전 세계가 때아닌 '인질 소동'을 겪었다. 150개국에서 30만 대 가량의 컴퓨터가 워너크라이 랜섬웨어에 감염되는 피해를 입었다.
이번에 유포된 워너크라이 랜섬웨어는 마이크로소프트(MS)가 지원을 중단한 구형 윈도 PC 이용자들을 집중 공격했다. 가장 먼저 피해를 당한 영국 국가의료보건서비스(NHS) 소속 병원들을 비롯해 단종된 윈도XP를 사용한 곳들이 주로 감염됐다.
이처럼 랜섬웨어는 구형 운영체제(OS)들의 틈을 주로 파고든다. 워너크라이 역시 3년 전 단종된 윈도XP가 여전히 병원 같은 공공기관에서 많이 사용되고 있는 점을 노렸다.
그런데 윈도와 상황이 비슷한 안드로이드는 랜섬웨어 공격으로부터 비교적 자유로운 편이다. 물론 이번에 유포된 워너크라이는 애당초 윈도의 취약점을 이용한 것이다. 따라서 안드로이드는 해당 사항이 없다.
하지만 안드로이드 구형 버전의 보안 취약점을 노린 랜섬웨어가 유포될 가능성은 여전히 많다. 윈도처럼 시장 지배적인 운영체제인데다 구형 버전 이용자가 많기 때문이다.
그럼에도 랜섬웨어는 잘 유포되지 않고 있다. 왜 그런 걸까? 미국 IT매체 씨넷은 16일(현지시간) 이 같은 의문을 풀어줄 기사를 게재했다.
일단 안드로이드 OS 사용 현황만 놓고 보면 윈도와 비슷한 고민이 눈에 띈다.
10억 명에 이르는 안드로이드 사용자 중 최신 버전인 7.0 누가 이용자는 7.1%에 불과하다. 아직도 많은 사용자들은 3년 전에 출시된 캣캣이나 그 이전 버전들을 쓰고 있다. 게다가 안드로이드 기기는 iOS 기기에 비해 보안에 취약하다고 알려져 있다.
1. 매달 보안 업데이트 제공
씨넷이 꼽은 가장 큰 이유는 MS와 구글의 서로 다른 보안 업데이트 정책이다. 일정 기간이 지나면 지원을 중단하는 MS와 달리 구글은 구형 버전에 대해서도 보안 업데이트를 계속해 준다.
이번 사태를 살펴봐도 이런 부분을 알 수 있다.
MS는 지난 3월 미국 국가안보국(NSA) 툴이 해킹되면서 윈도 취약점이 알려지자마자 곧바로 패치를 만들어 공개했다. 하지만 윈도XP 이용자들은 이 패치를 업데이트할 수 없었다. MS가 2014년부터 윈도XP에 대한 보안 업데이트 지원을 중단했기 때문이다.
구글의 운영체제 업데이트 정책은 MS와는 조금 다르다. 구글은 지난 2015년부터 사용자는 안드로이드 4.4 이후 버전에 대해 매달 보안 업데이트를 제공하고 있다. 현재 사용되고 있는 안드로이드 기기 약 10억 대 중 7억 3천500만 대 이상이 매달 보안 업데이트를 받을 수 있단 얘기다.
때문에 삼성 갤럭시노트4 같은 구형폰 사용자들은 구글 어시스턴트 같은 최신 기능은 쓸 수 없지만 구글의 보안 업데이트는 계속 받을 수 있다.
위키리크스가 지난 3월 미국 중앙정보국(CIA)이 애플, 안드로이드 기기를 이용해 해킹을 해왔다고 주장하자, 구글은 해당 취약점은 이미 패치됐다고 공언하기도 했다. 구글 뿐 아니라 삼성전자, 블랙베리 등의 제조사들도 자체 보안 업데이트를 개발해 제공하고 있다.
그렇다고 모든 안드로이드 사용자가 구글의 지원을 받을 수 있는 건 아니다. 전체 안드로이드 사용자의 10%에 달하는 1억 명 가량은 업데이트를 받을 수 없다.
