2024-03-29 01:45 (금)
급속 확산되는 ‘워너크라이’ 랜섬웨어 분석과 대응방안 총정리
상태바
급속 확산되는 ‘워너크라이’ 랜섬웨어 분석과 대응방안 총정리
  • 길민권 기자
  • 승인 2017.05.14 19:32
이 기사를 공유합니다

파일 암호화하고 몸값 300달러 요구…7일 뒤에는 암호화된 파일 삭제

▲ 워너크라이 랜섬웨어 감염 시 컴퓨터에 표시되는 몸값 요구 화면(시만텍 제공)
▲ 워너크라이 랜섬웨어 감염 시 컴퓨터에 표시되는 몸값 요구 화면(시만텍 제공)
데이터 파일을 암호화하고 몸값을 요구하는 워너크립트(WannaCrypt), 일명 워너크라이(WannaCry)가 유럽을 중심으로 전세계적으로 광범위하게 확산되고 있어 한국 이용자들도 각별한 주의가 필요한 상황이다. 이에 각 보안기업들도 이번 랜섬웨어에 대한 분석과 대응방안을 내 놓고 있다.

시만텍의 조사에 따르면, 워너크라이 랜섬웨어는 데이터 파일을 암호화하고 사용자에게 300 달러의 몸값을 비트코인으로 지불하도록 요구하는데, 3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고하고 있다.

또 워너크라이 랜섬웨어는 .3ds, .ai, .asf, .asm, .asp, .avi, .doc, .docx, .gif, .gpg, .hwp, .java, .jpeg, .jpg, .mp3, .mp4, .mpeg, .ost, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .raw, .rtf, .swf, .tif, .tiff, .txt, .wav, .wma, .wmv, .zip 등의 확장자명을 가진 파일을 암호화하는데 파일명 끝에 .WCRY라는 확장자를 추가한다고 설명하고 마이크로소프트 윈도우를 사용하는 컴퓨터를 겨냥한 SMB 원격 코드 실행 취약점(MS17-010)을 이용해 다른 컴퓨터로 전파되는 것으로 파악되었다고 전했다.

한편 카스퍼스키랩 측도, “5월12일 대규모 위너크라이 랜섬웨어 공격이 전 세계적으로 행해졌다며 카스퍼스키랩 연구원들은 전 세계 74개국에서 최소 4만5천건의 감염 시도를 탐지 했고 대부분은 러시아에서 이루어졌다고 밝혔다. 이 공격은 4월14일 Shadowbroker 덤프에서 공개된 “Eternal Blue”를 이용했다”며 “이 공격이 시스템 안으로 침투하게 되면 공격자는 루트킷을 설치해 데이터 암호화 소프트웨어를 다운로드 하도록 한 후 파일을 암호화 한다. 처음에는 비트코인으로 600달러를 요구하며 시간이 갈수록 가격을 올린다”고 설명했다.

▲ 포티넷 제공
▲ 포티넷 제공
포티넷 측 연구 기관인 포티가드 랩에서는 “5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신사업자들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히 24 개 이상의 언어로 금전을 요구하는 점이 특징”이라고 밝혔다.

이스트시큐리티 시큐리티대응센터는 “이번 워너크립터 랜섬웨어는 감염시 나타나는 비트코인 결제 유도 화면에서 한글로 된 안내문을 사용하는 등 한국도 주요 공격 대상에 포함되어 있다”며, “기업뿐만 아니라 일반 사용자에게도 무차별적으로 확산되고 있기 때문에, PC에 저장된 중요 자료를 외부 저장 장치에 복사해 두는 등 랜섬웨어에 감염될 경우를 위한 대비를 시급히 진행해야 한다”고 권고했다.

실제로 이번 워너크립터 랜섬웨어 공격은 이스트시큐리티의 통합 백신 알약(ALYac)에서만 12일 942건, 13일 1,167건 이상 탐지했고, 오늘 현재도 지속적으로 공격이 탐지되고 있는 등 국내에도 관련 보안 위협이 급속히 확산되고 있는 것으로 확인되었다.

▲ 알약을 통해 탐지된 워너크립터 랜섬웨어 통계 (자료제공 : 이스트시큐리티)
▲ 알약을 통해 탐지된 워너크립터 랜섬웨어 통계 (자료제공 : 이스트시큐리티)
김준섭 이스트시큐리티 부사장은 “지난 이틀간 알약을 통해서 차단된 워너크립터 랜섬웨어 공격은 총 2천여 건 수준이지만, 대부분의 기업과 기관이 휴무하는 주말인 점을 감안하면 매우 심각한 수준으로 볼 수 있다”며 “현재 보안 기업과 기관에서 확산 방지를 위해 적극적인 대응을 하고 있음에도 불구하고 업무가 시작되는 월요일부터 관련 피해가 급격히 증가할 가능성이 있기 때문에, 한국인터넷진흥원(이하 KISA) 보호나라 사이트에 공지된 피해 확산 방지 안내를 숙지하고 피해가 없도록 사전에 대비해야 한다”고 당부했다.

