VOOVO SYSTEMS

占쌉삼옙占쏙옙占쏙옙

제목 전 세계 뒤흔든 워너크립터 랜섬웨어의 실체는?

지난 5월 12일(현지 시간), 영국 48개 병원, 스페인 통신업체, 러시아 내무부, 프랑스 자동차 공장에서 동시다발적인 랜섬웨어 감염 사태가 발생했다. 이어 삽시간에 150여 개국으로 확산되면서 국내에 상륙했다. 워너크립터(WannaCryptor), 또는 워너크라이(WannaCry), W크립트(WCrypt) 등으로 불리는 이 랜섬웨어의 특징과 국내 피해 상황, 또 대응 조치 등에 대해 정리해본다.  

 

​(*이미지 출처: Nicescene/shutterstock.com) 

 

다른 랜섬웨어와 마찬가지로 워너크립터도 감염 PC의 파일을 암호화한 후 바탕화면을 변경하고, 암호화한 파일을 인질로 삼아 300달러 상당의 비트코인(Bitcoin)을 요구한다. 현재 워너크립터의 랜섬 노트는 28개 언어로 지원되는 것으로 알려져 있다. 전 세계 사용자들을 공격 대상으로 삼고 있음을 짐작할 수 있다. 

 

  

  한국어로 나타나는 워너크립터 랜섬 노트 

 

 

워너크립터, 국내 피해 정도는?

현재(5월 17일 기준) 다른 나라에 비해 국내 피해 규모는 크지 않다. 해외 언론 보도에 따르면 5월 12일부터 15일까지 전 세계 150개국의 컴퓨터 30만 대 가량이 피해를 입었다. 이에 반해 한국인터넷진흥원(이하 KISA) 발표에 따르면, 국내에서는 5월 13일부터 16일까지 12개 기업에 피해가 발생했다. 

 

또 지난 12일부터 17일까지 안랩 V3가 진단한 건수에 따르면 326 대의 PC가 감염되었으며, 차단 로그는 그보다 많은 것으로 확인됐다. 여기에 관련 기관이나 보안 업체에 신고하지 않은 기업이나 개인 피해자들을 고려하면 적지 않은 피해가 예상되지만, 그래도 여전히 다른 나라에 비해 피해 규모는 크지 않은 편이다.

 

상대적으로 국내 피해가 적었던 이유로는, 우선 주말임에도 불구하고 관계 기관과 보안 업체들, 언론사의 공조로 피해 현황, 주의 사항 등 워너크립터 관련 정보가 신속하게 전달된 점을 꼽을 수 있다. 초동 대응이 선공적이었다고 평가받는 이유다. 

 

또 다른 나라에 비해 상대적으로 국내의 윈도우 10 이용 비율이 높았던 점도 피해가 크지 않았던 이유로 분석된다. 워너크립터는 윈도우 OS의 특정 취약점을 이용한 악성코드로, 국내외 피해가 발생한 PC는 대부분 보안 업데이트가 적용되지 않은 구 버전의 윈도우 OS를 이용하는 경우였다. 이에 반해 윈도우 10은 자동으로 보안 업데이트가 적용되며, 또 해당 취약점을 갖고는 있지만 워너크립터의 감염 대상은 아니었기 때문이다. 



워너크립터, 왜 대규모 피해가 발생했나 

워너크립터는 마이크로소프트(Microsoft, 이하 MS) 윈도우 운영체제의 SMB(Sever Message Block, MS17-010) 취약점을 이용하는 랜섬웨어다. MS는 지난 2017년 3월, SMB 취약점을 해결하는 보안 업데이트를 배포했지만, 수많은 시스템이 해당 업데이트를 적용하지 않은 상태였기 때문에 위협에 고스란히 노출되었던 것이다. 

 

SMB 취약점에 영향을 받는 시스템은 [표 1]과 같다. MS에서 보안 업데이트 지원을 중단한 윈도우 XP나 비스타(Vista) 버전을 이용하는 사용자는 윈도우 7 이상의 운영체제로 업그레이드할 이 권장된다. 특히 워너크립터는 SMB 취약점이 존재하는 시스템에서는 별도의 사용자 조작 없이도 감염될 수 있기 때문에, MS 최신 보안 패치를 업데이트하는 것이 중요하다. 앞서 언급한 것처럼 윈도우 10도 해당 취약점에 영향을 받지만 워너크립터의 공격 대상은 아니다. 
 

 

 

운영체제

PC

Windows XP/ Vista/ 7/ 8.1/ RT 8.1

서버

Windows Server 2003/ 2008 R2 SP1, SP2/ 2012 R2/ 2016

[표 1] SMB 취약점에 영향받는 윈도우 OS 

 

해외 언론 보도에 다르면, MS는 이번 워너크립터 대란과 관련해 미 국가안보국(NSA)이 상당한 원인을 제공했다고 주장하고 있다. 워너크립터 랜섬웨어 제작에 이용된 ‘이터널블루(EternalBlue)’라는 취약점 익스플로잇 킷(Exploit Kit)이 NSA가 만든 것으로 알려져 있기 때문이다. 즉, NSA가 SMB 취약점을 이용하기 위해 만든 익스플로잇 킷이 해커 그룹에 탈취당했으며, 이를 이용해 2017년 5월에 SMB 취약점을 통해 감염되는 워너크립터 변형이 제작되었다는 것이다. 

 

워너크립터 랜섬웨어가 최초로 발견된 것은 지난 2017년 2월로, 다른 랜섬웨어와 마찬가지로 이메일 첨부 파일이나 취약한 웹사이트를 통해 감염되었다. 그러나 지난 5월부터 SMB 취약점을 악용하면서 급격하게 확산된 것으로 보인다. 

 

다행히 아직까지 국내 피해 상황은 심각하지 않은 편이지만, 현재 지속적으로 워너크립터 변종이 발견되고 있기 때문에 안심할 수는 없다.

  

워너크립터에 감염되지 않으려면?

워너크립터를 비롯한 대부분의 랜섬웨어는 일단 감염되면 치료가 어렵고, 사실상 파일 복구가 불가능하기 때문에 사전 예방이 가장 중요하다. 사용 중인 백신은 실시간 검사 기능 상태로 사용해야 한다. 특히 워너크립터 변종이 나타나고 있으므로 최신 윈도우 보안 패치를 반드시 적용해야 한다. 

 

▶ ‘MS 최신 보안 패치 다운로드’ 바로가기

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

 

미래창조과학부, KISA에서 권장하는 워너크립트 랜섬웨어 피해 방지를 위한 행동 요령은 다음과 같다. 

  

(*출처: 미래창조과학부, 한국인터넷진흥원)

  

안랩은 개인 및 기업용 V3 제품과 지능형위협 대응 솔루션 MDS를 통해 워너크립터 랜섬웨어를 진단 및 제거하고 있다. 또한 워너크립터 랜섬웨어가 악용하는 SMB 취약점 등이 존재하는지 확인하고 조치할 수 있는 ‘워너크립터 사전 예방 툴’ 제작, 홈페이지를 통해 무료로 제공하고 있다. 

 

▶ '안랩 워너크립터 랜섬웨어 사전 예방 툴' 다운로드 

http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124728

 

이 밖에도 ASEC블로그, ‘랜섬웨어 보안센터’ 등을 통해 워너크립터를 비롯한 신•변종 랜섬웨어에 대한 최신 정보를 신속하게 공유하고 있다.


- 출처 : 안랩(2017.05.17)