랜섬웨어 공격으로부터의 피해를 막을 수 없다면 최소한으로 줄이자

어떠한 전쟁이든 상관없이, 전쟁의 목적은 모든 방법을 동원해서 승리를 얻어내는 것이다. 이러한 공격의 술수는 날이 갈수록 점점 진화한다. 그 이유는 전쟁에 사용되는 기술들이 계속 발전되기 때문이다. IT업계의 Cyberattack도 이러한 전쟁과 같은 영역에 속해있다. 특별히, 요즘 핫한 랜섬웨어(Ransomware)의 경우, 누구도 피해 갈 수 없는 사이버테러라고 불리우고 있다. 

 

 

 

U.S Department of Justice (미국 법무부)는 2021년 석유회사인 Colonial Pipeline 랜섬웨어 해킹 조사 과정에서 이를 테러리스트와 준하는 레벨로 상향 등급 조정하였다. 즉, 이제는 랜섬웨어 공격을 테러리스트 공격과 같은 레벨로 취급한다고 간접적으로 말하고 있는 것이다. 사실 랜섬웨어 중 많은 부분이 어둠의 세력과 연계가 되어 있기 때문에 이에 대한 적정 대응은 이미 예상할 수 있는 조치였다.

 

 

Exclusive: U.S. to give ransomware hacks similar priority as terrorism

 

랜섬웨어 Ransomware란 무엇인가?

 

Ransom 이란 영어로 댓가, 즉 인질에 대한 몸값을 의미하고, Ware는 소프트웨어를 의미한다. 두 단어를 합성해서 나온 단어가 랜섬웨어이다. 즉, 랜섬웨어란 인질을 잡고 그에 대한 댓가로 금품을 요구하는 행위를 말한다. 여기에서의 인질이란 사람을 의미하지 않고, 사용자의 문서 등 중요 파일들을 의미한다. 때론, 파일을 넘어서, 시스템을 의미할 때도 있다. 랜섬웨어로 인질이 된 파일들과 시스템은 암호키가 없이는 접근이 불가능하다. 이 과정에서 해커들은 비트코인 등과 같은 암호화폐를 암호를 풀어주는 대가로 고객에게 요구한다. 

 

랜섬웨어에 걸린 컴퓨터의 화면의 모습

 

랜섬웨어가 왜 다른 해킹 방법들에 비해 악질인가?

모든 사이버 공격에는 대부분 이유가 있다. DDoS (Distributed Denial of Service) 을 예로 들어보자. DDoS 공격은 보통의 트래픽이 아닌, 엄청난 트래픽을 계획적으로 만들어내서 특정 웹사이트나 서비스를 다운시켜서, 고객들이 사용을 못하게 하는 공격이다. 이러한 공격으로 비즈니스를 정지시키는 것이 보통 DDoS 공격의 목적이다. 랜섬웨어 공격은 이와는 질이 다르다. 대부분의 랜섬웨어 공격으로 인해서 원하는 보상을 못받은 해커들은 모든 파일들을 지울 수도 있으며, 최악의 경우에는 이 파일들을 인터넷에 공개적으로 판매하는 행위까지 일삼는다. 영화에서 나오는 것처럼 48시간 안에 원하는 금액이 입금되지 않으면 자동 삭제를 한다고 협박도 한다. 랜섬웨어의 종류로는 크립토락커 (Cryptolocker), 워너 크라이 (WannaCry) 등이 대표적이며, 이러한 랜섬웨어의 특징은 SMB, 즉 네트워크 파일 셰어를 통해서 파일들을 Encrypt (암호화)시킨다. 

 

네트워크 파일 쉐어링 프로토콜을 이용하는 랜섬웨어

 

랜섬웨어 공격을 막을 수 있는가?

창과 방패의 싸움에서 랜섬웨어를 창으로 비유해보자. 창은 계속 더 날카롭고, 단단하게 만들어질 수 있다. 랜섬웨어가 바로 그렇다. 그렇다면 이에 맞서서 방패를 만들어야 하는데, 아쉽게도 방패를 만드는 것은 보통 창이 만들어진 다음에야 가능하다. 즉, 랜섬웨어가 어느 정도 보편화된(?) 후에야 그에 대한 대응책을 만들수 있는 것이 현실이다. 많은 보안 업체들은 이미 랜섬웨어를 100% 막는다는 것은 불가능하다고 말하고 있다. 하지만, 사전 예방을 통해서 랜섬웨어에 대해서 최소한으로 피해를 줄이는 것은 가능하다. 

 

 

마이크로소프트에서 제공하는 LAPS (Local Administrator Password Solution)은 예방법중에 하나이며, 오늘은 Microsoft LAPS에 대해서 이야기해보려고 한다. 

 

 

외부 장벽을 높게 쌓는 것보다 중요한 것은 내부 보안이다.

