본문 바로가기
칼럼

위기의 PC, 안전지대는 없다

글쓴이 Lina Ha() 2017년 12월 20일

보안업계에 있어 2017년은 그야말로 바람 잘 날 없던 한 해였습니다. 지난 5월을 시작으로 6월, 10월까지 연이어 발생한 악성 바이러스의 공격에 온 세계가 들썩였죠. 특히 각종 중요한 데이터를 가진 관공서와 방대한 자본을 소유한 기업은 공격의 우선순위에 노출되어 있기 때문에 항상 촉각을 곤두세우고 있을 수밖에 없는 상황입니다. 하지만 언제까지 불안해하고만 있을 순 없겠죠. 지금부터 PC를 위협하는 악성 프로그램에는 어떤 것들이 있는지, 그로부터 내 소중한 정보를 지킬 방법은 무엇인지 알아보겠습니다.


빈틈없는 지능적 공격, 악성 프로그램

한남자가 자물쇠 모양의 아이콘을 클릭하는 모습얼마 전 미국의 보안 스프트웨어 기업인 시만텍 코퍼레이션(Symantec Corporation)은 ‘2018년 10대 보안 전망’을 발표했습니다. 2018년에는 올해 등장한 클라우드를 공격한 랜섬웨어, 파일리스의 악성코드 증가, IoT 기기를 이용한 사이버 범죄자들의 위협 등이 지속되는 것은 물론 금융 악성코드 공격과 비트코인 거래 습격, 각종 스마트 기기의 악의적 사용, 특히 기업을 노리는 서비스형 소프트웨어(SaaS, Software as a Service) 보안 위협 등이 폭증할 것으로 내다봤습니다. 이처럼 4차 산업혁명의 중심 사업인 인공지능과 머신러닝을 비롯한 사물인터넷(IoT, Internet of Things) 기기들은 사이버 범죄자들의 새로운 타깃이자 수입원이 되어, 기업과 가정의 네트워크를 침투해 악영향을 끼칠 것으로 예상됩니다.

1) PC 생태계를 위협하는 조용한 파괴자들

IT 산업이 시작된 때부터 현재까지 PC를 공격하는 악성 프로그램은 해마다 다양하고 치밀하게 발전해왔습니다. 먼저 최근까지도 골머리를 앓고 있는 디도스(DDoS, Distributed Denial of Service), 일명 분산서비스거부 공격은 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시 접속시키며 단시간에 과부하를 일으키는 행위를 말하는데요. 초기 진원지를 추적하기 어려워 재발 우려가 있다는 점에서 더 위협적입니다. 국내에서는 2008년 한 아이템 거래중계 사이트가 디도스 공격으로 1,000억 원대의 피해를 보았고, 2011년 10월 재보궐선거가 이뤄지던 당시 중앙선거관리위원회 홈페이지도 디도스 공격을 받은 바 있습니다.

Access Granted 알림창이 뜬 컴퓨터 모니터 화면

사용자 동의 없이 PC에 설치되어 설정을 바꿔버리거나 각종 정보를 수집하는 악성코드 스파이웨어(Spyware)는 스파이(Spy)와 소프트웨어(Software)의 합성어로, 사용자가 자신도 모르게 설치하는 경우가 많습니다. 많이 경험해보셨을 텐데요. 필요한 프로그램을 액티브X를 통해 설치하던 중, 전혀 상관없는 스파이웨어가 함께 설치되는 것이죠. 이 때문에 신뢰할 수 없는 웹사이트에서는 함부로 액티브X를 통해 프로그램을 설치하지 않는 것이 좋습니다.

 액티브X를 통한 소프트웨어 설치 알림창 화면

차세대 보안위협으로 지목되고 있는 ‘지능적 지속 위협(Advanced Persistent Threats)’, 일명 APT 공격은 매우 치밀하고 지능적입니다. 불특정다수가 아닌 공격 대상을 정해 이메일, SNS 등에 몰래 접근한 뒤, 때를 기다리면서 회사 및 주위의 모든 정보를 천천히 살핍니다. 대상의 주변 파악이 모두 끝나면 회사 내 보안 서비스를 무력화시킨 후 정보를 유출해갑니다. 자신의 흔적을 지우면서 조심스럽게 공격하기 때문에 한참이 지나서야 해킹 사실을 알게 되는 것이죠. 초기 접근법은 간단합니다. 예를 들면, 공격 대상과 함께 프로젝트를 진행하는 직원들에게 프로젝트 관련 제목을 기입한 가짜 메일을 보내면 모두 의심 없이 열어볼 확률이 매우 높습니다. 해커는 바로 이 점을 이용하는 것이죠.  최근에는 SNS에 올라온 단축 URL이나 사진을 이용해 바이러스를 유포하는 사례도 늘고 있으니 각별히 유의해야 합니다.

