뉴스 본문

워너크라이 이어 세계 최대 규모의 봇넷 출현 가능성 높아

[서울, 2017년 6월 1일] 전세계 곳곳의 병원과 정부기관, 기업과 개인을 마비시킨 워너크라이(WannaCry) 랜섬웨어 공격이 다행히도 국내에서는 대규모 피해로 이어지지는 않은 것으로 나타났다. 그러나 랜섬웨어의 위협은 여전히 '진행 중'이며 더 강해져서 돌아올 것이라는 전망이 지배적이다. 

이에 고성능 네트워크 사이버 보안 솔루션의 글로벌 리더인 포티넷코리아(지사장 조현제)는 데릭 맨키(Derek Manky) 포티넷 글로벌보안전략가를 통해 향후 랜섬웨어에 대한 전망을 제시했다. 

워너크라이(WannaCry) 익스플로잇은 전세계적인 이슈였으나 지금은 세력이 잦아든 것으로 보인다. 이제 최악의 상황을 면한 것인가? 아니면 태풍의 눈처럼 잠시 잠잠할 뿐인가?

여러 가지 면에서 워너크라이(WannaCry) 위기 사태가 어느 정도 진정되었다고 봅니다. 익스플로잇 키트란 모두 절반만 살아있는 것과 같습니다. 제가 보기에 이 취약성(SMB CVE 2017-0144)은 고수위(HWM)를 넘긴 것 같습니다. 가장 큰 이유는 사이버 범죄자들이 ‘기습’이라는 요소를 잃어버렸기 때문입니다. 그리고 전세계 법 집행 기관, 국립 CERT 및 사이버 위협 연합(Cyber Threat Alliance, CTA) 등 다양한 인력이 힘을 모아 해결 방안을 제시한 노력 덕분이기도 합니다.

‘Adylkuzz’와 같은 신형 공격이 워너크라이(WannaCry) 공격을 이어 공세를 퍼부을 것이라는 전망이 있다. 이를 어떻게 보는가?

몰래 숨어서 작동하는 봇넷이란 원래 우리가 대비하고 있는 것에 비해 더 큰 성공을 거두고, 감지하기도 어려운 법입니다. 기습 공격이 대규모로 일어나면 모두가 다음 번 공격에 대비하게 되죠. 대부분의 기업 조직에서는 이미 문단속을 한 상태이고, 워너크라이(WannaCry)나 그와 비슷한 익스플로잇의 공격이 반복될 가능성에 경계를 철저히 하고 있는 상태입니다. 전세계 전기통신 제공업체에서도 포트 445를 차단하기 시작하여 SMB 익스플로잇의 확산을 막기 위한 조치를 취했고, 이 때문에 Adylkuzz가 한층 저해되고 있습니다. 이러한 이유로 지금은 카피캣 공격이나 IMO가 대폭 저해된 상태입니다.

또한 지금으로서는 Adylkuzz와 같은 또 다른 공격이 이번 익스플로잇의 성공을 등에 업고 더 큰 규모의 피해를 초래할 수 있을 것이라는 징후가 어디에서도 보이지 않고 있습니다. 다만 그렇다고 해도 맬웨어 공격자들이 또 다른 전략을 찾아내 Adylkuzz를 성공시킬 가능성이 없다는 의미는 아닙니다.

징후라고 했는데 구체적으로 어떤 것을 의미하나? 

포티넷의 포티가드랩(FortiGuard Labs) 위협 연구 팀에서는 전세계에 수백만 개의 보안 센서를 배치해 놓고 세계의 위협 동향 현황을 꾸준히 파악하고 있습니다. 예컨대 포티가드 데이터를 보면 익스플로잇과 프로브의 수가 점차 늘어나 폭발적으로 급성장한 것을 볼 수 있는데, 이것이 상대방이 방어가 느슨해진 기업 조직을 공격한 바로 그 시점입니다. (CVE-2017-014에 대한 활동이 340% 증가한 것을 볼 수 있는데, 이것이 바로 워너크라이를 퍼뜨리는 데 사용된 SMB 취약성 DoublePulsar입니다) 그 이후로는 공격 활동량이 대폭, 꾸준히 감소하는 것을 확인할 수 있었습니다.

