워너크라이와 패치의 진실

게시일: 2017-05-15 l 작성자: Trend Micro

[에디터 공지: 워너크라이의 최신 정보에 그에 따른 트렌드마이크로 제품에 관한 내용은 여기를 클릭해서 참고하시기 바랍니다.]

2017년 5월 12일 출현WannaCry (이하 워너크라이) 랜섬웨어는 오늘날 대규모 조직들이 당면한 가장 일반적인 보안 과제들을 이용해 퍼지기 시작했습니다. 아주 기본적인 피싱 수법으로부터 시작해, 이 변종 랜섬웨어는 (CVE-2017-0144 / MS17-010) 취약한 내부 네트워크를 통해 확산되는 취약점을 이용하여 대규모의 조직을 뒤흔들어 놓습니다. 뉴욕타임즈의 저의 데이터를 사용해 만들어진 지도를 확인해 보시기 바랍니다.

일반 사람들에게 가장 처음 들 수 있는 의구심은 왜 시스템에 패치를 설치하지 않았을까 였습니다. 하지만 디지털 세계에서 일어나는 대부분의 문제들과 마찬가지로 그렇게 간단한 일은 아닙니다. 피해자들을 탓할 수 는 있지만, 현재 퍼지고 있는 이 현상은 가장 근본적이고 핵심적인 과제의 중요성에 대해 강조하고 있습니다.

워너크라이는 가장 최신의 제로데이 혹은 끈질긴 공격은 아닙니다. MS17-010에 대한 패치는 공격이 일어나기 59일 전부터 이용 가능했습니다. 오늘날의 보안 커뮤니티가 당면한 가장 큰 과제 중 하나는 비즈니스의 큰 문맥 안에서 사이버 보안을 효과 적으로 전달하는 것입니다.

지금 당장 패치 하세요

보안 커뮤니티에서 패치는 첫번째 방어선을 의미합니다. 하지만 조직 내에 패치를 설치하는데 드는 시간은 적어도 100일 또는 그 이상이 필요합니다. 왜 그럴까요?

복잡한 이유가 있습니다. 간단히 설명하자만 IT는 비즈니스에서 매우 중요하지만, 비즈니스의 중단은 좌절감을 주고 비용이 많이 듭니다.

유저의 입장에서 “업데이트 중. 25% 완료” 라는 스크린은 짜증을 유발 합니다. 정기적인 업데이트는 귀찮고 일에 방해만 될 뿐 입니다. 더욱이 어플리케이션 행동이 패치를 설치한 후 어떻게 바뀔지 모른다는 점도 큰 단점입니다.

약 10년 전에는 패치 구축 전 광범위한 테스팅을 거치는 것이 최선의 방법 이었습니다. 이 시점에서의 동기 부여는 패치의 품질 이었습니다. 시스템상의 패치끼리의 충돌 또한 빈번히 일어났습니다. 그러나 오늘날 이러한 문제들은 규칙이 아닌 예외적으로 일어납니다.

현재 직면한 가장 큰 과제는 권장되는 코딩 방식을 따르지 않는 커스텀 및 서드파티 어플리케이션 입니다. 이러한 어플리케이션은 공식적으로 지원되지 않는 문서화되지 않은 기능, 유니크한 행동 또는 바로가기에 의존할 수 있습니다. 패치는 적용이 될 때까지 중요한 비즈니스 어플리케이션의 사용을 멈출 수 도 있습니다.

이러한 이유로 대부분의 기업들은 구축을 지연시키면서 까지 기존의 패치 테스트 방식을 고수하고 있습니다. 구축 시간을 단축시켜 줄 수 있는 자동화 테스트는 비용이 많이 들고 IT 인프라 내에서 주목해야 하는 영역의 긴 목록을 감안하는 것은 쉬운 일이 아닙니다.

이러한 끊임없는 패치로 인해 조직은 위험을 평가하고 중요한 보안 패치를 구축하는 데 어려움을 겪고 있습니다.