또 트렌드마이크로는, WannaCry/Wcry 랜섬웨어 공격에 사용된 취약점은 Shadow Brokers 그룹이 공개한 해킹 툴이며 이들은 미국국가안전국(NSA)으로부터 훔쳤다고 주장했다. 이 취약점은 취약한 시스템에 파일을 드롭하는데 악용되었으며 드롭된 파일은 하나의 서비스로써 실행된다. 그런 다음 감염된 시스템에 랜섬웨어 파일을 드롭한 후 파일들을 암호화하고 .WNCRY 확장자를 첨부한다. 이 때, 랜섬노트를 표시하기 위한 별도의 구성요소 파일도 드롭한다. Microsoft Office, 데이터베이스, 파일 아카이브, 멀티미디어 파일 및 다양한 프로그래밍 언어에 주로 사용되는 파일들을 비롯해 총 166개의 확장자 파일들을 암호화했다고 설명했다.

그리고 SMB v1 취약점은 마이크로소프트가 3월에 패치를 발표한 바 있다. 그리고 2016년 9월부터 마이크로소프트는 사용자들에게 1990년대 초부터 사용되고 있는 SMBv1에서 마이그레이션할 것을 강력히 권고해왔으며 US-CERT 역시 강력한 권고문을 발표하기도 했다. SMB 서비스를 올바르게 설정하고 패치를 적용시켜 모범 사례를 준수한 조직들은 이번 공격에 영향을 받지 않을 것이라고 트렌드마이크로 측은 밝혔다.

◇워너크립터 랜섬웨어 공격, 대응 방안

대응방안에 대해서도 각 보안기업은 다음과 같이 당부하고 있다.

시만텍 측은, 워너크라이 랜섬웨어가 특히 전세계에서 대규모로 확산되고 있는 이유는 마이크로소프트 윈도의 알려진 취약점을 악용하여 사용자의 활동과 관계 없이 기업 네트워크 내에서 스스로 확산될 수 있는 능력을 가지고 있기 때문인 것으로 조사되었다. 윈도 보안 업데이트가 최신 상태로 적용되어 있지 않은 컴퓨터는 감염 위험이 있기 때문에 업데이트를 다운로드 받는 것이 필요하다고 강조했다.

윤광택 시만텍코리아 CTO는 “워너크라이는 랜섬웨어와 웜이 결합된 형태로, 웜의 경우 패치가 되어있지 않으면 원격으로 자동 감염될 가능성이 크기 때문에 더욱 위험도가 높은 랜섬웨어”라며 “향후 랜섬웨어와 웜이 결함된 형태의 공격이 늘어날 가능성이 많기 때문에 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다. 특히 이메일을 통한 랜섬웨어 공격이 증가하고 있기 때문에 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다”고 당부했다.

이스트시큐리티 측은, 이번 랜섬웨어의 감염 피해 예방을 위해 ▲PC 네트워크를 차단 후 파일 공유 기능을 해제하고 ▲백신과 윈도 최신 보안 업데이트 진행과 ▲악성코드 검사를 수행할 것을 권고하고 있다.

또 알약은 긴급 보안 업데이트를 통해 워너크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.WannaCryptor’으로 탐지 후 차단하고 있으며, 행위기반 차단 기능을 통해 유사 변종 랜섬웨어가 유포될 경우도 대비해 준다고 전했다.

그리고 안랩도 현재 V3 제품군과 MDS 제품에서 해당 랜섬웨어의 진단 및 제거 기능을 제공하고 있다. 이용자는 V3 제품군을 ‘실시간 검사 기능’과 ‘엔진 자동 업데이트 적용’ 상태로 사용할 것을 권고했다. 또한 윈도우 최신 보안 패치를 적용해야 한다고 덧붙였다.

또한 포티넷 측은 다음과 같은 실행이 필요하다고 강조했다.

마이크로소프트(Microsoft) 최신 패치를 적용해야 하고 멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering) 및 AV 검사 엔진(AV inspection engine)을 활성화시켜 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단해야 한다. 또 그룹 정책을 이용해 WNCRY 확장자의 실행을 차단해야 하며 UDP 137/138, TCP 139/445 통신을 격리시켜야 한다고 강조했다.

PC 이용자들은 랜섬웨어 감염 방지를 위해 다음과 같은 예방 조치를 하는 것이 중요하다.

△사용 중인 모든 기기들의 OS, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정한다. 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다.

△방화벽에서 IPS, AV, 웹 필터(Web Filter)를 활성화시키고 최신 버전으로 유지해야 한다.

△주기적으로 백업을 수행해야 한다. 백업된 정보들은 무결성을 검증, 암호화해 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인해야 한다.

△모든 송수신 되는 이메일을 스캔하여 보안 위협이나 실행파일들이 사용자들에 전달되는지 확인해야 한다.

△안티-바이러스(anti-virus) 및 안티-멀웨어(anti-malware) 프로그램이 주기적으로 자동 실행되도록 설정해야 한다.

△이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화해야 한다. 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다.

△보안침해에 대한 업무대응전략을 수립하고 업무 보안취약점에 대한 정기적인 평가를 수행해야 한다.

또 랜섬웨어에 감염된 경우, 아래와 같은 조치를 권고한다.

△추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리해 격리해야 한다.

△네트워크 전체가 감염된 경우, 즉시 모든 디바이스를 네트워크로부터 분리해야 한다.

△완전히 망가지지 않은 감염된 디바이스는 전원을 끈다. 이를 통해 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지할 수도 있다.

△사용자 PC에서 감염이 감지된 경우, 이에 대한 백업시스템은 즉시 네트워크에서 분리하고 백업된 자료가 감염되었는지 확인한다.

△랜섬웨어 감염을 알리고 지원을 받기 위해 즉시 법무팀과 같은 법률관련 부서와 논의한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★