변종만 150종 이상...윈도우 업데이트만이 해결방안
보안전문기업들 앞다퉈 워너크라이 경고와 조치방안 전파
[보안뉴스 원병철 기자] SMB 취약점을 이용한 랜섬웨어 ‘워너크라이(WannaCry)’의 공격으로 인한 피해가 급증하고 있는 가운데, 우리나라에서의 피해사례도 계속 보고되고 있다. 한국인터넷진흥원(이하 KISA)에 의하면 이번 워너크라이 사태로 인해 총 6건의 상담전화가 걸려왔으며, 이 중 3건은 워너크라이 감염 때문인 것으로 알려졌다. 그러나 실제 감염자 수는 수천 명을 넘어설 것이라는 게 보안전문가들의 예측이다. 더 큰 문제는 월요일이 되면 워너크라이 감염자수가 폭증할 것으로 우려된다는 점이다. 직장 출근시 PC를 켤 때 랜섬웨어 감염 화면이 뜨는 경우가 상당수에 이르는 이른바 ‘블랙 먼데이’ 가능성 때문이다.
.jpg)
▲ 워너크라이 감염 다이어그램[자료: 한국트랜드마이크로 블로그]
KISA는 이번 워너크라이 공격과 관련해 현재 할 수 있는 최선의 방법은 윈도우 업데이트라면서, 반드시 인터넷 연결을 해제한 후 KISA 보안공지 ‘SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’을 따라할 것을 당부했다.
현재 워너크라이로 인한 피해가 전 세계를 강타하면서 각 보안전문기업들은 워너크라이의 확산과 조치방안에 대해 공지하고 나섰다.
보안전문기업 이스트시큐리티는 5월 12일부터 전 세계로 급속히 유포되고 있는 워너크라이 랜섬웨어를 소개하면서 조치방안도 함께 공유했다. 이스트시큐리티는 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적이라고 강조했다.
특히, 워너크라이는 웜 바이러스의 특성을 함께 지니고 있어 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있다는 설명이다. 이에 이스트시큐리티는 워너크리아 랜섬웨어 조치 방안으로 △시스템을 네트워크로부터 분리하고 SMB v1/CIFS 파일공유기능 해제 △방화벽을 통해 SMB 관련 포트 차단(137, 138, 139, 445) △사용 중인 OS의 SMB 프로토콜 비활성화 △MS에서 제공하는 MS17-010 보안 업데이트 진행/사용 중인 OS 및 SW 최신 업데이트 진행(https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) △주요문서 백업 및 별도매체에 보관, 문서중앙화 솔루션 활용 △안티랜섬웨어 기능이 탑재된 보안솔루션 활용 등을 강조했다.
이스트시큐리티는 현재 알약에서는 워너크라이 랜섬웨어와 추가 발견된 변종들에 대해 ‘Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176’ 등으로 지속적으로 업데이트를 진행하고 있지만, 워너크라이 변종이 150개 가까이 발생했으며, 계속 생성될 것으로 예상되므로, 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수라고 강조했다.
글로벌 보안전문기업 카스퍼스키랩은 전 세계 74개국에서 최소 45,000건의 감염 시도를 탐지했으며, 대부분은 러시아에서 이루어졌다고 밝혔다. 랜섬웨어는 마이크로소프트 취약점을 이용하여 감염 공격을 하고 있으며, 이번 공격은 4월 14일 셰도우 브로커스의 덤프에서 공개된 ‘이터널 블루(Eternal Blue)’를 이용했다고 설명했다. 또한, 공격이 시스템 안으로 침투하게 되면 공격자는 루트킷을 설치해 데이터 암호화 소프트웨어를 다운로드 하도록 한 후, 파일을 암호화한다고 말했다.
또한, 시만텍은 워너크라이 랜섬웨어는 데이터 파일을 암호화하고 사용자에게 300달러의 몸값을 비트코인으로 지불하도록 요구하는데, 3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고했다.
윤광택 시만텍코리아 CTO는 “워너크라이는 랜섬웨어와 웜이 결합된 형태로, 웜의 경우 패치가 되어있지 않으면 원격으로 자동 감염될 가능성이 크기 때문에 더욱 위험도가 높은 랜섬웨어”라며, “향후 랜섬웨어와 웜이 결함된 형태의 공격이 늘어날 가능성이 많기 때문에 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다. 특히, 이메일을 통한 랜섬웨어 공격이 증가하고 있기 때문에 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다”고 당부했다.