APT 공격의 피해 사례로 2011년 8월에 일어난 ‘오퍼레이션 오로라(Operation Aurora)’ 사건을 꼽을 수 있는데요. 공격 기간만 5년에 이릅니다. 대상은 구글과 미국 정부 기관을 비롯해 각국의 정부 기관과 사업체로, 모두 합하면 70여 곳이 넘는데요. 피해 규모가 컸던 만큼 아직도 역사에 남을 해킹 공격으로 손꼽힙니다. 같은 해 7월엔 국내 기업인 SK커뮤니케이션즈 해킹 사고도 있었습니다. 소프트웨어 업데이트 서비스를 악용해 정보를 탈취했는데요. 이 공격으로 무려 3,500만 명에 이르는 회원의 개인정보가 고스란히 넘어갔습니다.

SNS의 초대 메일로 위장한 악성코드 화면

‘트로이 목마’는 마치 유용한 프로그램인 것처럼 가장해 사용자가 실행하도록 속이는 악성 프로그램입니다. 과거 목마에서 나온 그리스 병사들이 트로이를 멸망시킨 것에 비유해 상대편이 눈치채지 못하게 몰래 숨어든다는 의미에서 붙여진 이름인데요. 일단 감염되면, 신용카드 번호와 비밀번호를 빼내고, 파일을 지우거나 PC 성능을 저하하기도 합니다. 트로이 목마의 주 감염 경로는 이메일 첨부파일과 다운로드 사이트인데요. 검증되지 않은 첨부문서나 다운로드할 파일의 확장자가 exe, vbs, com, bat, zip 등의 실행 파일이라면 가급적 열지 않는 게 좋습니다. 

또 카드사의 결제 명세서, 마이크로소프트의 윈도 업데이트 권유, 관공서의 협조 공문 등 열어보지 않을 수 없게 만드는 가짜 파일로 위장하고 있으니 유의해야 합니다. 최근에는 안드로이드 플랫폼 내, 미디어 플레이어 APK 파일로 위장한 트로이 목마가 많은 스마트폰을 감염시켰는데, 이 앱을 설치하면 특정 유료 서비스 번호에 문자메시지를 발송해 요금을 부여하는 방식을 이용했습니다. 다행히도 아직 국내 피해 사례는 보고되지 않았지만, 공식 안드로이드 마켓이 아닌 외부에서 앱을 구해 설치할 경우, 특히 주의해야 합니다.

2) 금품 갈취 일삼는 ‘랜섬웨어’

한번 공격이 시작되면 국내는 물론 세계를 뒤흔들 만큼의 위력을 가진 악질 중의 악질 ‘랜섬웨어(Ransom ware)'는 2005년부터 알려지기 시작했는데요. 이름 그대로 PC를 인질로 몸값(Ransom)을 요구하는 악성 프로그램으로 사용자가 특정 웹 사이트에 접속하거나 이메일에 들어있는 첨부파일을 실행했을 때 자동으로 설치되며, 이후 다양한 방법으로 사용자를 협박해 금품을 요구하는 방식입니다. 예를 들어, 사용자가 불법 사이트에 접속했을 때 사법기관 및 사용자의 주변에 알리겠다며 협박하거나, 컴퓨터에 있는 모든 데이터를 암호화한 후 복원을 빌미로 금품을 요구하는데 최근에는 비트코인으로 받는 탓에 범인 추적도 어려운 상황입니다. 국내 한 소프트웨어 개발회사의 조사에 따르면, 지난 2016년 한 해 동안 보안 프로그램을 통해 사전 차단된 랜섬웨어 공격은 총 397만 4,658건으로 해마다 늘고 있다고 합니다.

크립토락커 랜섬웨어에 감염된 모습

국내에 알려진 랜섬웨어로는 크립토락커(Crypto Locker), 테슬라크립트(Tesla Crypt), 크립트XXX(Crypt XXX), 그리고 가장 최근 발생한 에레버스(Erebus) 등이 있습니다. 

2013년 9월 처음 발견돼, 2017년 5월까지 총 세 차례 국내를 발칵 뒤집어놓은 크립토락커는 일단 감염되면 사용자 PC 데이터를 완전히 암호화해 복구 조건으로 비트코인을 요구합니다. 제한시간을 걸어놓기 때문에 사실상 암호화 해제는 불가능하며, 실제로 돈을 주고도 암호 키를 받은 사용자는 거의 없다고 알려져 있습니다.

