이와 관련 데릭 맨키 포티넷 글로벌보안전략가<사진>는 워너크라이 랜섬웨어보다 더 강력한 세계 최대 규모의 봇넷이 나타날 가능성이 높다고 전망했다.

1일 포티넷코리아(www.fortinet.com/kr 지사장 조현제)는 데릭 맨키 포티넷 글로벌보안전략가를 통해 향후 랜섬웨어에 대한 전망을 제시했다. 다음은 데릭 맨키 전략가와의 일문일답 내용이다.

Q. 워너크라이 익스플로잇은 전세계적인 이슈였으나 지금은 세력이 잦아든 것으로 보인다. 이제 최악의 상황을 면한 것인가?

A. 여러가지 면에서 워너크라이 위기 사태가 어느 정도 진정됐다고 본다. 익스플로잇 키트란 모두 절반만 살아있는 것과 같다. 이 취약성(SMB CVE 2017-0144)은 고수위(HWM)를 넘긴 것 같다. 사이버 범죄자들이 ‘기습’이라는 요소를 잃어버렸기 때문이다. 전세계 법 집행 기관, 국립 서트(CERT) 및 사이버 위협 연합(CTA) 등 다양한 인력이 힘을 모아 해결 방안을 제시한 노력 덕분이기도 하다.

Q. ‘Adylkuzz’와 같은 신형 공격이 워너크라이 공격을 이어 공세를 퍼부을 것이라는 전망이 있다.

A. 기습 공격이 대규모로 일어나면 모두가 다음 번 공격에 대비하게 된다. 대부분의 기업 조직에서는 이미 문단속을 한 상태이고, 워너크라이나 그와 비슷한 익스플로잇의 공격이 반복될 가능성에 경계를 철저히 하고 있다. 전세계 전기통신 제공업체에서도 포트 445를 차단하기 시작해 SMB 익스플로잇의 확산을 막기 위한 조치를 취했고, 이 때문에 Adylkuzz가 한층 저해되고 있다. 또 다른 공격이 이번 익스플로잇의 성공을 등에 업고 더 큰 규모의 피해를 초래할 수 있을 것이라는 징후가 어디에서도 보이지 않고 있다. 다만 그렇다고 해도 공격자들이 또 다른 전략을 찾아내 성공시킬 가능성이 없다는 의미는 아니다.

Q. 징후라고 했는데 구체적으로 어떤 것을 의미하나?

A. 포티넷의 포티가드랩 위협 연구 팀에서는 전세계에 수백만 개의 보안 센서를 배치해 놓고 세계의 위협 동향 현황을 꾸준히 파악하고 있다. 예컨대 포티가드 데이터를 보면 익스플로잇과 프로브의 수가 점차 늘어나 급성장한 것을 볼 수 있는데, 이것이 상대방이 방어가 느슨해진 기업 조직을 공격한 바로 그 시점이다.

워너크라이가 발생한 금요일과 토요일에 공격이 최고 수위에 도달했고, 이후 일요일에는 성장률이 -44%로 관측됐다. 그 이후로는 익스플로잇 활동이 매일 반감됐다. 세계적인 공격 횟수는 최고 수위를 찍은 뒤 53%까지 떨어진 상태다. 가장 취약한 시스템은 이미 피해를 입었거나 보강했다. 결과적으로 워너크라이 공격에 대한 취약성은 대폭 줄어든 셈. 다시 말해 이와 비슷한 공격이 출현한다면 이미 한 발 늦었다. 기습이라는 우위를 잃었고, 감지와 대응 수단이 마련된 상태인 지금은 느리지만 꾸준히 공격한다는 형태로는 성공을 거둘 수 없다.

Q. 워너크라이는 실제로 큰 성공을 거뒀는가?

A. 워너크라이는 제로데이 공격이 아닌 다른 익스플로잇도 대단히 성공적일 수 있다는 사실을 입증했다. 다만 몸값을 얻어낸다는 작전으로서는 실패했다. 공격자의 비트코인 지갑을 분석하면 지불된 금액이 별로 많지 않다는 것을 알 수 있다. 워너크라이는 영향력이 크고 속도도 빨랐지만 이제까지 본 가장 큰 봇넷이라고 할 수는 없다.

2015년 관측된 크립토월(CryptoWall) v3 공격으로 랜섬 감염은 40만 넘게 시도됐는데, 워너크라이보다 2배 이상의 규모다. 비활성(silent) 트로이 목마·봇넷의 경우 1500만명 이상의 피해자가 나오기도 했다. 이런 대형 봇넷은 공격에 대한 취약성 규모도 훨씬 크다. 이들은 CaaS(Crime as a Service)로 활발히 연료를 제공받고 있어 악질적인 해커들이 자기 나름의 공격 방식을 사용해 이들을 퍼뜨리며 공조한다.

Q. 워너크라이 공격이 거의 끝났다고 봐도 된다면, 다음 공격으로는 무엇을 예상하면 되는가?

A. 지금은 쉐도우브로커스(Shadow Brokers)의 익스플로잇 키트에 세계의 이목이 집중돼 있다. 악질적인 사이버 범죄자들은 다크넷(DarkNet) 상의 다른 지점에서 현재 주목받지 않는 참신하고 강력한 잠재력을 지닌 익스플로잇을 찾고 있을 가능성이 높다. 이들의 목표는 기습이라는 이점을 되찾는 것이다.

포티넷의 포티가드 보안 분석 서비스팀에서 내놓은 2017년 글로벌 위협 동향 예측과 같은 맥락의 의견이지만, 앞으로 1500만건 이상의 감염이라는 최고 수위를 능가하는 세계 최대 규모의 봇넷이 출현할 가능성이 높다고 본다.

그런 사건이 발생할 가능성이 가장 높은 경로는 사물인터넷(IoT)을 이용하는 것인데, 이렇게 되면 IoT 기기, 서비스, 중요 데이터 및 지적 재산에 대한 랜섬을 요구하는 결과를 초래하게 될 것이다. 여기에 데이터 수집, 표적형 공격 및 기타 다른 위협을 난독 처리(obfuscate)하는 등의 범죄 행위가 뒤를 이을 가능성이 높다.

<최민지 기자>cmj@ddaily.co.kr