해킹과 랜섬웨어 공격 판치는데도 기본적인 보안조치 허술한 경우 많아…시스템 취약점 수정하는 보안패치 적용은 필수 사진 : GETTY IMAGES BANK올해 발생한 사이버 공격은 그 규모가 사상 유례 없이 컸다. 그런 공격으로 소비자와 기업, 정부기관이 입은 피해는 어마어마했다. 가장 중요한 사건부터 살펴 보자.
최근 미국의 개인 신용정보 업체인 에퀴팩스가 대규모의 사이버 공격을 당해 약 1억4300만 명의 고객 정보가 유출됐다. 에퀴팩스는 해커들이 고객의 이름과 사회보장번호, 생년월일, 운전면허 번호 등을 입수했으며, 20만9000명의 신용카드 번호에도 접근했다고 밝혔다. 그 여파로 에퀴팩스의 IT 책임자인 CIO와 보안책임자인 CSO가 퇴사했고, 급기야 회장 겸 CEO까지 물러났다.
지난 5월엔 전 세계의 공공기관과 기업들이 허를 찔렸다. 워너크라이 랜섬웨어라는 맬웨어 공격으로 수많은 시스템이 마비되면서 수억 달러의 손실이 발생했다. 세계 전역의 컴퓨터 100만 대 이상이 워너크라이 공격을 받았다. 감염된 컴퓨터의 주요 파일을 암호화한 뒤 돈을 요구하고, 요구한 돈이 지불될 때까지 작동하지 못하도록 만든 이 공격으로 병원과 주요 기업, 법률회사의 시스템이 중단됐으며, 의료 기기와 심지어 신호등에 설치된 교통 카메라까지 작동이 중지되는 사태가 벌어졌다. 공격 배후는 북한과 연계된 해커단이라는 추정이 있다. 우크라이나 키예프의 국영은행 현금인출기가 페트야 악성코드에 감염돼 사용이 중지됐다. / 사진 : EFREM LUKATSKY-AP-NEWSIS워너크라이가 기승을 부린 뒤 한 달 뒤 또 다시 전 세계, 특히 우크라이나의 공공기관들이 악성코드 페트야의 공격을 받았다. 페트야 공격은 150개국 30만 건이 넘는 피해를 입힌 것으로 확인됐다. 우크라이나 중앙은행과 키예프 공항 및 지하철, 주요 정부기관, 일부 금융사 등이 시스템 마비로 피해를 입었다. 러시아 국영 석유회사 로스네프트와 영국 광고회사 WPP, 프랑스 자동차 유리 생산기업 생고뱅, 글로벌 해운사인 덴마크의 AP 몰러머스크 등 글로벌 대기업과 주요 공공기관들이 이 공격에 노출됐다.
페트야 공격은 처음엔 워너크라이와 유사한 랜섬웨어로 보였지만 그보다 훨씬 악성으로 판명됐다. 페트야는 랜섬웨어 공격을 가장했지만 사실은 어떤 데이터도 복구 불가능하도록 파일을 완전히 파괴하는 ‘와이퍼(wiper)’였다. 페트야는 65개국으로 퍼져 나갔다. 항공 특송회사 페덱스는 그 공격으로 3억 달러 이상의 손실을 입었다고 밝혔다.
올해 지금까지 발생한 악성코드 공격 중 가장 규모가 컸던 이 3가지 사건을 자세히 검토해 보면 각각 표적과 피해자, 공격 의도가 다르다. 게다가 몇 가지 단서와 의혹만 있을 뿐 공격 주체는 거의 알려지지 않았다. 그러나 중요한 점은 바로 이것이다. 기업이나 공공기관이 평소 사이버 보안을 게을리하지 않았다면 전부 다 피할 수 있었던 공격이었다.
