2024-03-29 18:45 (금)
랜섬웨어 확산, 국내 4곳 피해상황과 대처 요령…사이버위기 ‘주의’로↑
상태바
랜섬웨어 확산, 국내 4곳 피해상황과 대처 요령…사이버위기 ‘주의’로↑
  • 길민권 기자
  • 승인 2017.05.15 02:09
이 기사를 공유합니다

PC 켜기 전 네트워크 단절시킨 후 파일 공유 기능 해제하고 업무 시작해야

▲ 한국랜섬웨어침해대응센터 제공
▲ 한국랜섬웨어침해대응센터 제공
워너크라이(WannaCry) 랜섬웨어가 12일 전후 전세계 74개국으로 피해가 확산되고 있는 가운데 한국도 4곳에서 피해가 확인됐다. 향후 피해가 확산될 우려도 커 공공, 기업 뿐만 아니라 일반인들까지도 각별한 주의가 필요한 상황이다.

특히 국내 4개 기업 피해 상황을 정리하면 △글로벌 제조업에서 제조 공정 서버 및 PC 감염으로 공장 일부가 가동이 중단됐다. 감염 경로는 글로벌 본사에서 시작됐다. △국내 대기업 1곳도 감염됐다. 보안관제센터 모니터링 PC감염이 원인이다. 이에 PC 운영 중단 및 포맷을 해야 했고 감염경로는 인터넷이다. △대형 종합병원도 감염됐다. 일부 업무가 중단됐고 인터넷을 통한 감염이다. △또 IT서비스기업이 IoT 장비 모니터링 서버가 감염되면서 서버 운영을 중지하고 포맷을 해야 했다. 감염경로는 유지보수용 외부관리 PC에서 감염된 것으로 조사됐다.

▲ 한국랜섬웨어침해대응센터 제공
▲ 한국랜섬웨어침해대응센터 제공. 해외 피해사례
워너크라이 공격 기술은 윈도우 운영체제의 공유 프로토콜 SMB(Server Message Block 서버 메시지 블록)v1 원격코드 실행 취약점을 악용한 공격이며 PC와 서버로 전파된다. 또 네트워크 웜(network WORM) 기반 공격으로 인터넷에 연결만으로도 감염될 수 있다.

▲ 랜섬노트
▲ 랜섬노트
워너크라이 혹은 워너크립트는 기존 파일명에 ‘.WNCRY’가 붙어‘ 파일명 .jpg.WNCRY’와 같은 식으로 파일명을 변경하고, 위 랜섬노트를 공지한다.

네트워크 웜(network WORM)이란 네트워크에서 연속적인 복사 기능을 수행함으로써 자가 증식해 기억장치를 소모하거나 저장된 데이터를 파괴하는 프로그램을 말한다.

▲ 한국랜섬웨어침해대응센터 제공
▲ 한국랜섬웨어침해대응센터 제공
워너크라이 랜섬웨어 확산 현황을 살펴보면, 지난 5월 12일 영국의 보안전문가(MalwareTechBlog)가 워너크라이가 미등록된 특정 도메인과 연결되어 있다는 것을 확인하고 이 도메인을 구입 및 등록으로 확산을 저지했지만, 5월 13일 해커에 의해 ‘킬 스위치’기능을 제거한 변종 웜이 재등장하면서 전파 및 감염이 재확산되기 시작했다.

복호화 요구 금액은 감염 후 3일 이내에는 USD300(약 34만원)에 해당하는 비트코인을 요구하고 7일 이내에는 USD600(약 68만원)에 해당하는 비트코인을 요구한다. 또 복호화가 불가능한 피해자는 6개월 이후 복호화를 지원한다고 해커 랜섬노트에 명시하고 있는 것도 특징이다.

▲ 한국랜섬웨어침해대응센터 제공
▲ 한국랜섬웨어침해대응센터 제공
암호화 대상 파일 확장자는 176개에 달하며 여기에는 한국에서 사용하는 한글 HWP도 포함돼 있어 한국도 공격 대상에 포함돼 있다. PC 내 워드, 파워포인트, 한글 등 다양한 문서파일, 압축파일, DB 파일, 가상머신 파일 등이 대상이다. 지원 언어도 한국어를 포함 28개 다국적 언어를 지원하고 있다. 즉 전세계 PC 사용자를 대상으로 한 공격이다.