2015년에 국내에 많이 유포된 랜섬웨어 ‘테슬라크립트’는 파일 확장자를 ‘ecc’, ‘micr’ 등으로 변경합니다. 드라이브 이름과 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브에서는 감염되지 않습니다.

크립트XXX에 감염된 모습 하우리해외에서 복호화 방법이 공개된 랜섬웨어도 있습니다. 2016년 5월 국내에서 처음 발견된 ‘크립트XXX’인데요. 하지만 얼마 지나지 않아 공격자가 이를 보완한 파일을 다시 만들어 무력화시켰는데, 그야말로 힘이 더 강해진 슈퍼 바이러스가 개발된 것입니다. 크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고, 앞에 소개한 크립토락커와 마찬가지로 바탕화면에 ‘데이터를 잃기 싫으면, 비트코인으로 대가를 지불하라’는 내용의 복구 안내 메시지가 뜹니다.  


지난 6월, 웹 호스팅 전문업체 ‘인터넷나야냐’를 감염시킨 에레버스(Erebus)는 리눅스용 랜섬웨어로 웹 서버 300대 중 리눅스 서버 153대를 감염시켰고, 이로 인해 중소기업 및 개인 홈페이지의 피해가 속출했습니다. 결국 ‘인터넷나야나’는 해커에게 13억 원에 달하는 몸값을 줄 수밖에 없었는데요. 이후 리눅스 서버를 보유한 기업 및 기관들은 관련 보안 서비스를 앞다투어 도입하는 등 보안에 관심을 갖는 계기가 됐습니다. 이외에도 모든 파일을 암호화하고 확장자를 ‘cerber’로 변경, 음성 메시지로 감염됐음을 알리는 랜섬웨어 ‘케르베르(Cerber)’, 한국어 윈도 운영체제에서만 감염되는 변종 랜섬웨어인 ‘매그니베르(Magniber)’, PC는 물론 모바일도 감염시킬 수 있는 ‘워너크라이(WannaCry)’ 등 다양한 특징과 방식을 가진 랜섬웨어가 계속해서 등장하고 있어 한순간도 방심할 수 없는 상황입니다.

피할 수 없다면 대비하라, 보안 및 예방책

현재 악용되고 있는 랜섬웨어는 총 50종이 넘고 유포방식도 다양해지고 있어 PC를 완벽하게 보호하는 일이 점점 더 어려워지고 있습니다. 경찰청 사이버안전국에 따르면, 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업하거나 클라우드 서버에 올려야 하고, 이메일에 첨부된 파일은 지인이 보낸 단순 문서 파일이어도 섣불리 실행하지 않는 것이 좋다고 합니다. 특히 요청한 자료가 아니면 유선 등으로 확인 후 실행해야 하고요. 또 SNS, 메신저, 문자메시지 등에 첨부된 링크를 무심코 누르거나, 신뢰하지 않는 사이트 등에서 내려받은 파일을 실행할 때도 주의해야 합니다. 귀찮더라도 반드시 백신 소프트웨어를 설치하고, 항상 최신 버전을 유지하는 게 무엇보다 중요합니다. 뻔한 예방책이라 생각할 수 있겠지만, 모든 바이러스 감염은 기본을 지키지 않아 걸리는 경우가 대부분이기 때문입니다.

1) 보안 강화된 차세대 프로토콜, https

악성 프로그램 공격의 최전선에 위치한 기업 및 관공서는 할 수 있는 한 최선을 다해 보안에 힘써야 합니다. 앞서 언급한 기본적인 절차 외, 도입해야 하는 보안 툴이 있는데요. 웹브라우저 주소창에 노출되는 ‘https’입니다. https는 기존에 사용해오던 http *프로토콜에 전송 계층 보안(TLS, Transport Layer Security)기술을 적용, 보안을 강화한 차세대 프로토콜인데요. 지난해 말, 구글이 크롬 등의 웹브라우저에서 https를 사용하지 않는 사이트에 대해 안전하지 않은 사이트로 일괄 지정하면서 논란이 되기도 했습니다. https를 도입하려면 별도의 인증서 발급 및 서버 과부하에 따른 비용이 발생하는데 이것이 걸림돌이 된 것이죠.

