지난 5월 12일 시작된 랜섬웨어 워너크라이(WannaCry) 공격이 급속히 진행되며 전 세계에 영향을 주고 있다. 워너크라이(일명 WCry, WanaCryptor) 멀웨어는 자체적으로 확산되는(웜과 같은) 랜섬웨어로 MS 서버 메시지 블록(SMB) 프로토콜의 취약점을 악용하여 공공 인터넷과 내부 네트워크를 통해 확산된다. 이 멀웨어는 데이터 파일들의 확장자를 .WCRY로 암호화하고 이 파일들의 복호화를 댓가로 미화 300달러~600달러(비트코인으로)를 요구한다. 이 멀웨어는 명령 및 제어(C2) 통신에 암호화된 토르(Tor)을 사용한다.

파이어아이(지사장 전수홍)는 이번 워너크라이 랜섬웨어 사태와 관련해 위협 내용분석과 위험 관리를 발표하였다. 파이어아이의 분석에 따르면, 워너크라이 공격과 관련된 악성 바이너리는 서로 다른 두 개의 요소로 구성된다. 하나는 랜섬웨어 기능을 제공하며, 5월 12일 이전에 보고된 바 있는 워너크라이 멀웨어 샘플과 매우 유사하게 행동한다. 다른 하나는 확산에 사용되며 스캐닝과 SMB 취약점 악용 기능들을 활성화하는 역할을 한다.

이 랜섬웨어의 급속한 확산 및 분포 속도를 고려할 때, 파이어아이 아이사이트(iSIGHT) 인텔리전스는 이 공격이 취약한 윈도우 컴퓨터를 사용하는 모든 조직들에 잠재적으로 상당한 위협이 될 것으로 보고 있다.

감염 경로를 살펴보면 워너크라이는 환경에 침투한 후, 윈도우의 SMB 취약성을 악용하여 확산된다. 이러한 확산 경로는 감염된 네트워크에서 내부적으로는 물론 공공 인터넷을 통해 멀웨어를 유포할 수 있다. 사용된 익스플로잇(exploit)은 이터널블루(EternalBlue)라는 코드명으로 섀도우브로커(ShadowBrokers)가 유출한 것이다. 악용된 취약점에 대해 MS는 지난 3월 보안패치 MS17-010을 발표했었다.

파이어아이의 분석에 의하면, 워너크라이는 두 가지 스레드로 증식한다. 첫 번째 스레드는 네트워크 어댑터들을 나열하여 시스템이 어떤 서브넷에 위치해 있는지를 판단한다. 그 후 멀웨어는 그 서브넷의 각 IP에 대해 스레드를 생성한다. 이 스레드는 TCP 포트 445의 IP에 연결을 시도하며, 성공하면 시스템 악용을 시도한다.

이러한 취약성 악용에 대응, MS는 워너크라이에 대응한 위험 관리 단계를 제공했다. 워너크라이 랜섬웨어가 주로 SMB 취약점을 악용해 확산되고는 있지만, 주 공격자들이 다른 유포 방식을 사용할 가능성도 배제할 수는 없다. 워너크라이가 스팸 메시지에 포함된 악성 링크를 통해 확산되었다고 초기 보도되었으나, 파이어아이의 자체 조사 결과 그 정보는 아직까지 입증되지 않았다.

원래의 감염 경로가 어떤 것이든 워너크라이 공격자들은 악성 문서, 온라인 광고를 통한 악성코드(malvertising) 유포 또는 트래픽이 높은 사이트의 침해 등 랜섬웨어 공격에 보편적으로 사용되는 모든 수단을 사용한다. 이번 공격이 보여준 큰 영향력과 조기 유포 경로의 불확실성을 고려할 때, 조직들은 모든 보편적인 멀웨어 유포 경로를 잠재적인 워너크라이 감염 소스로 간주해야 한다.

멀웨어의 특징을 보면 지금까지 식별된 각 워너크라이 변종(웜과 유사한 기능 실행)에는 여러 보안 연구자들이 멀웨어의 파일 암호화 방지에 사용했던 킬스위치(killswitch)가 포함되어 있다. 그러나 새로운 도메인을 가진 다양한 변종이 등장한 것으로 보아 공격자들은 이 기능을 제거 또는 수정할 수 있는 것으로 보인다.