◇워너크라이의 기술적 특징

워너크라이의 기술적 특징을 살펴보면, 우선 웜(WORM)형태로 확산되는 새로운 랜섬웨어라고 할 수 있다. 대부분 컴퓨터에서 보안 업데이트가 자동으로 적용되지만 일부 사용자와 기업에서는 패치 배포가 지연되거나 업데이트하지 않는 경우가 있다. 즉 WannaCry 랜섬웨어는 MS17-010(마이크로소프트 윈도우 SMB 서버용 보안 업데이트)을 설치하지 않은 버전을 감염시킨다.

또 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행해 mssecsvc2.0란 서비스를 만들고 감염된 시스템 IP주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도한다.

원격지 SMBv1서버에 연결을 성공하면 MS17-010 취약점 이용해 웜과 같이 확산하는 역할을 한다.

또 WannaCry는 실행시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일들을 RSA 2048비트로 암호화한다.

cmd.exe/vssadmin.exe/WMIC.exe의 윈도우 명령어를 이용해 액세스 권한 등을 모든 사용자에게 허용함으로써 원활한 실행을 구현한다.

그리고 SMB 프로토콜은 중개경로가 되고 그 경로를 이용해 실제 랜섬웨어 파일을 옮겨 감염되게 하는 형식은 기존 xtbl 랜섬웨어와는 다른 것으로 분석된다.

◇워너크라이 방어 긴급 대처 방안

한국랜섬웨어침해대응센터 측은 15일 오전 출근 후 아래와 같이 조치할 것을 당부했다.

긴급 대처방안으로는 ▲회사 및 기관의 네트워크 단절 ▲SMB 관련 설정 변경 조치 ▲긴급 PC 및 서버 데이터(문서 및 DB) 백업 조치 ▲네트워크 및 인터넷 연결 ▲윈도우 보안패치 및 백신 등 보안프로그램 업데이트 등을 실행해야 한다.

또 윈도우 보안 업데이트가 중요하다. ▲MS17-010 (윈도우 보안 업데이트) ▲SMB 포트 137(UDP), 138(UDP), 139(TCP), 445(TCP) 차단해야 한다.

-참고사이트: www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

또 센터 측은 아래와 같은 랜섬웨어 방어를 위한 글로벌 표준을 제시하고 정책도 제안했다.

▲랜섬웨어가 침해하지 못하는 전문 백업제품을 사용해 사전에 백업 받을 것

▲랜섬웨어 차단 가능한 백신으로 업데이트할 것

▲이메일 첨부파일 열람에 주의를 기울일 것

▲윈도우 업데이트로 보안취약점을 없앨 것

▲이메일 링크로 접속 말고, 직접 접속할 것

▲회사와 기관은 데이터 보호관리 정책수립 후 사용자에게 교육할 것

그리고 랜섬웨어 방어를 위한 정책 제안 내용은 아래와 같다.

▲해커를 살찌우는 비트코인 송금을 불법화 정책수립

▲부득이 복호화가 필요한 경우 신고제 통해 감염-복호화-비트코인 송금 등 전과정에 대한 추적과정의 DB화

▲사전 예방이 최선의 방어라는 인식을 확산시켜 데이터를 백업하여 IT재해 상황 대비

▲기업 혹은 공공기관 중 랜섬웨어 감염이 발생할 경우 언제든지 사이버테러 혹은 APT 공격을 받을 수 있다는 사실을 주지시키고 반드시 시정조치 요망

◇SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령

한편 한국인터넷진흥원(KISA)도 14일 ‘SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령’을 공지하고 각별한 주의를 당부했다. 상세 내용은 아래와 같다.

▲ 한국인터넷진흥원 제공
▲ 한국인터넷진흥원 제공
이번 워너크라이 랜섬웨어 방지를 위해 PC를 켜기 전 네트워크 단절을 위해 ▲랜선뽑기 ▲와이파이 끄기, 감염 경로 차단을 위해 ▲방화벽 설정 변경, 인터넷 재연결 후 보안업데이트를 위해 ▲윈도우 보안패치 실행 ▲백신 프로그램 업데이트를 당부했다. 보다 상세한 내용은 아래 링크를 참조하면 된다.

-www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

한편 KISA는 14일 오후 6시부터 사이버위기 경보 단계를 '관심'에서 '주의'으로 상향 조정했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★