본문 바로가기

IT TREND

워너크라이 사태가 준 교훈

지난 5월 12일, 영국의 NHS 시스템에서 시작된 대규모 서비스 거부 공격(DoS: Denial of Service)은 수많은 병원을 감염시킨 후 전세계 75,000여개의 기기로 피해가 확산됐다.


IT 전문매체 Gizmodo.com는 “알려지지 않은 이 공격자들은 파일 공유 프로토콜 서버 메시지 블록(SMB)을 서비스하는 마이크로소프트 서버를 타깃으로 바이러스를 확산시켰다. 3월 14일 이후 MS17-010 패치가 업데이트 되지 않은 서버들만이 공격 당했으며, 해당 패치는 ExternalBlue라고 불리는 익스플로잇 문제를 해결한다. 해당 공격은 지난해 여름 등장한 해커그룹 ShadowBrokers는 지난 달 미 국가안보국(NSA)의 극비 사항들을 해킹한 것으로 알려져 있다. WannaCry 랜섬웨어는 잘못된 링크를 클릭하는 것으로 확산되지 않았다. 이 공격을 차단하기 위한 유일한 방법은 업데이트 설치였다” 라고 보도하기도 했다.


워너크라이에 대한 설명을 위해 Kaspersky Lab에서 게시한 블로그 포스팅을 참고해보자. 이 랜섬웨어는 몸값으로 300달러에 해당하는 비트코인을 요구했으며, 포스팅 게시 이후 그 값은 더 오른 것으로 알려져 있다.



이번 공격은 지금까지 어떤 사례보다도 강력하게 보안 패치의 버전을 최신으로 유지하는 것의 중요성을 강조하고 있다. 이 공격은 잘못된 링크를 클릭함으로써 타겟이 되는 방식은 아니지만, 대부분의 공격들이 이메일에 포함된 링크 혹은 첨부파일로부터 시작된다. 내용을 예측하기 어려운 이메일이라면 링크를 클릭하거나 첨부파일을 열어서는 안 된다. 또한 설치가 완료되지 않은 보안 패치를 확인해서 정기적으로 컴퓨터를 재부팅시키는 것도 중요하다.


이번 사태가 주는 또 다른 교훈은 복구 플랜에 대한 부분이다. 지속적으로 백업해왔고, 공격 이전의 시점에 대한 데이터 카피본을 가지고 있다면 랜섬웨어 공격을 입은 파일을 복구할 수 있다. 시장조사기관 ESG에서 발표한 보고서 ‘오브젝트 스토리지를 통한 랜섬웨어 대응’ 에 이와 관련된 내용이 자세히 기술되어 있다. 


이 보고서에 따르면 Hitachi Content Platform(이하 HCP)과 같은 일부 오브젝트 스토리지에서만 ‘버저닝(Versioning)’이라는 기능을 제공한다. WORM(Write Once Read Many) 기능이 탑재된 오브젝트 스토리지의 버저닝 기능을 사용하면, 오브젝트에 적용된 변경 및 업데이트 사항이 새로운 버전에 쓰여지며, 이전 버전 또한 보존할 수 있다. 멀웨어가 데이터 사용을 막기 위해 데이터를 암호화하더라도, 새로운 버전으로 쓰여지기 때문에 원본 오브젝트는 변경되지 않는다. 이러한 기능이 제공되지 않는 블록 혹은 파일 시스템의 경우, 원본 데이터가 암호화되면 몸값이 지불되기 전에는 데이터에 접근하는 것이 불가능하다. 


HCP를 도입한다면, IT 담당자가 랜섬웨어의 타겟이 된 오브젝트를 이전 버전으로 돌아가도록 간단한 조치를 취함으로써 이러한 문제를 예방할 수 있다. 이는 백업 카피본에서 데이터를 통해 복구하는 것보다 훨씬 빠르고 간편하며 비용 면에서도 유리하다. 


시스템이 공격을 당했을 때 오브젝트 스토리지가 구축되어 있지 않거나 혹은 백업 데이터를 통해 시스템을 복구하려 한다면, 너무 많은 비용이 소요되므로 결국에는 몸값을 지불해야할 수 밖에 없을 것이다.