 

 

해커들은 외부로부터 침입해오는 것이 보통이다. 하지만, 내부로부터 침입이 가능하다. 코비드로 인해서 재택 근무가 많아진 요즘 이러한 해커들의 내부 침입이 예전보다 더 많아졌다는 통계가 있다. 이것은 해커들이 오피스에 침입했다는 의미보다, 재택 근무에 필요한 컴퓨터에 접속해서, 그 컴퓨터를 통해서 내부 네트워크로 침입했다는 의미이다. 그러한 이유로 이제 외부 장벽만 높이 그리고 단단히 쌓아서 철통 보안을 유지하는 시대는 지났다. 튼튼한 외부 장벽은 필요하나, 더 중요한 것은 내부 보안이다. 잠수함에 이를 비유하자면, 수중에 있는 잠수함에 구멍이 나서 물이 차올라와도, 그 침수된 구역만 포기를 하고, 잠수함 전체는 침몰하지 않도록 피해를 최소화하는 것이다. 이 내부 보안중에 내가 선호하는 방법은 Microsoft에서 제공하는 LAPS이다. 

 

 

하나 뚫리면 다 뚫리는 이유가 있다?

 

 

랜섬웨어는 위에서 소개한 다른 해킹 방법에 비해 한가지 특이한 점은 Laternal movement, 즉 옆으로 계속 움직인다는 것이다. 취약한 보안이 있는 지점을 통과한 해커는 한 개의 숙주와 같은 컴퓨터를 노린다. 그 숙주가 된 컴퓨터의 모든 권한을 획득한 후에, 그 다음 점점 옆으로 뻗어나가는 것이 바로 Laternal movement이다. 그 결과, 모든 네트워크에 접속이 가능하게 되고, 이때 가장 중요한 것은 최고의 관리자 권한까지 얻어내는 것이다. 그로 인해서, 모든 파일들을 암호화할 수 있게 되는 것이다. 

 

 

이때 궁금한 점이 바로, 왜 옆으로 계속 뻗어나가도록 디자인을 해놓았냐는 원초적인 질문이다. 많은 경우, 가상화 (Virtualized Environment)된 IT 환경은 새로운 서버 혹은 컴퓨터를 만들때, 이전에 만들어놓은 템플렛을 이용한다. 그 이유는 이 템플렛이 보안에 대한 업데이트를 모두 가지고 있으며, 그 조직이 원하는 모든 프로그램 및 설정이 이미 완벽하게 되어 있어 편리하게 설치할 수 있기 때문이다. 마치 붕어빵 찍어내듯이 쉽게 컴퓨터를 제작할 수 있게 되는 원리와 같다. 이때 관리자의 패스워드 (Local Administrator Password)가 모든 복제된 컴퓨터에 동일하다는 것이 문제의 원인이다.  물론 매번 이 패스워드를 바꿔서 따로 저장해놓고 관리해도 되지만, 많은 경우 그렇게 하지 않는다. 이렇게 동일한 패스워드는 Laternal movement, 즉 랜섬웨어에 취약하다는 약점이 있다. 

 

 

 

Microsoft LAPS (Local Administrator Password Solution) 은 이에 대한 해결책을 다음과 같이 제공한다. 

 

- 30일마다 이 패스워드를 자동으로 변경한다. 

- Expired (유효기간이 지난) 패스워드에 대해서, 수동적으로 승락 혹은 거부를 할 수 있게 만들 수 있다.

- 패스워드는 Active Directory (AD) attribute에 저장되기 때문에, 따로 서버 혹은 서비스를 사용하지 않아도 된다.

- 저장된 패스워드는 특정 관리자들에게만 접속을 허락한다. 

- Active Directory에서 Local Administrator의 권한을 제한하여 Local administrator 패스워드가 혹 노출되어도, 다른 컴퓨터와 네트워크로 접속되지 않게끔 정책을 만들 수 있다.

 

 

단점으로는 패스워드가 clear text, 즉 사람들이 읽을 수 있게끔 저장되는 것과, 윈도우 환경에서만 이것이 가능하다는 것이 있지만, 많은 경우 LAPS만 잘 이용해도 랜섬웨어의 피해를 최소화할 수 있다. 또한, LAPS보다 더 보안을 철저히 하기 위해 많은 회사들이 앞다투어 PAM (Privileged Access Management) 역시 도입하고 있다. PAM은 LAPS보다 좀 더 진화된 상용화된 패스워드 관리 솔루션이라 생각하면 된다. 

 

 

결론

랜섬웨어의 경로가 회사 네트워크 외부, 그리고 내부인의 실수 등을 통해서 들어오기 때문에, 이러한 내부 보안이 절실하게 필요한 시점이 되었다. 랜섬웨어의 경우 해커가 네트워크 안으로 침입해서 관리자 권한을 얻을때까지 꼼짝하지 않고 철저히 숨어있어서 찾기가 쉽지 않다. 보통 랜섬웨어 조사팀들이 밝힌 내용에 의하면, 해커들은 이미 수개월전부터 침입해서 최대한의 권한을 얻을때까지 기다린다는 것이다. 그러므로, 랜섬웨어 자체를 100% 막으려는 생각보다, 내부 보안을 LAPS와 같은 솔루션으로 피해를 최소화하게 디자인하는 것이 더 효과적인 대처 방안이라 나는 생각한다. 

 

 

 

다음 시간에는 내부 보안에서 외부 보안 (네트워크)에 대해서 이야기 해보자.