구독상품안내
‘다음엔 윈도우10이다.’ 워너크라이 랜섬웨어 공격의 배후를 자청하는 해킹 그룹 ‘섀도우 브로커스’가 6월엔 윈도우10을 대상으로 2차 공격을 펼치겠다고 예고했습니다. 5월 16일 로이터통신 보도에 따르면 아예 새로운 해킹 도구를 준비하고 있다는데요. 워너크라이의 업그레이드 버전일 가능성이 높습니다. 윈도우10 유저로서 정말 울고 싶지만(wanna cry), 잘못된 사실은 가려내야 2차 공격도 막아낼 수 있지 않겠습니까. 시작해보겠습니다.
백신이 알아서 막아준다?
시중에 판매되는 백신은 랜섬웨어뿐만 아니라 다양한 악성코드(바이러스, 트로이 목마 등)를 막을 수 있게 설계됐습니다. 하지만 이것들이 동일한 취약점을 이용하지 않는다면 기존 백신으론 탐지가 안 될 수도 있습니다. 백신의 근본적인 한계인데요. 새로운 바이러스가 발견되면 이것을 막는 목적으로 개발돼 왔기 때문에 예방주사라기보다는 치료제에 가깝습니다. 사실 윈도우 자체에 보안패치가 잘 깔려 있다면 백신까지 갈 일도 별로 없습니다. 악성코드가 아예 컴퓨터 안으로 들어올 수 없도록 막아주니까요. 그러나 많은 사람들이 보안패치를 자동으로 업데이트하는 프로그램을 꺼 놓아 문제가 커졌습니다.
500종 변종 공격?
보안업계에 따르면 5월 19일 현재 워너크라이의 신·변종은 500종이나 됩니다. 본격적으로 확산된 지 일주일 만입니다. 그중에는 확산을 중단하는 킬 스위치(27쪽 참조)를 우회하는 변종, 킬 스위치를 아예 없앤 변종도 보인다고 해요. 또 워너크라이와 동일하게 윈도우의 파일공유 취약점을 이용하는 신종 랜섬웨어도 등장했습니다. 자기복제 능력을 가진 ‘네트워크 웜’인 워너크라이가 마치 살아 있는 바이러스처럼 숙주의 몸에서 변종 바이러스를 만들어내는 듯한 양상입니다.
그러나 랜섬웨어가 스스로 코드를 바꾸는 건 불가능합니다. 이는 해커가 계속 새로운 변종을 만들어내고 있다는 뜻입니다. 기존 워너크라이에서 코드를 살짝 바꾸는 변종은 섀도우 브로커스가 아닌 다른 해커들도 만들 수 있습니다. 그러나 지금 확산되고 있는 변종은 대부분 처음 유포시킨 사람이 아니면 만들기 힘든 복잡한 악성코드라고 합니다.
한 번 감염되면 복구 안 된다?
안타깝지만 사실입니다. 파일을 복구하는 복호화 키는 공격자의 서버에 별도로 저장돼 있는데 이것이 없으면 파일을 열 수 있는 가능성이 매우 낮습니다. 암호화 방식이 워낙 다양하기 때문입니다. (인터넷 상에는 복구할 수 있다고 광고하는 업체들도 있던데, 사기꾼이 있을 수 있으니 주의하세요!) 물론 해커에게 돈을 보내서도 안 됩니다. 전세계 워너크라이 피해자들이 비트코인 계좌에 총 3000만 원이 넘는 돈을 넣었지만 아직까지 파일이 복구됐다는 사람은 한 사람도 없거든요. 일각에서는 워너크라이 개발자가 파일을 복호화 할 능력이 없는 것 아니냐는 추측도 조심스럽게 나오고 있습니다.
맥OS는 안전하다?
워너크라이는 윈도우의 취약점을 노렸기 때문에 안드로이드 운영체제를 쓰는 스마트폰은 감염을 피해갈 수 있었습니다. 하지만 유사한 방식으로 안드로이드의 취약점을 노린 랜섬웨어가 등장하지 말란 법은 어디에도 없습니다. 윈도우 사용자가 가장 많고, 스마트폰보다는 기업 서버를 공격하는 것이 얻는 돈이 많아서일 뿐이죠. 맥 운영체제도 마찬가지입니다. 보안이 더 강력하다고 주장하는 사람도 있던데, 맥 역시도 작년에 ‘키레인저(KeRanger)’라는 랜섬웨어에 감염된 적이 있습니다. 섀도우 브로커스가 최근 아이폰에 탑재된 iOS의 취약점을 공개하기도 했죠. 결국 주기적인 백업만이 최선입니다. 이때도 조심해야 할 것이, 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 외장하드의 백업 파일들도 암호화될 수 있습니다.