5월 12일 확산이 시작된 워너크라이 패키지는 피해자의 기계를 감염시킨 후, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com에 접속하려는 시도를 한다. 파이어아이의 테스트에 따르면, 성공적으로 이 도메인에 도달한 멀웨어는 암호화나 자체 확산을 수행하지 않는다. (일부 조직들은 멀웨어가 이 경우 지속적으로 자체 확산된다고 보고했지만, 파이어아이는 테스트 환경에서 이러한 행동을 확인할 수 없었다.) 5월 12일 한 보안 전문가가 이 도메인을 등록했으며, 이로 인해 대량 감염을 유발할 수 있는 암호화 행동이 중단된 것은 분명하다. 워너크라이 개발자들은 이 킬스위치 기능을 샌드박스 분석에 대한 대책의 하나로 사용하고자 의도했을 수 있다.

5월 14일, 새로운 킬스위치 도메인 www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com을 가진 변종이 모습을 드러냈다. 이 도메인 또한 싱크홀(sinkhole)로 차단되어 표면상으로는 킬스위치 행동이 도메인에 접근한 모든 워너크라이 감염을 비활성화하도록 했다. 이러한 도메인 접속 변경이 원래의 멀웨어 유포자들에 의해 구현된 것인지 아니면 제3자가 유포된 샘플을 수정한 것인지는 분명하지 않다. 또한 5월 14일, 도메인 접속 킬스위치 기능이 포함되지 않은 새로운 변종이 파악되었다. 그러나 이러한 변경은 멀웨어가 컴파일 된 후 공격자가 아니라 제3자에 의해 구현되었을 수도 있다. 이 변종의 랜섬웨어 요소는 손상된 것으로 보이며 테스트 환경에서 기능을 수행하지 않는다.

위협 활동이 줄어 들고 있다는 반가운 보도가 나오고 있지만, 워너크라이는 여전히 상당한 위협으로 남아 있다. 이 멀웨어의 재확산 메커니즘이 얼마나 효과적인지를 고려한다면, MS가 권장한 완화 메커니즘을 적용하지 않은 거의 모든 조직들이 잠재적으로 워너크라이 확산 시도에 노출되어 있다고 볼 수 있다. 그뿐만 아니라, 새로운 변종의 출현은 공격자들이 원하면 워너크라이의 킬스위치 기능을 제거하거나 대폭 수정하여 이제까지 취해진 대응책을 회피할 수도 있음을 보여준다. 보도에 따르면 워너크라이 랜섬웨어들과 관련된 사고들이 여러 국가들에서 잇달아 발생하였다.

랜섬웨어를 방어하기 위해 조직들은 관련된 SMP 악용 문제 해결에 대한 MS의 블로그를 참조하기 바란다. 이 랜섬웨어의 급속한 확산으로, 파이어아이도 탐지 기술, 위협 인텔리전스 분석, 제안 및 컨설팅 서비스 등 전체 포트폴리오를 신속하게 사전 대응적으로 업데이트하였다.

파이어아이의 네트워크, 이메일, 엔드포인트 제품은 랜섬웨어 사전 탐지 기능을 보유하고 있으며, 인라인 구현 시 또는 Exploit Guard가 활성화된 경우 웹과 이메일 감염 경로를 통해 유포되는 새로운 랜섬웨어(워너크라이 포함)를 차단할 수 있다. 또한 명령 및 제어(C2) 통신 및 기존 워너크라이 감염에 대한 호스트 표시기 등 워너크라이의 후반기 활동을 탐지한다. 이외에도, 파이어아이 PX(네트워크 포렌식) 센서가 내부적으로 구현되고 서비스로서의 파이어아이(FaaS)로 모니터링되어 SMB 확산 트래픽을 탐지할 수 있다. 네트워크 프록시와 기타 엔터프라이즈 네트워크 보안 기능은 멀웨어가 킬스위치 도메인에 접속하여 의도치 않게 암호화를 유발하는 것을 방지할 수 있다.

파이어아이 코리아 전수홍 지사장은 “이번 랜섬웨어 사태는 시스템을 최신상태로 업데이트하는 것이 얼마나 중요한 지 잘 보여주는 사례다. 랜섬웨어 공격 방어를 위해서는 MS 보안 업데이트를 최신 버전으로 설치하는 것을 권장한다. 만약 업데이트가 불가능할 경우, 시스템을 인터넷 연결로부터 차단하는 조치를 취한 후, 다른 보안 콘트롤을 실행하는 것이 중요하다.”고 말했다.

한편 이번 '워너크라이' 랜섬웨어 공격의 배후에 북한이 있다는 주장에 대해 파이어아이 분석팀 매니저 존 밀러(John Miler)는 "북한과의 연관성에 대하여 조사를 진행하였으나, 워너크라이와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분하지 않기 때문에, 현시점에서는 북한의 소행으로 단정짓기는 어렵다. 하지만, 파이어아이는 지속적으로 가능한 모든 시나리오를 면밀히 조사할 예정이다.”라고 밝혔다.

이향선기자 hslee@nextdaily.co.kr