* 프로토콜(Protocol): 외교 의례, 조약의 초안 등의 뜻을 가진 단어. IT 분야에서는 통신규약을 의미하며 인터넷 주소 앞에 필수로 붙는다.

http과  https의 차이를 의미하는 주소창

하지만 현재 ‘렛츠인크립트(Lets Encrypt)’와 같은 무료 인증서가 보급되고 있고, TLS와 SSL(무료 보안 통신) 인증서 가격도 많이 낮아졌습니다. 또 https에 따른 *오버헤드(Overhead) 조사 결과, 대부분 1% 미만의 영향만을 미치는 것으로 나타나 앞서 제기된 서버 과부하에도 전혀 문제가 없는 것으로 밝혀졌습니다. 다만, TLS 기술에 통신을 위해 필요한 몇 가지 기능이 추가되면서 최초 페이지 접속 시 느려지는 문제가 발생했는데요. 이 또한 해결을 위해 다양한 시도들이 진행되고 있으니, 조만간 더 빨라지고 안전해진 인터넷 환경을 경험할 수 있을 것 같습니다. 

* 오버헤드(Overhead): 특정한 목표를 달성하기 위해 추가로 요구되는 시간, 메모리, 대역폭 또는 다른 컴퓨터 자원을 뜻한다.

2) 개인 피싱, 파밍 막아주는 각종 보안 기능

컴퓨터 이미지를 배경으로 돈과 정보를 주고 받는 모습갈수록 다양하고 치밀한 수법의 피싱(Phishing), 파밍(Pharming)으로 인한 피해가 급증하면서 웹사이트마다 비밀번호 정책 변경과 함께 마우스 우클릭 방지, 소스코드 불법복제 방지 등 대책을 내놓고 있습니다. 사용자 입장에서 가깝게는 웹사이트 이용시 비밀번호를 주기적으로 바꿔야 하는 것은 물론 복잡한 비밀번호를 설정해야 하는 상황에 놓인 건데요. 그만큼 개인 정보를 지키는 것이 어려워졌기 때문입니다. 그리고 아무리 비밀번호를 복잡하게 설정하더라도 가짜 인터넷 페이지에 속아 아이디와 비밀번호를 입력하는 순간, 해커에게 제 손으로 개인 정보를 넘겨주는 꼴이 되고 맙니다.

이 때문에 주요 인터넷 서비스들은 비밀번호 외 다양한 추가 보안 장치를 제공해 계정 탈취 피해를 막기 위해 노력하고 있는데요. 네이버는 보안설정에서 일회용 비밀번호인 OTP(One Time Password) 로그인과 로그인 전용 아이디, 해외 로그인 차단, 새로운 기기 로그인 알림 등 추가 보안 기능을 제공하고 있습니다. 특히 OTP의 경우, 매번 네이버 계정에 접속할 때마다 스마트폰 네이버 앱에서 생성되는 번호를 추가로 입력해야 하는데요. 해당 번호의 스마트폰을 가지고 있어야 함은 물론 일정 시간마다 바뀌는 OTP까지 입력해야 하므로 계정 탈취의 가능성을 낮출 수 있습니다.

네이버의 추가 보안 기능 화면

구글도 네이버와 마찬가지로 휴대전화나 OTP 생성기를 이용한 2단계 인증을 지원하고 있습니다. 안드로이드 마켓이나 애플 앱스토어에서 ‘Google Authenticator’ 또는 ‘Google OTP’를 검색, 앱을 다운받은 후 사용하면 됩니다. 이밖에도 페이스북, 일부 가상통화 거래소도 이 앱을 이용한 2단계 인증 기능을 지원하고 있습니다. 보안 전문가들은 OTP 기능과 같은 2단계 인증만 잘 이용해도 계정 탈취 가능성을 크게 낮출 수 있다고 말하는데요. 조금 번거롭더라도 보안 강화 기능을 이용해 소중한 개인 정보를 잘 지킬 수 있도록 노력해야겠습니다.


이로운 기술의 발전 뒤에는 이를 방해하는 유해한 기술이 따르기 마련입니다. 그리고 그 기술은 아주 교묘하고 지능적이며, 공격 대상의 취약점까지 잘 알고 있죠. 하지만 안타깝게도 이런 악성 프로그램들로부터 소중한 데이터를 완벽하게 지킬 방법은 아직 없습니다. 다만, 지금까지 알려준 방법만이라도 잘 실천한다면 큰 피해로부터 비껴갈 수는 있습니다. 앞으로 더 위험해질 악성 프로그램과의 전쟁, 승산은 결국 사람과 기술의 방어력에 달렸습니다.