블로그

허핑턴포스트 블로거의 분석과 의견이 담긴 생생한 글을 만날 수 있습니다.

박지훈 Headshot

랜섬웨어, 몇 가지 드는 생각

게시됨: 업데이트됨:
인쇄

2017-06-23-1498181516-7998094-51_00.jpg

무기는 어쨌든 가치중립적이다. 어떤 가치관이나 태도에 치우치지 않는다고 일단 우긴다. 반면, 애초에 남을 해하는 물건이니 싹 다 없어져야 한다는 말 또한 어쨌든 옳다. 아름답고. 하지만 무차별 난사해 무고한 시민을 마구 학살하는 테러리스트가 든 총과 그를 체포하기 위해 투입된 경찰이 든 총의 뜻이 결코 같을 순 없다. 결국엔 칼자루를 누가 쥐느냐의 문제. 복잡하게 말할 것도 없이 강도 사건에서 가장 흔한 흉기는 부엌칼이다.

랜섬웨어가 악용하는 암호화가 그렇다 싶다. 암호화는 정보의 안전을 관리하는 가장 강력한 도구이자 사실상 유일한 방법이다. 그 유용한 도구를 악용하면, 랜섬웨어가 된다. 나의 정보를 사용할 수 없게끔 암호화해버리고 인질로 삼아 돈을 요구한다. 게다가 돈을 줘도 풀어주지 않는 경우가 대부분이다. 아주 악랄한 짓인데, 반면교사로 삼자고 할 것까지야 없겠다만 달리 뜻하는 바가 아주 없진 않다. 이에 요즘 한창 요란한 랜섬웨어 사건들을 보며 든 생각들을 기해 둔다.

늘 정보보안 떠들던 자로서 "허무하다"

정말 허무하다. 맨날 "보안! 보안!" 떠드는데 아무도 거들떠보지도 않더니, 랜섬웨어라는 나온 지 10년도 넘은 수법에 당한 피해자들이 속출하자 다들 "보안! 보안!" 그런다. 어떤 유형의 정보보안 사고든 그저 '해킹'이라 부르며 이제 그 효력을 거의 상실한 안티바이러스 백신 이야기만 하는 언론 기사에도 '암호화'에 이어 'AES' 'RSA' 등 용어들이 나타난다. 심지어 '키 관리'까지.. 피해자들에겐 그저 미안한 말이지만, '죽어 봐야 저승을 안다'는 옛말이 떠오르는 시절이다. 보안 업데이트 공지 뜨면 귀찮다며 우회하던 무사안일 안전불감증을 탓하는 경각심 자체는 사실 좀 반갑기마저 하다.

어디 나뿐이랴. 정보보안을 홍보하는 게 일인 사람들 모두 좀 들떴다. 다들 그렇게나 열심히 보안을 외쳤는데 이제야 세상 사람들이 들어 준다. 일단 너무너무 고맙긴 한데,, 그런 사회적 관심이 정확하게 핵심을 바라보고 있는지는 또 의문이다. 문제의 본질이 아닌 엉뚱한 쪽을 바라보며 답을 찾는다면, 이 뜨거운 관심은 이번에도 또 별 소득 없이 무위로 그치고 말 것이다.

악당들이 "똑똑해졌다"

정말 똑똑해졌다. 과거 공격자들은, 사실 좀 이상했다,, 악성코드들은 악하긴 한데, "아니 그래서 당신들이 노리는 바가 뭔데?" 좀 애매했다. 그냥 프로그램을 파괴하거나 변조해 사람을 괴롭히기만 할 뿐 도대체 뭐 때문에 이런 짓을 하는지 도대체 알 수 없었는데, 이제 달라졌다. 확실한 목적이 있다. 바로, '정보=돈'이라는 사실을 깨달은 것. 당하는 입장에서도 마찬가지다. 이 또한 좀 허무하다. 그렇게나 "정보의 금전적 가치를 인식해야 보안의 진짜 필요를 알게 된다!" 열심히 떠들었는데, 그 가치가 뻔히 눈앞에서 샥샥 사라지는 걸 목격하고 나서야 이리도 아프게 깨닫다니, 아니 이거, 너무 허탈하지 않나,,

