이에 대해 한국인터넷진흥원은 13일 ‘워너크라이 분석 스페셜 리포트’를 공개했다. 리포트에는 사고발생부터 감염 확산, 민관 협력 대응 상황 등을 초기 해외 상황부터 한국 현황까지 상세히 설명하고 있다.
한편 워너크라이 상세분석 내용에서 구성요소와 동작원리, SMB 취약점(CVE-2017-0144) 분석까지 포함돼 있고 해커그룹과 연관성에 대해서도 분석한 내용이 공개됐다.
중국은 출입국관리소를 비롯, 각종 기업•기관 3만여개와 대학 등 4천여 교육기관이 피해를 입었다. 러시아는 정부기관인 내무부 컴퓨터를 포함해 다수의 공공기관에서 피해가 보고되고 있다. 일본은 철도회사인 JR 히가시니혼이 감염되어 신칸센 예약 서비스가 중단되었으며, 히타치, 이온몰, 카와사키 상하수도국, 오사카 시청 등 다수의 기업•기관이 감염되었다.
워너크라이가 최초 발견된 것은 2017년 2월이지만, 이번 사고에서 사용된 워너크라이의 특징은 美 NSA가 개발한 이터널블루(EternalBlue) 취약점이 해커들에 의해 유출된 후 악용되어 윈도우 통신 프로토콜 중 하나인 SMB 취약점(CVE-2017-0144)을 통해 랜섬웨어가 스스로 주변으로 자체 전파할 수 있다는 점이다. 이 점이 전 세계로 빠르게 확산될 수 있었던 주요 요인으로 파악됐다.
또한 워너크라이의 최초 유포 경로는 아직 밝혀지지 않았다. 하지만 스피어 피싱 또는 해킹된 웹 사이트 방문으로 감염된 후 주변 국가로 확산 및 전파된 것으로 추정하고 있다. 전 세계적으로 빠르게 감염이 확산된 이유는 웜(Worm) 형태와 유사하게 자기 자신을 복제해 네트워크로 전파하기 때문이다.
초기 영국의 한 보안관계자가 워너크라이 전파를 무력화할 수 있는 킬 스위치를 찾아 워너크라이 확산이 잠시 주춤했지만, 다음날인 5월 14일 킬 스위치가 없는 워너크라이 2.0 버전이 등장했기 때문에 감염이 줄어들지 않았다. 한국도 계속해서 피해를 입고 있는 상황이라 각별한 주의가 요구되고 있다. 리포트 부록에는 워너크라이 예방 대국민 행동 요령도 포함돼 있다. 이번 리포트는 한국인터넷진흥원 사이버침해대응본부 침해사고분석단에서 발행, 편집했다.
워너크라이 분석 스페셜 리포트 다운로드는 아래에서 가능하다.
-리포트 다운로드:
https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=26747
★정보보안 대표 미디어 데일리시큐!★