금요일과 토요일에 공격이 최고 수위에 도달했고, 이후 일요일에는 성장률이 -44%로 관측되었습니다. 그 이후로는 익스플로잇 활동이 매일 반감되었죠. 세계적인 공격 횟수는 최고 수위를 찍은 뒤 53%까지 떨어진 상태입니다. 일일 공격 건수가 여섯 자리 수였다가 다섯 자리로 떨어졌고, 이런 추세가 이어질 것으로 예상하고 있습니다. 이것은 주로 가장 취약한 시스템은 이미 피해를 입었거나 보강했기 때문입니다.

결과적으로 워너크라이 (및 Adylkuzz) 공격에 대한 취약성이 대폭 줄어든 셈이죠. 다시 말해 이와 비슷한 공격이 출현한다면 이미 한 발 늦었다는 말입니다. 기습이라는 우위를 잃었고, 감지와 대응 수단이 이미 마련된 상태인 지금은 느리지만 꾸준히 공격한다는 형태로는 성공을 거둘 수 없습니다. 

워너크라이(WannaCry)는 수많은 언론사에서 보도한 것처럼 실제로 큰 성공을 거두었는가?

‘성공’의 기준이 무엇이냐에 따라 다릅니다. 워너크라이(WannaCry)는 제로데이 공격이 아닌 다른 익스플로잇도 대단히 성공적일 수 있다는 사실을 입증했습니다. 다만 몸값을 얻어낸다는 작전으로서는 실패한 셈입니다(공격자의 비트코인 지갑을 분석하면 지불된 금액이 별로 많지 않다는 것을 알 수 있습니다). 워너크라이(WannaCry)는 영향력이 크고 속도도 빨랐지만 이제까지 본 중 가장 큰 봇넷이라고 할 수는 없습니다.

랜섬웨어 봇에 관한 한 CTA(Cyber Threat Alliance)에서 2015년에 관측한 CryptoWall v3 공격으로 랜섬 감염이 400,000회도 넘게 시도되었는데, 이것은 워너크라이(WannaCry)는 탓으로 여겨지는 것보다 거의 두 배는 되는 규모입니다. 비활성(silent) 트로이 목마/봇넷의 경우 1천5백만 명도 넘는 피해자를 배출한 감염체도 있었죠 (마리포사(Mariposa) 봇넷).

이런 대형 봇넷은 공격에 대한 취약성 규모도 훨씬 큽니다. 이들은 CaaS(Crime as a Service)로 활발히 연료를 제공받고 있는 셈이며, 일련의 악질적인 해커(블랙햇 해커)들이 자기 나름의 공격 방식을 사용해 이들을 퍼뜨리며 공조하기 때문입니다.

워너크라이(WannaCry) 공격이 거의 끝났다고 봐도 된다면, 다음 공격으로는 무엇을 예상하면 되는가?

지금은 ShadowBroker 익스플로잇 키트에 세계의 이목이 집중되어 있습니다. 따라서 악질적인(블랙햇) 사이버 범죄자들은 DarkNet 상의 다른 지점에서 현재 주목받지 않는 참신하고 강력한 잠재력을 지닌 익스플로잇을 찾고 있을 가능성이 높습니다. 이들의 목표는 기습이라는 이점을 되찾는 것이죠. 포티넷의 포티가드 보안 분석 서비스팀에서 내놓은 2017년 글로벌 위협 동향 예측과 같은 맥락의 의견이지만, 저는 앞으로 1,500만 건 이상의 감염이라는 최고 수위를 능가하는 세계 최대 규모의 봇넷이 출현할 가능성이 높다고 봅니다. 

그런 사건이 발생할 가능성이 가장 높은 경로는 사물인터넷(IoT)을 이용하는 것인데, 이렇게 되면 IoT 기기, 서비스, 중요 데이터 및 지적 재산에 대한 랜섬을 요구하는 결과를 초래하게 될 것입니다. 여기에 데이터 수집, 표적형 공격 및 기타 다른 위협을 난독 처리(obfuscate)하는 등의 범죄 행위가 뒤를 이을 가능성이 높습니다.