[이스트시큐리티 Endpoint개발팀 김동원 책임]

워너크라이 랜섬웨어 이슈와 취약점 공격의 위험성

지난 5월. 한국을 포함한 전 세계에서 워너크라이(WannaCry) 랜섬웨어가 기승을 부렸다. 사용자의 데이터를 볼모로 삼아 금전을 요구하는 이 랜섬웨어는 윈도우(Windows)의 SMB 취약점을 파고들어 네트워크를 통해 빠르게 확산되었다.

다행히도 이와 관련된 업데이트가 2017년 3월 말 공개되었기 때문에 업데이트를 이미 진행한 사용자들은 큰 피해를 입지 않았다. 문제는 지원이 중지된 OS(Windows XP, Windows Server 2003 및 이전 버전)였다. 마이크로소프트(Microsoft)는 부랴부랴 긴급 업데이트를 지원했지만, 공격 발생 이후의 패치인지라 소 잃고 외양간 고치기에 그치는 경우가 다수였다. 이처럼, 지원 중지된 OS의 경우 취약점 공격을 차단하는 것은 사실상 불가능에 가깝다.

보안 구멍 숭숭... 여전히 방치되어있는 산업시스템

공격자는 취약점 공격을 시도할 때, 타깃 시스템에 다수의 취약점이 존재한다는 것을 전제로 한다. 윈도우XP를 기준으로 살펴보자. 보안 취약점 통계분석 사이트 CVE 디테일에 따르면, 윈도우XP는 현재까지 알려진 취약점만 726개에 달한다. 또한 2014년을 마지막으로 공식지원이 끊겨버린 OS이기도 하다. 그럼에도 불구하고, 윈도우 XP의 점유율은 현재까지 전 세계적으로 7%대를 유지하고 있다. 따라서 윈도우XP는 공격자에게 아주 매력적인 공격 대상으로 꼽힌다.

[그림 1. 2017년 데스크탑 OS 사용현황, 출처: 넷마켓쉐어(https://www.netmarketshare.com/)]

지원이 중지된 OS를 계속해서 사용하고 있는 이유는 무엇일까? 지원 중지된 OS를 사용하고 있는 장비들 중 가장 큰 비중을 차지하는 것은 산업전반에서 사용되고 있는 각종 시스템들이다. 여기서 산업시스템은 우리 삶에 친숙한 ATM(현금자동입출금기), POS(판매시점관리 프로그램), Kiosk(디스플레이를 기반으로 한 정보전달기기)뿐만 아니라, 산업 설비를 제어하기 위해 만들어진 모든 시스템들을 일컫는다.

업데이트가 쉬운 개인용 PC와는 달리, 산업시스템은 OS교체에 많은 기회비용이 발생한다. 당장 OS구입에 들어가는 비용 및 인력충원, 장비교체, 호환성의 문제 등이 그러하다. 또한 산업시스템은 일반적으로 특정한 기능만을 수행하기 때문에 저사양인 경우가 많아, 초기 사용성만 검증되었다면 낡은 OS를 사용한다는 것이 큰 문제가 되지 않는다. 당시에는 윈도우 최신버전을 기반으로 개발된 시스템이었지만, 점차 빨라지는 OS의 개발주기를 따라 잡지 못한 것이다.

가까운 사례로 이번 워너크라이 랜섬웨어는 영국 병원의 네트워크와 독일의 철도 시스템을 마비시켰다. 국내 피해 사례로는 영화관과 버스정류장의 키오스크, 소매상의 POS기기 피해도 들 수 있다. 이는 산업현장이 지원 중지된 OS사용으로 인해, 취약점에 크게 노출되어 있다는 것을 방증한다.

산업현장의 레거시 시스템, 차별화된 보안 전략이 필요하다!

앞서 언급한 윈도우 XP와 같이, 현재까지 남아 사용되고 있거나 현재의 체계에 영향을 미치는 과거의 낡은 기술이나 방법론, 컴퓨터 시스템, 소프트웨어 등을 레거시 시스템(Legacy System)이라고 한다. 레거시 시스템은 지속적인 케어가 중단되기 때문에 필연적으로 취약점에 노출될 수 밖에 없다. 따라서 일반 시스템과는 다른 보안기획 수립이 필요하다.

1. 내부망 분리

일반적으로 보안공격은 외부에서 온다. 망을 분리하면 내부에서만 통신이 가능해지므로 외부 공격을 원천적으로 막을 수 있다. 그러나 내부망은 전용선을 사용하기 때문에 여러 한계가 존재한다. 이는 VPN을 이용하여 해결할 수 있으나, VPN은 결과적으로 인터넷망을 사용하는 방법이기 때문에 100% 안심할 수 없다. 또한 구축과정에 인력과 시간이 다수 필요하기 때문에 비용이 많이 발생하는 편이다.

