[테크M = 원유재 한국침해사고대응팀협의회(CONCERT) 회장(충남대학교 교수)]

전문가들에게만 알려졌던 ‘랜섬웨어’란 용어가 실시간 인기 검색어 순위에 들고 랜섬웨어 대응방법을 공유하는 보호나라 사이트(www.boho.or.kr)가 사용자들의 관심으로 마비된 것을 보면, 이제 해킹, 악성코드, 랜섬웨어 등의 보안 용어도 일반인들에게까지 친숙한 용어가 된 것으로 생각된다.

랜섬웨어란 몸값(ransom)과 악성코드(malware, malicious software)의 합성어로 몸값을 요구하는 악성코드를 말한다. 랜섬웨어는 컴퓨터 내부에서 중요한 정보를 암호화시키고 사용자에게 돈을 요구한다.

지정된 계좌로 돈을 보내야 원래 상태로 복구해 주겠다고 협박을 하는데, 돈을 받고 나서 복구해 주지 않는 경우도 많다.

랜섬웨어가 감염되는 경로는 악성코드가 숨겨진 웹사이트를 방문하거나, 이메일에 첨부된 파일을 실행시키거나, P2P 사이트에 공유돼 있는 파일을 다운로드해 실행시키거나 하는 등 이제까지 알려진 악성코드와 크게 다르지 않다. 스마트폰에서 가짜 앱을 다운로드해 실행시키는 경우도 랜섬웨어에 감염될 수 있다.

이번에 전 국민을 공포에 빠뜨린 ‘워너크라이’ 랜섬웨어는 두 가지 이유로 전문기관은 물론 보안 회사들도 대규모 피해를 예고했다.

첫째는 사용자가 많은 마이크로소프트(MS) 운영체제 취약점을 이용해 감염대상을 스스로 검색해 감염을 확산시키는 웜 형태의 악성코드라는 것이다.

따라서 자신이 사용하는 컴퓨터가 보안에 취약하다면 내 의지와 상관없이 악성코드에 감염돼 피해를 볼 수 있으며, 내 컴퓨터를 감염시킨 악성코드는 내 주변의 다른 컴퓨터를 추가로 감염시키기 때문에 내가 피해자이면서 공격자가 될 수도 있다.

둘째는 미국 국가안보국(NSA)이 첩보 수집 목적으로 활용하던 해킹 도구가 유출돼 악용된 것이라는 것이다. 정보기관이 활용했던 도구라면 정보 수집에 효율적으로 최적화된 기능과 특성을 갖고 있으며, 대응하기에 까다로울 것이라는 것을 쉽게 예상할 수 있다.

그러나 상담건수 5000여 건, 접수된 피해 현황 20여 건으로 예상보다 적은 규모였다. 물론 랜섬웨어라는 특성상 신고를 하더라도 복구 가능성이 낮은 반면에 이미지만 실추될 수 있다는 판단으로 신고를 기피했을 가능성도 있다.

하지만 무엇보다도 전문기관과 보안 회사들의 적극적인 대응과 정보의 파괴로 발생할 수 있는 피해를 막기 위해 사용자들의 자발적인 참여가 중요하게 작용한 것으로 판단된다.

최선의 대응은 ‘기본에 충실’

이번에 피해가 적었던 것은 고무적이지만 기능이나 전파 방식을 달리하는 변종들이 지속적으로 나타날 것이고 랜섬웨어 외에도 다양한 형태의 사이버 사고는 지속적으로 발생할 수 있다. 그렇기 때문에 워너크라이 랩섬웨어에 대응하면서 얻은 교훈을 정리해 보고 향후에 발생할 수 있는 사이버 사고에 보다 효율적으로 대응할 필요가 있다.

우선 첫 번째는 내 정보는 내가 지킨다는 생각으로 기본에 충실히 하는 것이다.

인간을 포함한 동물들은 일상에서 면역력이 떨어지면 각종 질병에 쉽게 걸리는 것처럼 컴퓨터 장치들도 보안 취약점을 그냥 방치하면 쉽게 해킹에 노출될 수 있다.

따라서 컴퓨터에서 사용하는 각종 소프트웨어(SW)는 보안 업데이트를 통해 항상 최신 버전으로 유지해야 하고 평소에 익숙하지 않은 메일이나 출처가 분명하지 않은 앱은 클릭하지 않아야 한다. 특히 랜섬웨어로부터 피해를 입지 않기 위해서는 중요한 파일은 반드시 백업을 해 놓아야 한다.

두 번째는 해킹사고나 악성코드 감염이 일반인까지도 평생 안고 살아야 하는 존재라는 것을 인정해야 한다. 이는 일반인이 보다 쉽게 해킹이나 악성코드에 대한 도움을 받을 수 있게 환경을 조성해야 함을 의미한다. 자신의 정보를 안전하게 관리하려면 일정한 비용을 지불할 필요가 있다.

병원 문턱이 낮아진 데 건강보험의 역할이 컸던 것처럼 국민들이 실질적인 혜택을 받을 수 있는 사이버 보험을 개발하는 것도 하나의 방법일 수 있다.

사이버 보험 개발 고려해야

세 번째는 사고가 발생하면 협력이 최선의 대응책이다. 개인이나 조직의 역할에 우선순위를 두기보다는 피해 확산을 최소화하고 신속하게 복구할 수 있도록 정보를 쌍방향으로 공유하고 협력해야 한다.

사이버 사고는 국민을 포함한 모든 주체가 저마다의 역할이 있기 때문에 어느 특정기관의 전유물이 아니다. 또 대응기관 또는 조직 구성원 간의 수직적인 소통은 골든타임을 잃게 하는 원인이 되며 전문가들의 창의적인 아이디어를 활용할 수 없게 만든다.

네 번째는 사이버 사고도 범죄이므로 범인을 잡을 수 있는 능력을 갖춰야 한다. 이번 랜섬웨어로 인한 사고도 분명 범죄임에도 불구하고 범인을 잡기 위한 노력은 진행되고 있는지 궁금하다. 범인을 잡는 것은 사고 원인을 규명하고 피해를 최소화하는 것보다 당연히 어려운 일이다.

그렇지만 범인을 잡기 위한 노력에서 재발 방지와 예방을 위한 진정한 대안이 만들어진다. 사이버 범죄는 국경이 없으므로 국제적인 공조를 통한 수사력을 확보하는 것은 사이버 강국으로 반드시 필요한 요소이다.

>>>

일반인에게도 해킹사고나 악성코드 감염으로 인한 불편함은 평생 안고 살아야 하는 존재다.

일반인이 보다 쉽게 도움을 받을 수 있도록 환경이 만들어져야 하며, 정보를 안전하게 관리하기 위해

일정한 비용을 지불할 필요가 있다.

워너크라이는 MS 윈도 운영체제의 취약점을 이용하는 특성을 가졌지만 앞으로는 기능이나 전파방식을 달리하는 변종들이 지속적으로 나타날 것이다. 또 애플 맥(MAC), 안드로이드, 사물인터넷(IoT) 등과 같이 신규 플랫폼을 공격의 대상으로 확대할 것은 자명한 일이다.

NSA 외에 미국 중앙정보국(CIA)에서 사용하던 해킹 프로그램이 적용된 새로운 공격도 쉽게 예상할 수 있다. 워너크라이가 남긴 교훈을 반면교사로 삼고 앞으로 나타날 새로운 공격에 대비해 나갈 때, 4차 산업혁명 시대에도 사이버 강국의 명성을 유지할 수 있을 것이다.

<본 기사는 테크M 제50호(2017년 6월) 기사입니다>