글로벌 보안기업 트랜드마이크로도 이번 공격이 마이크로소프트 취약점을 악용하는 것으로 밝혀진 이후, 고객들은 마이크로소프트가 제공한 지침을 따르면서 가급적이면 그들의 환경에서 더 이상 SMB를 사용하지 않을 것이라면서, 고객들은 사용 중인 운영체제 특히 MS17-010과 관련된 운영체제에 모든 최신 패치들을 반드시 적용시켜야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]
보안전문기업들 앞다퉈 워너크라이 경고와 조치방안 전파
[보안뉴스 원병철 기자] SMB 취약점을 이용한 랜섬웨어 ‘워너크라이(WannaCry)’의 공격으로 인한 피해가 급증하고 있는 가운데, 우리나라에서의 피해사례도 계속 보고되고 있다. 한국인터넷진흥원(이하 KISA)에 의하면 이번 워너크라이 사태로 인해 총 6건의 상담전화가 걸려왔으며, 이 중 3건은 워너크라이 감염 때문인 것으로 알려졌다. 그러나 실제 감염자 수는 수천 명을 넘어설 것이라는 게 보안전문가들의 예측이다. 더 큰 문제는 월요일이 되면 워너크라이 감염자수가 폭증할 것으로 우려된다는 점이다. 직장 출근시 PC를 켤 때 랜섬웨어 감염 화면이 뜨는 경우가 상당수에 이르는 이른바 ‘블랙 먼데이’ 가능성 때문이다.
▲ 워너크라이 감염 다이어그램[자료: 한국트랜드마이크로 블로그]
KISA는 이번 워너크라이 공격과 관련해 현재 할 수 있는 최선의 방법은 윈도우 업데이트라면서, 반드시 인터넷 연결을 해제한 후 KISA 보안공지 ‘SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’을 따라할 것을 당부했다.
현재 워너크라이로 인한 피해가 전 세계를 강타하면서 각 보안전문기업들은 워너크라이의 확산과 조치방안에 대해 공지하고 나섰다.
보안전문기업 이스트시큐리티는 5월 12일부터 전 세계로 급속히 유포되고 있는 워너크라이 랜섬웨어를 소개하면서 조치방안도 함께 공유했다. 이스트시큐리티는 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적이라고 강조했다.
특히, 워너크라이는 웜 바이러스의 특성을 함께 지니고 있어 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있다는 설명이다. 이에 이스트시큐리티는 워너크리아 랜섬웨어 조치 방안으로 △시스템을 네트워크로부터 분리하고 SMB v1/CIFS 파일공유기능 해제 △방화벽을 통해 SMB 관련 포트 차단(137, 138, 139, 445) △사용 중인 OS의 SMB 프로토콜 비활성화 △MS에서 제공하는 MS17-010 보안 업데이트 진행/사용 중인 OS 및 SW 최신 업데이트 진행(https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) △주요문서 백업 및 별도매체에 보관, 문서중앙화 솔루션 활용 △안티랜섬웨어 기능이 탑재된 보안솔루션 활용 등을 강조했다.
이스트시큐리티는 현재 알약에서는 워너크라이 랜섬웨어와 추가 발견된 변종들에 대해 ‘Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176’ 등으로 지속적으로 업데이트를 진행하고 있지만, 워너크라이 변종이 150개 가까이 발생했으며, 계속 생성될 것으로 예상되므로, 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수라고 강조했다.
글로벌 보안전문기업 카스퍼스키랩은 전 세계 74개국에서 최소 45,000건의 감염 시도를 탐지했으며, 대부분은 러시아에서 이루어졌다고 밝혔다. 랜섬웨어는 마이크로소프트 취약점을 이용하여 감염 공격을 하고 있으며, 이번 공격은 4월 14일 셰도우 브로커스의 덤프에서 공개된 ‘이터널 블루(Eternal Blue)’를 이용했다고 설명했다. 또한, 공격이 시스템 안으로 침투하게 되면 공격자는 루트킷을 설치해 데이터 암호화 소프트웨어를 다운로드 하도록 한 후, 파일을 암호화한다고 말했다.
또한, 시만텍은 워너크라이 랜섬웨어는 데이터 파일을 암호화하고 사용자에게 300달러의 몸값을 비트코인으로 지불하도록 요구하는데, 3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고했다.
윤광택 시만텍코리아 CTO는 “워너크라이는 랜섬웨어와 웜이 결합된 형태로, 웜의 경우 패치가 되어있지 않으면 원격으로 자동 감염될 가능성이 크기 때문에 더욱 위험도가 높은 랜섬웨어”라며, “향후 랜섬웨어와 웜이 결함된 형태의 공격이 늘어날 가능성이 많기 때문에 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다. 특히, 이메일을 통한 랜섬웨어 공격이 증가하고 있기 때문에 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다”고 당부했다.
글로벌 보안기업 트랜드마이크로도 이번 공격이 마이크로소프트 취약점을 악용하는 것으로 밝혀진 이후, 고객들은 마이크로소프트가 제공한 지침을 따르면서 가급적이면 그들의 환경에서 더 이상 SMB를 사용하지 않을 것이라면서, 고객들은 사용 중인 운영체제 특히 MS17-010과 관련된 운영체제에 모든 최신 패치들을 반드시 적용시켜야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