백신이 알아서 막아준다?시중에 판매되는 백신은 랜섬웨어뿐만 아니라 다양한 악성코드(바이러스, 트로이 목마 등)를 막을 수 있게 설계됐습니다. 하지만 이것들이 동일한 취약점을 이용하지 않는다면 기존 백신으론 탐지가 안 될 수도 있습니다. 백신의 근본적인 한계인데요. 새로운 바이러스가 발견되면 이것을 막는 목적으로 개발돼 왔기 때문에 예방주사라기보다는 치료제에 가깝습니다. 사실 윈도우 자체에 보안패치가 잘 깔려 있다면 백신까지 갈 일도 별로 없습니다. 악성코드가 아예 컴퓨터 안으로 들어올 수 없도록 막아주니까요. 그러나 많은 사람들이 보안패치를 자동으로 업데이트하는 프로그램을 꺼 놓아 문제가 커졌습니다.
500종 변종 공격?
보안업계에 따르면 5월 19일 현재 워너크라이의 신·변종은 500종이나 됩니다. 본격적으로 확산된 지 일주일 만입니다. 그중에는 확산을 중단하는 킬 스위치(27쪽 참조)를 우회하는 변종, 킬 스위치를 아예 없앤 변종도 보인다고 해요. 또 워너크라이와 동일하게 윈도우의 파일공유 취약점을 이용하는 신종 랜섬웨어도 등장했습니다. 자기복제 능력을 가진 ‘네트워크 웜’인 워너크라이가 마치 살아 있는 바이러스처럼 숙주의 몸에서 변종 바이러스를 만들어내는 듯한 양상입니다.
그러나 랜섬웨어가 스스로 코드를 바꾸는 건 불가능합니다. 이는 해커가 계속 새로운 변종을 만들어내고 있다는 뜻입니다. 기존 워너크라이에서 코드를 살짝 바꾸는 변종은 섀도우 브로커스가 아닌 다른 해커들도 만들 수 있습니다. 그러나 지금 확산되고 있는 변종은 대부분 처음 유포시킨 사람이 아니면 만들기 힘든 복잡한 악성코드라고 합니다.
한 번 감염되면 복구 안 된다?
안타깝지만 사실입니다. 파일을 복구하는 복호화 키는 공격자의 서버에 별도로 저장돼 있는데 이것이 없으면 파일을 열 수 있는 가능성이 매우 낮습니다. 암호화 방식이 워낙 다양하기 때문입니다. (인터넷 상에는 복구할 수 있다고 광고하는 업체들도 있던데, 사기꾼이 있을 수 있으니 주의하세요!) 물론 해커에게 돈을 보내서도 안 됩니다. 전세계 워너크라이 피해자들이 비트코인 계좌에 총 3000만 원이 넘는 돈을 넣었지만 아직까지 파일이 복구됐다는 사람은 한 사람도 없거든요. 일각에서는 워너크라이 개발자가 파일을 복호화 할 능력이 없는 것 아니냐는 추측도 조심스럽게 나오고 있습니다.
맥OS는 안전하다?
워너크라이는 윈도우의 취약점을 노렸기 때문에 안드로이드 운영체제를 쓰는 스마트폰은 감염을 피해갈 수 있었습니다. 하지만 유사한 방식으로 안드로이드의 취약점을 노린 랜섬웨어가 등장하지 말란 법은 어디에도 없습니다. 윈도우 사용자가 가장 많고, 스마트폰보다는 기업 서버를 공격하는 것이 얻는 돈이 많아서일 뿐이죠. 맥 운영체제도 마찬가지입니다. 보안이 더 강력하다고 주장하는 사람도 있던데, 맥 역시도 작년에 ‘키레인저(KeRanger)’라는 랜섬웨어에 감염된 적이 있습니다. 섀도우 브로커스가 최근 아이폰에 탑재된 iOS의 취약점을 공개하기도 했죠. 결국 주기적인 백업만이 최선입니다. 이때도 조심해야 할 것이, 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 외장하드의 백업 파일들도 암호화될 수 있습니다.