레거시

패치 적용에 있어서 통상적으로 패치가 문제를 해결하기위해 실제로 사용가능하다고 가정합니다. 이것이 바로 제로데이 입니다. 제로데이의 위협은 실제적인 것인데, 30일, 180일 혹은 한 번도 바꾸지 않은 패치는 공격의 위험성에 그대로 노출되기 마련입니다. The Verizon Data Breach Investigations Report는 얼마나 많은 조직이 패치 적용 가능한 취약점을 악용한 익스플로잇 공격에 노출되어 있는지 강조합니다.

이번 워너크라이 랜섬웨어는 59일 동안 공개된 취약점을 이용했습니다. 안타깝게도, 이 공격이 앞으로 몇 주 혹은 몇 달간 지속될 것이라는 것입니다.

설상가상으로, MS17-010은 지원되는 플랫폼 중 유일하게 패치가 적용 되어 있었습니다. 마이크로소프트가 역 방향으로 전환한 후 감염된 모든 플랫폼에 대한 패치를 발급해 주었습니다. 지원되는 플랫폼에 대한 패치를 제공하는 것은 논리적인 생각이지만, 실제로 구축된 패치의 양이 적다는 것이 문제 입니다.

윈도우 XP, 윈도우 서버 2003, 윈도우 8은 계속해서 지원이 되고 있습니다. (몇몇 보고서에 따르면 윈도우 데스크탑이 11.6% & 윈도우 서버가 17.9%) 즉, 그만큼 보호 받아야 할 취약한 시스템이 많다는 뜻입니다.

이 문제를 해결하는 데 도움이 되는 보안 솔루션이 있습니다 (트렌드마이크로 포함). 이러한 레거시 시스템들은 앞으로의 향상에 무게를 두고 있습니다. 시스템이 오래 될수록 조직에 더 큰 리스크를 안겨주고 위험을 초래할 수 있습니다.

워너크라이 변종 같은 멀웨어는 이러한 사실을 이용해 공격의 성공율을 높이고 잠재적 이익을 추구 합니다. 보안 팀은 IT팀이 레거시를 업데이트하는 데 필요한 투자를 설명할 수 있도록 도와 주어야 합니다. 물론 설득하기 쉬운 것은 아니지만, 결국 이러한 시스템을 수용해야 할 것 입니다.

직면한 문제는 위험을 수량화 하거나 (유지 및 security-wise) 또는 현명한 비즈니스 의사 결정을 내릴 수 있도록 위험을 알맞은 관점에서 바라보는 것 입니다.

실제로 매우 중요한 문제

취약성은 너무 자주 매우 중요한 문제로 분류됩니다. 2017년 현재까지 보고된 수치 (637개)2016년 한 해를 통틀어 보고 된 수치 (1,057)에 비교하면 빠르게 증가하고 있는 추세입니다. 한 기업이 이 모든 취약성 공격에 대상이 되진 않을 것입니다. 하지만 한달에 한 번쯤은 공격 당할 확률이 높습니다.

비즈니스를 멈추고 문제를 해결하기로 결정하다면 그 영향력을 제대로 파악해야 합니다. 여기서 대부분의 기업들이 주춤합니다. 결정을 숫자로 내리는 것은 매우 어려운 일이기 때문입니다. 이론적으로, 다운 타임 비용 (패치를 구축할 때)을 감수하고 비교해 보아야 합니다. Ponemon과 IBM은 2016년 평균 4백만 달러 (EU 기업들의 전 세계 총 매출액의 4%)에 달하는 데이터 침해를 당했습니다. 즉, 다운 타임 비용이 4백만 달러가 넘지 않는 한 항상 패치를 적용해야 합니다.

이러한 일이 발생할 확률을 고려하지 않거나 또는 문제를 완화시키기 위해 드는 보안 컨트롤 비용을 고려하지 않을 때는 제외입니다. 바로 이러한 점 때문에 결정을 내리기 쉽지 않은 것 입니다. IT 커뮤니티에서 이번 워너크라이를 어떻게 평가하고 해결할 것인가에 대한 논의는 상당히 직설적으로 진행되었습니다.