에퀴팩스 해킹과 관련해선 공격의 배후가 누구인지, 정확히 얼마나 많은 정보를 훔쳐갔는지 등 아직 많은 의문이 남아 있다. 그러나 확실한 점 하나는 충분히 예방할 수 있었던 공격이었다는 사실이다. 공격자는 웹 애플리케이션 프레임워크인 ‘아파치 스트러츠’의 취약점을 이용했다. 이 취약점은 에퀴팩스가 공격당하기 2개월 전 발견돼 보안패치가 배포됐고, 그 사이에 여러 차례 유사한 공격이 있었다. 그러나 에퀴팩스는 보안패치를 내려받아 시스템에 적용하지 않았다. 다시 말해 아파치 스트러츠의 취약점을 방치함으로써 해킹을 자초했다는 뜻이다.
한편 워너크라이 공격은 마이크로소프트 서버 메시지 블록(SMB)의 프로토콜의 취약점을 이용해 공공 인터넷과 내부 네트워크에 침투했다. 이 역시 세계적인 공격이 시작되기 최소 1개월 전에 보안패치가 나왔다. 이 보안패치를 내려받아 설치한 기관들은 워너크라이 랜섬웨어 공격의 피해를 줄일 수 있었다. 그러나 그냥 방치한 기관들은 취약한 컴퓨터 시스템이 순식간 감염되면서 네트워크가 폐쇄되는 데도 속수무책이었다.
페트야도 마이크로소프트 SMB의 취약점을 이용해 파괴적인 악성코드를 감염시켰다. 물론 페트야는 그 외 또 다른 취약점도 이용했다[그 역시 미국 국가안보국(NSA)에서 훔쳐 해커단 섀도 브로커스가 공개한 것이었다]. 정부 기관들과 기업이 SMB의 취약점을 막아주는 보안패치를 내려받아 설치했다면 최소한 공격의 한쪽 경로는 막을 수 있었다는 뜻이다. 그 한달 전에 발생한 워너크라이 공격을 보고도 보안패치를 적용하지 않았다는 사실은 변명의 여지가 없다.
지금까지의 상황을 보면 많은 기업과 정부기관이 패칭 문제를 갖고 있는 것으로 나타났다. 일부는 이해할 만하다. 시스템의 다른 부분에 영향을 주지 않고 합리적인 시간 안에 모든 컴퓨터에 보안패치를 내려받아 설치하기가 힘들기 때문이다. 게다가 대다수 기관은 여전히 보안 문제가 발생하기 쉬운 구식 시스템으로 운영된다. 그런 시스템은 중요한 보안패치를 적용하는 데 더 시간이 오래 걸리고 시스템 제조사에서 보안패치 배포를 중단해 위험에 영구히 노출돼 있다. 윈도 XP 운영체제를 사용하는 컴퓨터를 공격한 워너크라이가 바로 그런 예다. 마이크로소프트는 이미 2014년 지원을 중단한 윈도 XP를 위해 응급 보안패치를 만들어 배포할 수밖에 없었다. 에퀴팩스가 최근 대규모의 사이버 공격을 당해 수십만 명에 이르는 고객의 신용카드 번호가 유출됐다. / 사진 : DAVID GOLDMAN-AP-NEWSIS더구나 반드시 필요한 IT 보안 전문가가 턱없이 부족하다는 사실이 문제를 악화시킨다. 사이버 보안업계는 2020년이 되면 이 분야의 부족한 인력이 최소 100만 명에 이를 것으로 추정한다. 그처럼 IT 보안 인력이 부족한 기관들로선 사이버 공격이 확산되기 전에 컴퓨터의 취약점을 보완하는 데 어려움을 겪을 수밖에 없다.
보안 전문 인력이 채워진다고 해도 사이버 보안에서 최대의 문제 중 하나를 해결할 수 있다는 보장도 없다. 기관이나 기업의 직원들을 말한다. 직원들은 최대의 안보 위험 요인 중 하나다. 사이버 보안업체 키퍼 시큐리티의 조사에 따르면 시스템 해킹의 50% 이상이 직원들의 부주의에서 비롯된다. 그들은 안전하지 못한 비밀번호를 사용한다거나, 악성코드가 포함된 파일을 내려받는다거나, 피싱 이메일에 걸려들어 민감한 파일에 접근할 수 있는 계정 정보를 해커에게 전달한다.