개인정보 탈취가 큰 사회적 문제인 시절이 있었다. 요즘 그쪽은 어째 좀 한산하다. 문제가 해결되지도 않았지만 하도 흔히 벌어지다 보니 그냥 무시하게 된 듯싶기도 하고, 그렇게 탈취한 개인정보를 거래하는 시장 자체가 시시해졌기 때문이기도 하다. 시장 매물이 너무 많아 가격 형성이 안 되는 것. 그래서 랜섬웨어가 뜬 것으로 봐도 될 듯싶다. 특정 정보를 훔쳐서 팔아 돈을 버는 짓에 비해 불특정 다수를 마구 노려 정보를 못 쓰게 만들고 돈을 요구하는 짓이 훨씬 더 손쉬운 일이기도 하고 돈도 더 번다.

이 또한 늘 말하던 바 '보안의 경제학적 논리'다. 정보범죄자들은 매우 경제학적으로 행동한다. 그저 남을 괴롭히려는 지나친 장난쯤으로 보이던 범죄도 많아 좀 헷갈렸지만, 요즘은 확실히 노릴 것을 노린다. 바로, 정보의 금전적 가치. 다시 말해 정보보안이란, 공격 비용이 정보 가치보다 더 커지도록 만드는 일이다. 정보를 탈취하는데 드는 비용이 정보의 가치보다 크다면 그 정보는 노릴 만한 정보가 아니다. 그런데 공격 비용은 점점 싸지고 정보 가치는 점점 높아지니 사고가 자꾸 일어난다.

대책이 "없다"

그런데, '랜섬웨어 대책'이라고 내놓은 것들에 문제가 있다. 우선, "전원선을 뽑거나 배터리를 제거하고", 그러면 안 된다. 아니, 선택의 문제다. 현존 랜섬웨어 복구 툴은 모두 다 메모리에 남아 있는 암호화 키를 찾아서 복호화를 시도한다. 그런데 컴퓨터를 껐다가 다시 켜면? 메모리에 든 내용은 모두 다 지워져 복구 툴을 아예 사용할 수 없다. 선택의 문제란, 당장은 포기하고 복구를 시도해 볼 것인지 암호화 하느라 미친 듯 돌아가는 컴퓨터를 일단 끄고 볼 것인지 결정을 해야 한다는 뜻이다. 하지만 현실적으로 일반 개인 사용자 입장에서 보자면 둘 다 별 의미가 없다. 그 공포의 현장을 그저 바라보고 있을 용감한 사람도 거의 없을 것이고, 깜짝 놀라 컴퓨터를 껐다가 켜도 컴퓨터는 이미 정상 상태가 아니니 랜섬웨어는 다시 돌아간다.

랜섬웨어가 윈도우 운영체제의 파일 공유 SMB(Server Message Block) 취약점을 악용하므로 해당 프로토콜이 사용하는 TCP 그리고 UDP 135번~139번, 445번 포트를 윈도우 방화벽에서 막자는 임시조치 또한 말이 좀 이상하다. SMB 차단을 통한 예방법은 랜섬웨어가 아니라 랜섬웨어의 일종인 '워너크라이(Wannacry)'에만 해당하는 대처법일 뿐이다. 랜섬웨어들은 대개 암호화 기능은 비슷하게 갖되 그 전파 방법에서 서로 다른 변종들이다. 따라서 SMB 차단은 '워너크라이' 등 마치 웜 바이러스처럼 스스로 복제해 네트워크를 통해 전파되는 방식의 랜섬웨어에만 통하고, 비슷한 방식이라 하더라도 해당 취약점을 악용하는 방식이 아니면 통하지 않는다.

