2020-07-05 15:41 (일)
포티넷 글로벌보안전략가 통한 향후 랜섬웨어 전망
상태바
포티넷 글로벌보안전략가 통한 향후 랜섬웨어 전망
  • 길민권 기자
  • 승인 2017.06.01 16:36
이 기사를 공유합니다

워너크라이 이어 세계 최대 규모의 봇넷 출현 가능성 높아

▲ 데릭 멘키 포티넷 글로벌보안전략가
▲ 데릭 멘키 포티넷 글로벌보안전략가
전세계 곳곳의 병원과 정부기관, 기업과 개인을 마비시킨 워너크라이(WannaCry) 랜섬웨어 공격이 다행히도 국내에서는 대규모 피해로 이어지지는 않은 것으로 나타났다. 그러나 랜섬웨어의 위협은 여전히 '진행 중'이며 더 강해져서 돌아올 것이라는 전망이 지배적이다. 

이에 포티넷코리아(지사장 조현제)는 데릭 맨키(Derek Manky) 포티넷 글로벌보안전략가를 통해 향후 랜섬웨어에 대한 전망을 제시했다.

▲워너크라이(WannaCry) 익스플로잇은 전세계적인 이슈였으나 지금은 세력이 잦아든 것으로 보인다. 이제 최악의 상황을 면한 것인가? 아니면 태풍의 눈처럼 잠시 잠잠할 뿐인가?
여러 가지 면에서 워너크라이(WannaCry) 위기 사태가 어느 정도 진정되었다고 본다. 익스플로잇 키트란 모두 절반만 살아있는 것과 같으며 취약성은 고수위(HWM)를 넘긴 것 같다. 그 이유는 사이버 범죄자들이 ‘기습’이라는 요소를 잃어버렸기 때문이고 전세계 법 집행 기관, 국립 CERT 및 사이버 위협 연합(Cyber Threat Alliance, CTA) 등 다양한 인력이 힘을 모아 해결 방안을 제시한 노력 덕분이기도 하다.

▲‘Adylkuzz’와 같은 신형 공격이 워너크라이(WannaCry) 공격을 이어 공세를 퍼부을 것이라는 전망이 있다. 이를 어떻게 보는가?
몰래 숨어서 작동하는 봇넷이란 원래 우리가 대비하고 있는 것에 비해 더 큰 성공을 거두고, 감지하기도 어려운 법이다. 대부분의 기업 조직에서는 이미 문단속을 한 상태이고, 워너크라이(WannaCry)나 그와 비슷한 익스플로잇의 공격이 반복될 가능성에 경계를 철저히 하고 있는 상태다. 전세계 전기통신 제공업체에서도 포트 445를 차단하기 시작하여 SMB 익스플로잇의 확산을 막기 위한 조치를 취했고, 이 때문에 Adylkuzz가 한층 저해되고 있다. 이러한 이유로 지금은 카피캣 공격이나 IMO가 대폭 저해된 상태이다.

또한 지금으로서는 Adylkuzz와 같은 또 다른 공격이 이번 익스플로잇의 성공을 등에 업고 더 큰 규모의 피해를 초래할 수 있을 것이라는 징후가 어디에서도 보이지 않고 있다. 다만 그렇다고 해도 맬웨어 공격자들이 또 다른 전략을 찾아내 Adylkuzz를 성공시킬 가능성이 없다는 의미는 아니다.

▲징후라고 했는데 구체적으로 어떤 것을 의미하나?
포티넷의 포티가드랩(FortiGuard Labs) 위협 연구팀에서는 전세계에 수백만 개의 보안 센서를 배치해 놓고 세계의 위협 동향 현황을 꾸준히 파악하고 있다. 예컨대 포티가드 데이터를 보면 익스플로잇과 프로브의 수가 점차 늘어나 폭발적으로 급성장한 것을 볼 수 있는데, 이것이 상대방이 방어가 느슨해진 기업 조직을 공격한 바로 그 시점이다. 그 이후로는 공격 활동량이 대폭, 꾸준히 감소하는 것을 확인할 수 있었다.

결과적으로 워너크라이 및 Adylkuzz 공격에 대한 취약성이 대폭 줄어든 셈이다. 다시 말해 이와 비슷한 공격이 출현한다면 이미 한 발 늦었다는 말이다. 기습이라는 우위를 잃었고, 감지와 대응 수단이 이미 마련된 상태인 지금은 느리지만 꾸준히 공격한다는 형태로는 성공을 거둘 수 없다.

▲워너크라이(WannaCry)는 수많은 언론사에서 보도한 것처럼 실제로 큰 성공을 거두었는가?
‘성공’의 기준이 무엇이냐에 따라 다르다. 워너크라이(WannaCry)는 제로데이 공격이 아닌 다른 익스플로잇도 대단히 성공적일 수 있다는 사실을 입증했다. 다만 몸값을 얻어낸다는 작전으로서는 실패한 셈이다. 워너크라이(WannaCry)는 영향력이 크고 속도도 빨랐지만 이제까지 본 중 가장 큰 봇넷이라고 할 수는 없다.

랜섬웨어 봇에 관한 한 CTA(Cyber Threat Alliance)에서 2015년에 관측한 CryptoWall v3 공격으로 랜섬 감염이 400,000회도 넘게 시도되었는데, 이것은 워너크라이(WannaCry) 탓으로 여겨지는 것보다 거의 두 배는 되는 규모이다. 비활성(silent) 트로이 목마-봇넷의 경우 1천5백만 명도 넘는 피해자를 배출한 감염체도 있었다.

이런 대형 봇넷은 공격에 대한 취약성 규모도 훨씬 크다. 이들은 CaaS(Crime as a Service)로 활발히 연료를 제공받고 있는 셈이며, 일련의 악질적인 해커(블랙햇 해커)들이 자기 나름의 공격 방식을 사용해 이들을 퍼뜨리며 공조하기 때문이다.

▲워너크라이(WannaCry) 공격이 거의 끝났다고 봐도 된다면, 다음 공격으로는 무엇을 예상하면 되는가?
지금은 ShadowBroker 익스플로잇 키트에 세계의 이목이 집중되어 있다. 따라서 악질적인(블랙햇) 사이버 범죄자들은 DarkNet 상의 다른 지점에서 현재 주목받지 않는 참신하고 강력한 잠재력을 지닌 익스플로잇을 찾고 있을 가능성이 높다. 이들의 목표는 기습이라는 이점을 되찾는 것이다.

포티넷의 포티가드 보안 분석 서비스팀에서 내놓은 2017년 글로벌 위협 동향 예측과 같은 맥락의 의견이지만, 앞으로 1,500만 건 이상의 감염이라는 최고 수위를 능가하는 세계 최대 규모의 봇넷이 출현할 가능성이 높다고 본다. 그런 사건이 발생할 가능성이 가장 높은 경로는 사물인터넷(IoT)을 이용하는 것인데, 이렇게 되면 IoT 기기, 서비스, 중요 데이터 및 지적 재산에 대한 랜섬을 요구하는 결과를 초래하게 될 것이다. 여기에 데이터 수집, 표적형 공격 및 기타 다른 위협을 난독 처리(obfuscate)하는 등의 범죄 행위가 뒤를 이을 가능성이 높다.

★정보보안 대표 미디어 데일리시큐!★