워너크라이(WannaCry) 랜섬웨어가 12일 전후 전세계 74개국으로 피해가 확산되고 있는 가운데 한국도 4곳에서 피해가 확인됐다. 향후 피해가 확산될 우려도 커 공공, 기업 뿐만 아니라 일반인들까지도 각별한 주의가 필요한 상황이다.

특히 국내 4개 기업 피해 상황을 정리하면 △글로벌 제조업에서 제조 공정 서버 및 PC 감염으로 공장 일부가 가동이 중단됐다. 감염 경로는 글로벌 본사에서 시작됐다. △국내 대기업 1곳도 감염됐다. 보안관제센터 모니터링 PC감염이 원인이다. 이에 PC 운영 중단 및 포맷을 해야 했고 감염경로는 인터넷이다. △대형 종합병원도 감염됐다. 일부 업무가 중단됐고 인터넷을 통한 감염이다. △또 IT서비스기업이 IoT 장비 모니터링 서버가 감염되면서 서버 운영을 중지하고 포맷을 해야 했다. 감염경로는 유지보수용 외부관리 PC에서 감염된 것으로 조사됐다.

워너크라이 공격 기술은 윈도우 운영체제의 공유 프로토콜 SMB(Server Message Block 서버 메시지 블록)v1 원격코드 실행 취약점을 악용한 공격이며 PC와 서버로 전파된다. 또 네트워크 웜(network WORM) 기반 공격으로 인터넷에 연결만으로도 감염될 수 있다.

워너크라이 혹은 워너크립트는 기존 파일명에 ‘.WNCRY’가 붙어‘ 파일명 .jpg.WNCRY’와 같은 식으로 파일명을 변경하고, 위 랜섬노트를 공지한다.

네트워크 웜(network WORM)이란 네트워크에서 연속적인 복사 기능을 수행함으로써 자가 증식해 기억장치를 소모하거나 저장된 데이터를 파괴하는 프로그램을 말한다.

워너크라이 랜섬웨어 확산 현황을 살펴보면, 지난 5월 12일 영국의 보안전문가(MalwareTechBlog)가 워너크라이가 미등록된 특정 도메인과 연결되어 있다는 것을 확인하고 이 도메인을 구입 및 등록으로 확산을 저지했지만, 5월 13일 해커에 의해 ‘킬 스위치’기능을 제거한 변종 웜이 재등장하면서 전파 및 감염이 재확산되기 시작했다.

복호화 요구 금액은 감염 후 3일 이내에는 USD300(약 34만원)에 해당하는 비트코인을 요구하고 7일 이내에는 USD600(약 68만원)에 해당하는 비트코인을 요구한다. 또 복호화가 불가능한 피해자는 6개월 이후 복호화를 지원한다고 해커 랜섬노트에 명시하고 있는 것도 특징이다.

암호화 대상 파일 확장자는 176개에 달하며 여기에는 한국에서 사용하는 한글 HWP도 포함돼 있어 한국도 공격 대상에 포함돼 있다. PC 내 워드, 파워포인트, 한글 등 다양한 문서파일, 압축파일, DB 파일, 가상머신 파일 등이 대상이다. 지원 언어도 한국어를 포함 28개 다국적 언어를 지원하고 있다. 즉 전세계 PC 사용자를 대상으로 한 공격이다.

◇워너크라이의 기술적 특징

워너크라이의 기술적 특징을 살펴보면, 우선 웜(WORM)형태로 확산되는 새로운 랜섬웨어라고 할 수 있다. 대부분 컴퓨터에서 보안 업데이트가 자동으로 적용되지만 일부 사용자와 기업에서는 패치 배포가 지연되거나 업데이트하지 않는 경우가 있다. 즉 WannaCry 랜섬웨어는 MS17-010(마이크로소프트 윈도우 SMB 서버용 보안 업데이트)을 설치하지 않은 버전을 감염시킨다.

또 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행해 mssecsvc2.0란 서비스를 만들고 감염된 시스템 IP주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도한다.

원격지 SMBv1서버에 연결을 성공하면 MS17-010 취약점 이용해 웜과 같이 확산하는 역할을 한다.

또 WannaCry는 실행시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일들을 RSA 2048비트로 암호화한다.

cmd.exe/vssadmin.exe/WMIC.exe의 윈도우 명령어를 이용해 액세스 권한 등을 모든 사용자에게 허용함으로써 원활한 실행을 구현한다.

그리고 SMB 프로토콜은 중개경로가 되고 그 경로를 이용해 실제 랜섬웨어 파일을 옮겨 감염되게 하는 형식은 기존 xtbl 랜섬웨어와는 다른 것으로 분석된다.

◇워너크라이 방어 긴급 대처 방안

한국랜섬웨어침해대응센터 측은 15일 오전 출근 후 아래와 같이 조치할 것을 당부했다.

긴급 대처방안으로는 ▲회사 및 기관의 네트워크 단절 ▲SMB 관련 설정 변경 조치 ▲긴급 PC 및 서버 데이터(문서 및 DB) 백업 조치 ▲네트워크 및 인터넷 연결 ▲윈도우 보안패치 및 백신 등 보안프로그램 업데이트 등을 실행해야 한다.

또 윈도우 보안 업데이트가 중요하다. ▲MS17-010 (윈도우 보안 업데이트) ▲SMB 포트 137(UDP), 138(UDP), 139(TCP), 445(TCP) 차단해야 한다.

-참고사이트: www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

또 센터 측은 아래와 같은 랜섬웨어 방어를 위한 글로벌 표준을 제시하고 정책도 제안했다.

▲랜섬웨어가 침해하지 못하는 전문 백업제품을 사용해 사전에 백업 받을 것

▲랜섬웨어 차단 가능한 백신으로 업데이트할 것

▲이메일 첨부파일 열람에 주의를 기울일 것

▲윈도우 업데이트로 보안취약점을 없앨 것

▲이메일 링크로 접속 말고, 직접 접속할 것

▲회사와 기관은 데이터 보호관리 정책수립 후 사용자에게 교육할 것

그리고 랜섬웨어 방어를 위한 정책 제안 내용은 아래와 같다.

▲해커를 살찌우는 비트코인 송금을 불법화 정책수립

▲부득이 복호화가 필요한 경우 신고제 통해 감염-복호화-비트코인 송금 등 전과정에 대한 추적과정의 DB화

▲사전 예방이 최선의 방어라는 인식을 확산시켜 데이터를 백업하여 IT재해 상황 대비

▲기업 혹은 공공기관 중 랜섬웨어 감염이 발생할 경우 언제든지 사이버테러 혹은 APT 공격을 받을 수 있다는 사실을 주지시키고 반드시 시정조치 요망

◇SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령

한편 한국인터넷진흥원(KISA)도 14일 ‘SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령’을 공지하고 각별한 주의를 당부했다. 상세 내용은 아래와 같다.

이번 워너크라이 랜섬웨어 방지를 위해 PC를 켜기 전 네트워크 단절을 위해 ▲랜선뽑기 ▲와이파이 끄기, 감염 경로 차단을 위해 ▲방화벽 설정 변경, 인터넷 재연결 후 보안업데이트를 위해 ▲윈도우 보안패치 실행 ▲백신 프로그램 업데이트를 당부했다. 보다 상세한 내용은 아래 링크를 참조하면 된다.

-www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

한편 KISA는 14일 오후 6시부터 사이버위기 경보 단계를 '관심'에서 '주의'으로 상향 조정했다.

★정보보안 대표 미디어 데일리시큐!★