2020-01-23 12:30 (목)
“LG전자 서비스센터 랜섬웨어 감염…SMB 취약점 방치가 원인”
상태바
“LG전자 서비스센터 랜섬웨어 감염…SMB 취약점 방치가 원인”
  • 길민권 기자
  • 승인 2017.08.15 21:54
이 기사를 공유합니다

윈도우 보안업데이트는 필수…보다 효과적인 랜섬웨어 대응 솔루션 필요해

▲ SMB 원격코드 실행 취약점을 악용해 웜 형태로 확산되는 랜섬웨어
▲ SMB 원격코드 실행 취약점을 악용해 웜 형태로 확산되는 랜섬웨어
LG전자 서비스센터 서버망이 14일 악성코드에 감염돼 서비스센터 접수망이 일시 마비되면서 센터를 찾은 고객들이 불편을 겪는 사고가 발생했다. LG전자 측은 14일 늦은 밤에야 한국인터넷진흥원(KISA)에 악성코드 감염사고를 신고했다.

일부 센터 몇 곳에서 “현재 LG전자서비스 서버가 랜섬웨어 공격을 받은 상태로 모든 전산이 마비된 상황이라 접수 및 서버스 처리가 지연되고 있다”는 안내문을 부착하면서 14일 언론에 보도되기 시작했다.

이에 LG전자와 서비스센터 시스템을 담당하고 있는 LG CNS 측은 “14일 오전 일부 서비스센터 서버에 트래픽이 일시적으로 몰리는 악성코드 감염 의심 증상이 나타나 보안업데이트를 위해 외부망을 차단했다. 15일까지 정상 서비스가 가능하도록 하겠다”고만 밝히고 어떤 악성코드에 의한 사고인지는 KISA 분석이 완료되면 밝히겠다고 전했다.

하지만 몇 가지 드러난 정황에 따르면, 이번 LG전자 서비스센터 서버가 윈도 운영체제의 공유 프로토콜 SMB 원격코드 실행 취약점을 악용해 웜 형태로 확산되는 랜섬웨어에 감염된 것으로 확인되고 있다.

LG전자 측에서 말한 “트래픽이 일시적으로 몰리는 현상”은 바로 해당 랜섬웨어가 최초 감염자 PC에 침투해 파일을 암호화한 후, 다음 단계로 동일 네트워크대에 SMB 취약점을 스캔하는 과정에서 발생한 트래픽이다. SMB 취약점이 있는 주변 PC를 찾아 웜 형태로 해당 랜섬웨어 감염을 확산시키기 위한 동작이었던 것을 알 수 있다.

또 “보안업데이트를 위해 외부망을 차단했다”는 것은 LG전자 서비스센터 윈도우 운영체제가 최신 버전으로 업데이트되어 있지 않았다는 것을 뜻한다. 해당 랜섬웨어에 감염되면서 그동안 방치했던 센터 서버망의 윈도우 보안업데이트를 진행한 것이다. 센터 서버망은 MS17-010(마이크로소프트 윈도우 SMB 서버용 보안 업데이트)을 설치하지 않은 버전을 사용하고 있었던 것으로 파악된다.

해당 랜섬웨어는 MS 윈도우 SMB 서버용 보안 업데이트를 설치하지 않은 윈도 버전을 감염시키며 또 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행해 mssecsvc2.0란 서비스를 만들고 감염된 시스템 IP주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도한다. 이때 이상 트래픽이 발생하는 것이다. 원격지 SMBv1서버에 연결을 성공하면 MS17-010 취약점을 이용해 웜과 같이 확산한다. 또 실행시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일들을 RSA 2048비트로 암호화한다.

한편 LG전자 측이 15일까지 안정화 시키겠다고 한 것은 바로 다행히 암호화되지 않은 백업파일이 존재했기 때문이다.

이 부분은 다행스러운 일이지만 보안전문가들은 “백업은 복구의 수단이지 랜섬웨어를 방어하는 수단은 아니다. 보다 근본적인 대책을 마련해야 한다”고 강조하고 있다.

또 “포스 장비나 관리가 되지 않는 PC 혹은 이번 LG전자 서비스센터망과 같이 본사 망과 분리된 것으로 착각하고 있는 장비나 서버는 인터넷에 물려있으면서도 보안업데이트를 잘 하지 않고 있다”며 “특히 대기업이나 금융권에서는 내부망 망분리가 돼 있어서 랜섬웨어에 안전하다고 자신하는 경우가 많다. 하지만 해당 랜섬웨어는 내부에서 취약점을 스캔해가면서 감염시켜 나간다. 내부망이라고 결코 랜섬웨어에 안전하지 않다. 그리고 기존 시그니처 방식의 백신(안티바이러스)으로는 랜섬웨어 대응이 어렵다”고 강조했다.

한편 이번 랜섬웨어 감염 사고에 대해 모 보안전문가는 “LG전자 서비스센터 서버망은 LG CNS와 LG전자가 연결돼 있다. LG전자 홈페이지만 봐도 고객서비스를 위해 연결돼 있다는 것을 알 수 있다. LG전자 내부망도 각별한 주의를 기울이고 다시 한번 점검해야 한다”고 말하고 또 “서비스 센터 직원이 고객이 가지고 온 노트북을 수리하는 과정에서 내부망에 악성코드 감염이 최초로 발생할 수 있기 때문에 이번 기회에 서비스센터 보안프로세스를 다시 한번 정비해야 할 것”이라고 덧붙였다.

또 “일부 대형 제조사들은 금융권이나 인터넷기업들과는 달리 랜섬웨어에 감염되더라도 즉각적인 피해가 없기 때문에 민감하게 대응하지 않는 경향이 있다. 랜섬웨어로 인해 제품 생산에 차질이 생겨도 미리 만들어 둔 제품들이 있어 대응할 시간이 충분하다는 안일한 생각들을 하고 있다. 해당 랜섬웨어는 지난 5월부터 이슈가 돼 각종 매체와 KISA에서도 반드시 윈도우 보안업데이트를 해야 한다고 강조했지만 이를 무시하고 방치해 둔 결과다. 사회 모든 분야에서 사이버 위협에 대한 보다 민감한 반응들이 필요하다”고 말했다.

더불어 지난 RSA 2017 싱가포르에서 열린 랜섬웨어 특별 세미나에서 나온 주된 논점은 바로 “랜섬웨어 대응을 위한 상투적인 대응방안 제시는 오히려 무책임한 것”이라고 말하고 있다. 보안패치와 백업을 잘하고 안티바이러스를 최신버전으로 사용하라는 식의 대응방안으로는 현재의 지능화되어 가고 있는 랜섬웨어를 방어하기란 역부족이다. OS보안패치를 해도 제로데이 공격에는 무방비로 당할 수 있다. 백업을 한다해도 백업서버마저 랜섬웨어의 타깃이 되고 있다. 백신을 업데이트해도 백신을 우회하는 랜섬웨어가 계속 등장하고 있다. 기본적으로 지켜야 할 랜섬웨어 대응방안과 더불어 보다 실질적이고 효과적인 대응 솔루션들이 필요한 상황이다.

LG전자가 이번 랜섬웨어를 방어하기 위해 SMB 취약점을 패치했겠지만 해당 랜섬웨어는 SMB 취약점과 상관없이 메일 등 다양한 형태로 유입될 수 있어 각별한 주의가 필요하다.

★정보보안 대표 미디어 데일리시큐!★