리전스 강화 필요
KISA를 비롯한 국내 보안 전문가들은 이번 워너크라이 랜섬웨어의 경우 지난 3월 이미 MS에서 취약점 패치 업데이트를 제공한 점을 통해 윈도7 이상의 OS를 이용중인 사용자는 큰 피해를 입지 않았다며, 모든 국민들이 SW 개발사가 제공하는 업데이트를 반드시 적용해달라고 목소리를 높였다. 이와함께 KISA는 국민들의 SW 업데이트를 통한 취약점 보완을 위한 홍보 활동도 나설 계획인 것으로 전해졌다.
국내 A 보안업계 관계자는
워너크라이 랜섬웨어가 발생했다는 정보를 입수한 이후 지난 주말 동안 보안 전문가들이 총 동원돼 고객사들의 IT 시스템 전체를 업데이트하고 지금까지 계속 비상 모니터링 체제를 구축해 운영 중이며, 이 과정에서 KISA를 비롯해 국내 보안 업계와 랜섬웨어 관련 정보를 공유하고 대응 방법을 논의하는 등 랜섬웨어로부터 피해를 막기 위해 최선을 다하고 있다.
현재 국내 보안업계에 따르면 KISA를 중심으로 사이버위협에 대응한 인텔리전스 네트워크를 구성해 국내 민간보안업체인 '안랩', '이스트소프트', '하우리', '잉카', 'NSHC', '빛스캔' 그리고 글로벌 보안업체인 '파이어아이', '포티넷', '맥아피', '마이크로소프트', '팔라알토' 등과 정보 공유 및 분석 등 공동 대응에 나서고 있는 것으로 나타났다. KISA에 따르면 이번 랜섬웨어 사태를 통해 인텔리전스 네트워크에 국내외 민간 보안업체를 더욱 확대해 운영할 계획을 준비 중이다.
국내 보안 당국과 민간 보안업체의 노력으로 이번 워너크라이 랜섬웨어로 인한 피해가 예상보다 적게 발생한 것은 사실이나 추가로 보완해야 할 문제점 역시 발견됐다.
먼저, KISA가 운영 중인 보안 포탈 '보호나라'의 경우 국내 본격적인 랜섬웨어 공격이 시작될 것으로 예상된 지난 15일(월) 오전 시간대에 접속자들이 순간적으로 늘어남에 따라 홈페이지가 1시간 이상 다운되는 문제가 발생했다. 보호나라는 국내 보안 위협 경고나 대응 방법, 보안 패치 등을 제공하는 홈페이지로 이 곳이 가장 중요한 때에 1시간 이상 다운됐다는 점은 향후 발생할 수 있는 추가 사이버공격에 앞서 반드시 보완이 필요하다.
또한 윈도XP를 비롯한 MS에서 더이상 공식적인 지원을 종료한 OS를 이용하는 사용자 관리가 필요하다. 특히 지난 2014년 지원을 종료한 윈도XP와 더불어 윈도 비스타의 경우도 지난 4월 공식 지원이 종료돼 취약점 등 보안 문제가 발생하더라도 MS로부터 패치 등 업데이트를 받을 수 없게 된다. 또한 현재 우리나라에서 가장 높은 OS 점유율을 차지하고 있는 윈도7에 대한 대비도 필요하다. 윈도7은 지난 2015년 일반지원을 종료했으며, 추가 연장지원을 오는 2020년 1월까지만 제공할 계획인 것으로 알려졌다.
민간 보안 업계에서는 이번 워너크라이 랜섬웨어가 제로데이 취약점을 노린 형태로, 향후 이 같은 사이버공격이 추가로 발생할 가능성이 높은 것으로 보고 있다. 이에 따라 악성코드나 랜섬웨어, 해킹 정보 등 사이버공격 정보를 공유하는 보안 인텔리전스 네트워크를 글로벌 보안 기업으로 확대할 계획을 준비 중인 것으로 알려졌다.
제로데이 취약점 공격의 경우 발견된 최약점을 얼마나 빨리 패치할 수 있으냐가 피해를 줄일 수 있는 핵심으로 이를 위해서는 빠른 정보 획득과 분석이 필수적이다. 보안업계에 따르면 이 과정은 보안업체 단독으로는 불가능하며, 다수의 보안업체가 함께 정보 공유·분석·처리 및 보안 솔루션 배포 등을 해야한다.
박상환 KISA 실장은
국민의 안전을 위협하는 사이버위협에 대비하기 위해 민간 협력 체계를 강화할 계획이며, 향후 국내 기업들을 대상으로 모의훈련, 보안점검 등을 실시해 부족한 점으로 평가 받은 대응체계를 점검하고 수준을 높여 나갈 것이다.
GIF
GIF