그리고 구글이 매 월 보안 업데이트를 공개하지만, 보안 패치를 배포하는 역할은 통신사들이 담당하고 있다. 미국 이동통신사 AT&T는 고객 대상 보안 업데이트 주기를 묻는 질문에 답변을 거부했고, T-모바일, 스프린트, 버라이즌 등은 질문에 응답하지 않았다고 씨넷은 보도했다.
물론 또 다른 차이도 있다. PC와 스마트폰은 이용 기간 자체가 크게 다르다는 점이다. PC는 한번 구매하면 기본 10년 가량은 쓰는 반면 스마트폰은 3, 4년에 한번씩 교체하는 게 일반적이다.
2. 공격해도 많은 돈을 얻을 수 없다
안드로이드가 공격 대상이 되지 않는 더 큰 이유는 따로 있다. 랜섬웨어 유포자들 입장에선 '공격해봐야 얻을 수 있는 게 많지 않기 때문'이라고 씨넷이 전했다.
랜섬웨어 공격은 많은 돈과 대량의 데이터를 보유하고 있는 병원, 은행, 기업 등을 주로 노린다. 그래야만 반대 급부로 돈을 받아낼 수 있기 때문이다.
병원의 의료 기록이 랜섬웨어에 묶이는 상황을 한번 상상해 보면 쉽게 짐작할 수 있다. 이럴 경우 환자는 위급한 응급서비스를 받을 수 없게 된다. 따라서 공격당한 측에서는 해커에게 돈을 지불할 가능성이 높다.
하지만 안드로이드폰의 데이터를 훔쳐도 사용자로부터 큰 돈을 받아내긴 쉽지 않다. 안드로이드폰 안에 있는 중요한 자료는 사진, 연락처 등이며, 많은 사람들은 구글 포토 등의 클라우드 서비스를 활용해 데이터를 동기화하고 있다.
보안기업 래피드7 정보보안 담당 조시 페인블룸 부사장은 씨넷과 인터뷰에서 “취약한 안드로이드 운영체제와 이를 둘러 싼 악용사례들은 증가하고 있지만, 사용자가 기기를 잠금 해제하거나 자료를 돌려받는데 돈을 지불해야 하는 정도는 아니다. 연령에 상관없이 모바일 기기를 재설정하는 일은 매우 쉽고, 또 스마트폰으로 하는 많은 작업은 백업이 쉬운 편이다.”고 말했다.
랜섬웨어는 해커가 돈을 가장 많이 벌 수 있다고 생각하는 대상을 공격하기 마련이다. 그런 면에서 안드로이드 기기들은 랜섬웨어로부터의 공격에 상대적으로 안전한 편이라고 씨넷은 전했다.
3. 온라인 접속 환경이 PC와는 달라
워너크라이 랜섬웨어 공격은 서버 메시지 블록(Server Message Block)이란 표준 공유도구를 사용해 네트워크를 통해 감염된다. 같은 사무실에 있는 한 사람이 이 랜섬웨어에 당하게 되면, 이 네트워크를 함께 사용하는 사람이 감염될 수 있다.
이는 워너크라이가 초기 킬스위치가 활성화 되기 전 20만 대의 컴퓨터를 감염시키며 빨리 확산되었던 이유 중 하나다.
관련기사
- [브리핑] 랜섬웨어, 오늘은 어떤 소식이?2017.05.17
- 랜섬웨어 워너크라이 피해 현황은2017.05.17
- 랜섬웨어 공격 북한 배후설, 사실일까2017.05.17
- 랜섬웨어 타깃된 윈도XP…여전히 점유율 7%2017.05.17
하지만, 대부분의 안드로이드폰은 통신사를 통해 온라인에 연결돼 있다. 사무실 컴퓨터처럼 네트워크에 서로 연결되어 있지는 않다.
또, 안드로이드 기기가 스스로를 보호하려는 경향이 있기 때문에 악성 프로그램의 확산이 워너크라이처럼 빠르지 않을 것이라고 조시 페인블룸 부사장이 덧붙였다.