마이크로소프트는 2017년 3월 MS17-010를 발표하고 매우 중요함으로 표시했습니다. 한달 후, 매우 높은 관심을 받는 공개적인 데이터 덤프가 유출되었는데, 그 안의 내용 중에는 MS 17-010 이 패치한 취약점을 쉽게 파악하고 익스플로잇 공격을 실행할 수 있는 데이터가 포함되어 있었습니다. 즉, 보안팀들은 조직이 이러한 취약점 공격에 노출되어 있으며 공격 받을 것이라는 예상을 할 수 있습니다.

따라서 시스템을 패치하는데 4백만 달러가 들지 않는 이상 즉시 패치를 구축해야 합니다.

완화

패치가 적용되지 않는 시스템들 또한 보호 받아야 합니다. 워너크라이의 출현으로 마이크로소프트는 모든 감염된 시스템들이 이제는 패치가 구축 될 수 있도록 만들었습니다. 하지만 다른 멀웨어 위협에는 해당되지 않습니다.

이러한 이유로 완화가 필요 합니다. 이러한 완화 작용은 패치가 구축되는 시간 또한 줄여 줍니다.

워너크라이는 기존의 안티멀웨어 스캔을 구현하기 전에 상당한 손상을 입힌 새로운 변형 모델의 대표적인 예입니다. 이를 통해 머신 러닝 모델과 행동 분석이 엔드포인트 보안에 상당히 중요한 역할을 한다는 것을 알 수 있습니다.

이러한 기술들은 새로운 위협에도 지속적이고 즉각적인 보호를 제공할 수 있습니다. 워너크라이의 경우에도 이러한 엔드포인트 보안을 갖춘 시스템들은 감염되지 않았습니다. 보안 커뮤티니의 심층 분석을 거친 후, 기존의 제어 장치들은 워너크라이 최신 변종이 시스템에 뿌리 내리는 것을 탐지하고 예방할 수 있었습니다.

또한 침입 방지와 같은 강력한 네트워크 제어가 기업 네트워크 전반에 걸쳐 무분별하게 확산되는 것을 막을 수 있었습니다. 이때 마이크로세크멘테이션 기술이 필요합니다.

결국은 피싱 메일이 멀웨어 확산에 가장 효과적 입니다. 2016년 일어난 랜섬웨어 공격의 79%는 이메일을 통한 공격이었습니다. 그러므로 강력한 이메일 스캔과 강력한 웹게이트웨이를 구축하는 것은 필수 사항입니다.

다음 위협에 대한 대비

워너크라이는 전 세계적으로 빠르게 퍼져나가는 위협적인 랜섬웨어 입니다. 이 과정에서 실제 사이버 보안에 대한 근본적인 문제들이 드러나고 있습니다.

패치는 굉장히 중요한 과제 이며, 전체 IT 조직은 기업의 나머지 팀들과 효율적으로 일할 필요가 있습니다. 매년 대부분의 공격은 패치 적용이 가능한 취약성을 이용합니다. 이것은 대부분의 사이버 공격들이 예방 가능한 것이라는 의미입니다.

새로운 위협과 기존 위협 요소를 완화하기 위한 합리적인 보안 제어 기능을 갖춘 신속한 패치 적용은 조직이 디지털 세계에서의 운영 할 때 위험성을 줄여주는 지름길 입니다.

문제와 해결점들이 기술적인 측면에 있지만, 일단은 커뮤니케이션을 먼저 시작하십시오. 다음이 아닌 지금이 바로 가장 좋은 때 입니다.

레거시 시스템과 패치에 대해 어떻게 생각하십니까? 조직에서 어떻게 이 이슈들을 다루고 계십니까? 트위터를 통해 저에게 알려주십시오. (@marknca)


원문: WannaCry & The Reality Of Patching