2024-03-29 15:30 (금)
랜섬웨어 워너크라이 분석 스페셜 리포트 공개돼
상태바
랜섬웨어 워너크라이 분석 스페셜 리포트 공개돼
  • 길민권 기자
  • 승인 2017.10.15 17:07
이 기사를 공유합니다

KISA 사이버침해대응본부 침해사고분석단, 초기 해외 상황부터 한국 현황까지 상세히 분석

▲ 워너크라이 동작 메카니즘. KISA 리포트 이미지
▲ 워너크라이 동작 메카니즘. KISA 리포트 이미지
2017년 5월 12일, 전세계를 랜섬웨어의 공포로 몰아넣을 만한 대규모 사이버 공격이 발생했다. 바로 WannaCryptor로 워너크라이(WannaCry) 또는 WCry 라는 별칭으로 불리며, 전 세계 150여개국에서 최소 30만대 이상이 컴퓨터 시스템들이 해당 랜섬웨어로 인해 피해를 입었다. 국내에서도 워너크라이 피해가 발생했지만 큰 피해없이 대응하고 있다. 하지만 항상 주의하고 대비하고 있어야 할 사안이다.

이에 대해 한국인터넷진흥원은 13일 ‘워너크라이 분석 스페셜 리포트’를 공개했다. 리포트에는 사고발생부터 감염 확산, 민관 협력 대응 상황 등을 초기 해외 상황부터 한국 현황까지 상세히 설명하고 있다.

한편 워너크라이 상세분석 내용에서 구성요소와 동작원리, SMB 취약점(CVE-2017-0144) 분석까지 포함돼 있고 해커그룹과 연관성에 대해서도 분석한 내용이 공개됐다.

▲ 국내 워너크라이 감염사고 타임라인. KISA 리포트 이미지
▲ 국내 워너크라이 감염사고 타임라인. KISA 리포트 이미지
리포트에 따르면, 워너크라이 최초 사고는 영국과 스페인 등에서 발생하여 전 세계로 확산된 것으로 알려졌다. 영국은 잉글랜드와 스코틀랜드의 국민복건서비스(NHS) 산하 48개의 의료기관이 감염되어 진료에 차질을 빚었으며, 스페인은 대형통신업체인 텔레포니카의 내부 시스템들이 감염되었다.

중국은 출입국관리소를 비롯, 각종 기업•기관 3만여개와 대학 등 4천여 교육기관이 피해를 입었다. 러시아는 정부기관인 내무부 컴퓨터를 포함해 다수의 공공기관에서 피해가 보고되고 있다. 일본은 철도회사인 JR 히가시니혼이 감염되어 신칸센 예약 서비스가 중단되었으며, 히타치, 이온몰, 카와사키 상하수도국, 오사카 시청 등 다수의 기업•기관이 감염되었다.

워너크라이가 최초 발견된 것은 2017년 2월이지만, 이번 사고에서 사용된 워너크라이의 특징은 美 NSA가 개발한 이터널블루(EternalBlue) 취약점이 해커들에 의해 유출된 후 악용되어 윈도우 통신 프로토콜 중 하나인 SMB 취약점(CVE-2017-0144)을 통해 랜섬웨어가 스스로 주변으로 자체 전파할 수 있다는 점이다. 이 점이 전 세계로 빠르게 확산될 수 있었던 주요 요인으로 파악됐다.

또한 워너크라이의 최초 유포 경로는 아직 밝혀지지 않았다. 하지만 스피어 피싱 또는 해킹된 웹 사이트 방문으로 감염된 후 주변 국가로 확산 및 전파된 것으로 추정하고 있다. 전 세계적으로 빠르게 감염이 확산된 이유는 웜(Worm) 형태와 유사하게 자기 자신을 복제해 네트워크로 전파하기 때문이다.

초기 영국의 한 보안관계자가 워너크라이 전파를 무력화할 수 있는 킬 스위치를 찾아 워너크라이 확산이 잠시 주춤했지만, 다음날인 5월 14일 킬 스위치가 없는 워너크라이 2.0 버전이 등장했기 때문에 감염이 줄어들지 않았다. 한국도 계속해서 피해를 입고 있는 상황이라 각별한 주의가 요구되고 있다. 리포트 부록에는 워너크라이 예방 대국민 행동 요령도 포함돼 있다. 이번 리포트는 한국인터넷진흥원 사이버침해대응본부 침해사고분석단에서 발행, 편집했다.

워너크라이 분석 스페셜 리포트 다운로드는 아래에서 가능하다.

-리포트 다운로드:

https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=26747

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★