2. 방화벽 정책 수립

방화벽은 말 그대로 네트워크 구간들 사이에 놓인 벽을 말한다. 검증되지 않은 네트워크에서 오는 트래픽을 검증된 네트워크로 넘어오지 못하도록 차단하는 것이다. 산업시스템은 대부분 특정한 기능만 동작하도록 설계되었다. 따라서 검증된 IP와 포트를 제외한 외부통로를 방화벽을 통해 차단한다면 비교적 수월하게 방화벽 정책을 수립할 수 있다.

3. 화이트리스트(White List) 방식 활용

블랙리스트가 경계를 요하는 대상의 목록인 것과 반대로, 화이트리스트는 허용되거나 신뢰할 수 있는 대상의 목록이라고 할 수 있다. 간단하게 말하자면 관리자가 사전에 인가한 프로그램만 설치가 가능하도록 하는 것이다. 이렇게 되면 잠입에 성공하여 설치된 악성코드가 제대로 실행될 수 없는 환경을 만들 수 있다.

위와 같은 보안전략이 체계적으로 실행되려면 인력과 인프라, 구축 비용 등 여러 자원이 필요하다. 따라서 기업 및 조직에 따라, 상황에 맞는 합리적인 비용으로 안전한 환경을 만드는 것이 중요하다. 혹, 소규모 기업에서 이러한 보안전략을 실행하기 위해 고민하고 있다면, 보안 솔루션을 도입하는 것이 적절한 해결책이 될 수 있다. 솔루션을 선택하는데 있어 필요한 기능적인 체크포인트는 다음과 같다.

1. 보안 취약점 및 악성코드 공격의 원천 차단

2. 화이트리스트 기반의 어플리케이션 제어

3. 신규 생성 파일에 대한 감시 및 차단

4. 네트워크를 통하지 않은 물리적인 해킹에 대응하기 위한 이동식 매체(USB) 감시 및 차단

[그림 2. 알약 레거시 프로텍터의 주요 기능]

국내외 보안업체에서는 레거시 시스템을 안전하게 보호하기 위한 여러 보안 솔루션을 개발 및 서비스하고 있다. 이스트시큐리티는 현재 레거시 시스템을 위한 알약 레거시 프로텍터 2.0 - 키오스크, ATM, POS 등 맞춤 보안 솔루션을 준비중에 있다. 알약 레거시 프로텍터는 앞서 설명한 체크포인트는 물론, 산업현장의 특성을 반영하여 저사양 시스템에서도 설치 및 운용이 가능하도록 클라우드화(중앙화)된 것이 특징이다. 또한 자사가 서비스하는 ASM(ALYac Security Manager, 기업용 통합보안관리 시스템)과도 연동되여 고도의 보안지식을 가지고 있지 않은 담당자라도 쉽고 간편하게 통합관리가 가능하도록 설계되었다.

최신 시스템도 언젠가는 레거시 시스템이 된다

최근 키오스크는 4차 산업혁명에 힘입어 지하철의 안내판, 영화관의 무인발권기 외에도 패스트푸드점의 주문관리, 병원의 자동수납관리 시스템 등 다양한 분야에 활발히 도입되고 있다. 또한 POS의 경우, 고객의 개인정보를 이용한 마케팅, 적립금 연동 등 고객정보관리 뿐만 아니라 매장 내의 재고관리, 물품 발주 등 제공하는 기능이 다양해지고 있다. 이 때문에 키오스크나 일반 POS 시스템은 대부분 폐쇄망이 아닌 상용인터넷망을 사용하고 있다. 하지만 일부 단말기는 여전히 윈도우 XP 및 이를 기반으로 한 WEPOS(Windows Embedded for Point of Service), 윈도 임베디드 POSReady 2009(Windows Embedded POSReady 2009)를 운영체제로 사용하고 있어 보안에 매우 취약하다.

모든 시스템은 언제든지 레거시 시스템으로 도태될 수 있다. 다행히도 취약점에 노출된 OS를 사용하는 비율은 점점 줄어들고 있는 추세이다. 그러나 공격자들에게 필요한 것은 취약점 공격이 가능한 ‘단 하나의 시스템’뿐이다. 이러한 관점에서 보면, 단 하나의 레거시 시스템도 소홀히 해서는 안 될 것이다.

산업시스템은 인간의 수고를 덜어주며, 삶을 윤택하게 만드는 서비스를 제공한다. 그러나 산업시스템에는 수 많은 개인정보가 네트워크 상에 존재하기 때문에 철저한 보안 정책의 수립이 선행되어야 한다. 우리의 산업현장을 안전하게 보호할 수 있도록 세심한 보안 전략이 필요한 때이다.