워너크라이 같은 것들의 감염성은 그 자체로 큰 문제이긴 하다. 하지만 이는 감염성 자체, 즉 다운로드로 받은 파일을 실행하는 등 자기가 직접 어떤 행동을 해야 감염되는 소위 '드라이브 바이 다운로드(Drive by Download)' 등 흔한 방식이 아니라 '드라이브 바이 멀웨어 인펙션(Drive by Malware Infection)' 등 간접적 감염 방식에 따른 위험성 문제로 볼 일이다. 그러니 다소 치사하게 말하자면 "인터넷에 연결하기만 해도 걸려!" 식의 사회적 공포는 차라리 반갑기마저 하다,, 정보보안 사고는 무섭다. 정말 무서운데 아무도 공포를 느끼지 않는다면, 그게 가장 위험한 일 아닌가. 고통은 아프니까 싫지만, 사람이 고통을 느끼지 못한다면 정말 목숨이 위험해지듯.

대책은 그저 예방뿐. 그런데 그게 참, 애매하다,, 평소 의심스러운 사이트 접속을 피하고, 조금이라도 수상해 보이는 파일은 함부로 열지 말고, 데이터 백업 자주 하고, OS 업데이트 자주 하고, WAF 등 컨텐츠 수준에서의 웹 보안 조치 철저히 해 두고, 클라우드 서버에 저장해 뒀다고 그냥 막 안심해버리진 말고 등, 병에 걸리지 않으려면 평소 건강한 생활 습관을 가져야 한다 정도의 이야기뿐이다. 그러나 어쩌랴, 현실이 그러하다.

이쯤 되면 "지구적 문제"

세상의 모든 음모론자들에게 묻고픈 바가 있다. 그들은 늘 "아무리 암호화 열심히 해도 NSA CIA FBI 국정원 그런 무서운 조직들은 다 풀 수 있다!" 라고 말하는데, 정말 그렇다면, 랜섬웨어 암호화는 왜 못 푸는 걸까? 아주 특별한 암호화라서? 아니, 애초에 특별한 암호화 같은 건 없다. 암호화란 충분히, 정말 충분히! 검증된 뒤에야 쓸 수 있기 때문에 모두 다 옛날 기술들이다. 따로 특별히 그리고 은밀히 찾을 것도 없이 어떤 프로그래밍 언어든 그 정도 암호화 함수는 이미 다 갖추고 있다. 랜섬웨어 암호화도 그냥 흔한 암호화다. 그런데도 못 푸는 건 암호화란 게 원래 풀 수 없는 것들이기 때문이다. NSA든 CIA든 FBI든 국정원이든.

그럼에도 그런 정보 관련 기관들이 나서 해 줄 일이 있긴 하다. 바로 랜섬웨어의 유통망에 해당하는 비트코인 추적. 비트코인이 완전한 익명성을 갖췄기 때문에 범죄에 악용된다는 말은 흔한 오해다. 비트코인의 거래는 애초에 투명하기 때문에 범죄에 악용된 비트코인의 블록체인에 기록된 거래 내역을 확인해 추적할 수 있다. 비트코인의 이러한 '반익명성(Pseudo Anonymity)' 성질을 이용해 거래를 시각화해 관찰하는 '체이널리시스(Chainalysis)' 등 기술이 각국 경찰에 도입되어 있고, 우리나라 경찰도 시범 운영하고 있다. 그리고 비트코인을 일반 화폐로 현금화 할 때 계좌 추적 등을 통해 수사할 수 있다. 다만 돈의 흐름이 워낙에 국제적으로 움직이니 추적이 어려운 건데, 이를 각 국가가 아닌 지구 전체의 문제로 인식하고 어서 해결해야 한다 싶을 정도로 아주 심각해진 것. 올해 전 세계 랜섬웨어 피해 액수는 50억 달러를 훌쩍 넘어갈 것으로 추정되고 있다. 문제를 이대로 방치한다면 피해는 점점 더 커질 것이다.