그런 수법은 사용자 계정 정보부터 개인 이메일까지 중요한 데이터에 불법 접근하기 위해 빈번히 이용됐다. 최근 세계 4대 회계법인 중 하나로 기업에 사이버 보안을 자문하고 있던 딜로이트가 해킹당해 체면을 구긴 것이 비근한 예다. 이런 문제는 책임 소재를 규명하기도 어렵다.
워너크라이와 페트야 같은 공격의 확산을 막을 수 있는 수단은 컴퓨터 시스템의 취약점이 드러나기 전부터 존재했다. 얼마든지 예방이 가능했던 사건이라는 뜻이다. 하지만 기업과 정부기관들이 이런 문제에 대처할 수 있는 시간이 갈수록 줄어들고 있다.
전 세계의 전문가들이 머지않아 훨씬 더 파괴적인 공격이 발생할 것이라고 경고하기 시작하면서 그런 조짐은 더욱 분명해졌다. 미국 백악관 국가안보회의(NSC)로부터 사이버 공격에 대비하는 인프라를 구축할 연방정부의 능력을 검토하도록 의뢰 받은 미국 국가인프라자문위원회(NIAC)는 이미 올해 초 ‘사이버 9·11 테러’를 경고했다.
또 최근 영국 국가사이버보안센터의 기술 책임자 이언 레비는 향후 몇 년 사이 ‘1등급’의 사이버 공격이 발생할 것이라고 말했다. 1등급의 파괴력이 어느 정도인지 감을 잡으려면 워너크라이 랜섬웨어 공격이 2등급 수준이라는 사실을 생각해보면 된다. 실제로 1등급 공격이 가져오는 피해는 상상을 초월할 수 있다. 레비가 두려워하는 것이 바로 그점이다. 일부 기업과 정부기관은 직접 겪기 전에는 대규모 사이버 공격의 위협을 심각하게 받아들이지 않기 때문이다.
정부와 업계는 ‘1등급 사이버 공격’ 또는 ‘사이버 9·11 테러’가 발생하면 어떻게 될지 알기 위해 그때까지 기다려선 안 된다. 예를 들면 ‘제로 데이 공격(zero day attack)’이 그 원인이 될 수 있다. 보안 취약점이 발견됐을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이뤄지는 보안 공격을 말한다.
일반적으로 컴퓨터에서 취약점이 발견되면 제작자나 개발자가 취약점을 수정하는 보안패치를 배포하고 사용자가 이를 내려받아 대처하는 것이 관례지만, 제로 데이 공격은 대응책이 공표되기도 전에 공격이 이뤄져 대처 방법이 없다고 알려졌다. 그러나 기업과 정부기관은 복구력을 총동원하는 노력으로 그런 공격이 초래하는 최악의 피해를 막을 수 있다.
안타깝게도 많은 기업과 정부기관은 기초적인 문제를 해결하기 전에는 복구력에 초점을 맞출 수 없다. 워너크라이와 페트야 공격이 확산된 지 한 달 뒤에도 감염을 막기 위해 반드시 필요한 보안패치를 적용하지 않은 공용 시스템을 가진 기업과 기관이 수없이 많았다.
가장 기본적인 사이버 보안 조치를 계속 무시하면 정부와 기업은 막대한 재정 손실을 입을 수 있고, 소비자는 개인 계정이 해킹당하고 신원이 도용될 수 있다. 그런 잠재적인 결과가 뻔히 보이는 데도 보안패치 적용과 비밀번호 강화 등 필요한 기본 조치를 취하지 않으면 어마어마한 피해를 감수해야 할 뿐 아니라 ‘소 잃고 외양간 고치는’ 격으로 계속 한발 뒤져 수세에 몰리게 된다.
- A.J. 델린저 아이비타임즈 기자
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
