국내 IP 4천여개 감염, 월요일 되면 큰 폭으로 늘어날 듯
기업 등 월요일 출근 직원들에게 긴급 공지 등 대응책 모색
[보안뉴스 권 준 기자] 지난 주말 워너크라이(WannaCry) 랜섬웨어가 윈도우 SMB 취약점을 악용한 네트워크 웜 형태로 급속도로 확산되면서 전 세계 곳곳이 패닉 상태에 빠졌다. 워너크라이에 감염된 영국의 병원에서는 수술이 미뤄졌고, 공장이 멈춰서기도 했다. 해외의 경우 점차 수습 국면에 접어들고 있지만, 더욱 큰 문제는 우리나라다.
▲ 한글버전 워너크라이 랜섬웨어 실제 감염 화면 캡쳐[제공: 하우리]
휴일이 지나고 월요일 출근이 시작되는 국내 기업을 비롯해서 공공기관, 병원, 학교 등은 당장 비상에 걸렸다. 윈도우 운영체제의 최신 보안 업데이트가 제대로 이루어지지 않은 PC 1대만이라도 워너크라이 랜섬웨어에 감염됐을 경우 사내 네트워크를 타고 감염이 급속도로 확산될 수 있기 때문이다.
이에 따라 미래창조과학부와 한국인터넷진흥원(KISA)를 중심으로 한 정부에서는 랜섬웨어 예방을 위한 대국민 행동요령을 긴급 공지와 카드뉴스로 제작·배포하는 등 많은 국민들에게 해당 랜섬웨어의 위험성을 홍보하는 데 전력을 다하고 있다. 이번 사태를 접한 기업의 보안팀과 IT·전산팀, 총무무서 등에서도 월요일 출근을 앞둔 직원들에게 긴급 문자메시지 등을 보내 출근한 후에는 먼저 랜선을 뽑고 와이파이를 끄는 등 네트워크 연결을 해제해 감염경로를 차단할 것을 당부하고 있다.
그러나 관련 소식을 접하지 못했거나 예방법을 잘 모르는 중소기업이나 상점, 개인병원 등은 월요일 출근과 동시에 많은 감염 피해가 우려되고 있으며, 이미 감염된 사례도 상당할 것으로 추정되고 있다.
이와 관련 보안전문기업 하우리의 최상명 CERT실장은 “SMB 네트워크 웜인 워너크라이 랜섬웨어에 감염된 PC가 4,180여대로 추정된다. 이는 서로 다른 국내 IP 주소가 4,180개 확인된 데 따른 것”이라며, “해당 건수는 13일 밤 11시부터 14일 오후 3시까지를 집계한 수치로 전 세계 감염 IP 약 22만대 가운데 한국의 경우 1.8%에 이르는 수치”라고 밝혔다.
특히, 14일에는 KISA 등에 정식 신고되지는 않았지만, 대학 강의 실습실과 음식점, 국내 광고 전광판, 그리고 오락실에서의 감염사례들도 속속 드러나고 있다. 특히, POS와 연결되어 있는 음식점 PC나 임베디드 윈도우XP를 사용하는 광고전광판, 오락실 등은 감염 가능성이 그 어느 때보다 높을 것으로 우려된다.
이에 따라 여러 보안업체에서도 랜섬웨어 대비책을 제시하면서 피해 최소화에 적극 나서고 있다. 그럼 일반 기업들은 워너크라이 랜섬웨어 확산에 따른 ‘블랙 먼데이’ 사태를 막기 위해 당장 어떤 조치부터 취해야 할까?
정부를 비롯해 보안업체들이 공통적으로 강조하는 조치는 바로 사용 중인 모든 윈도우 시스템에 MS 최신 패치를 적용해야 한다는 점이다. 이를 위해서는 기업에서 사용 중인 모든 기기들의 OS가 주기적으로 업데이트될 수 있도록 자동 설정하고, 대규모 기업의 경우 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다고 포티넷 측은 설명했다. 또한, 방화벽 설정을 통해 SMB에서 사용되는 포트를 차단하는 등 파일 공유 기능을 해제해야 한다는 게 KISA 측의 설명이다.
또한, 주기적으로 백업을 수행하고, 백업된 정보들은 무결성을 검증, 암호화해 관리되고 있는지 점검할 필요도 있다. 이와 함께 기업 내에서 송수신되는 모든 이메일을 스캔해 보안 위협이나 실행파일들이 사용자들에게 전달되는지 확인하고, 이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화하는 한편, 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다.
그럼 이미 랜섬웨어에 감염된 경우에는 피해 최소화를 위해 어떤 조치를 취해야 할까? 먼저 추가 감염 및 확산을 방지하기 위해 즉시 감염된 PC나 디바이스를 네트워크에서 분리해 격리조치를 취해야 하며, 네트워크 전체가 감염된 경우에는 즉시 모든 디바이스를 네트워크로부터 분리해야 한다. 또한, 완전히 망가지지 않은 감염된 디바이스는 전원을 끔으로써 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지할 수도 있다는 게 포티넷 측의 설명이다.
특히, 사용자 PC에서 감염이 감지된 경우에는 백업 시스템을 즉시 네트워크에서 분리하고 백업된 자료가 감염됐는지 확인할 필요가 있다. 이와 함께 랜섬웨어 감염 사실을 회사 측에 즉시 알리고, 보안팀이나 IT관련 부서, 법무팀 등과 후속조치를 논의해야 한다.
[권 준 기자(editor@boannews.com)]
기업 등 월요일 출근 직원들에게 긴급 공지 등 대응책 모색
[보안뉴스 권 준 기자] 지난 주말 워너크라이(WannaCry) 랜섬웨어가 윈도우 SMB 취약점을 악용한 네트워크 웜 형태로 급속도로 확산되면서 전 세계 곳곳이 패닉 상태에 빠졌다. 워너크라이에 감염된 영국의 병원에서는 수술이 미뤄졌고, 공장이 멈춰서기도 했다. 해외의 경우 점차 수습 국면에 접어들고 있지만, 더욱 큰 문제는 우리나라다.
▲ 한글버전 워너크라이 랜섬웨어 실제 감염 화면 캡쳐[제공: 하우리]
휴일이 지나고 월요일 출근이 시작되는 국내 기업을 비롯해서 공공기관, 병원, 학교 등은 당장 비상에 걸렸다. 윈도우 운영체제의 최신 보안 업데이트가 제대로 이루어지지 않은 PC 1대만이라도 워너크라이 랜섬웨어에 감염됐을 경우 사내 네트워크를 타고 감염이 급속도로 확산될 수 있기 때문이다.
이에 따라 미래창조과학부와 한국인터넷진흥원(KISA)를 중심으로 한 정부에서는 랜섬웨어 예방을 위한 대국민 행동요령을 긴급 공지와 카드뉴스로 제작·배포하는 등 많은 국민들에게 해당 랜섬웨어의 위험성을 홍보하는 데 전력을 다하고 있다. 이번 사태를 접한 기업의 보안팀과 IT·전산팀, 총무무서 등에서도 월요일 출근을 앞둔 직원들에게 긴급 문자메시지 등을 보내 출근한 후에는 먼저 랜선을 뽑고 와이파이를 끄는 등 네트워크 연결을 해제해 감염경로를 차단할 것을 당부하고 있다.
그러나 관련 소식을 접하지 못했거나 예방법을 잘 모르는 중소기업이나 상점, 개인병원 등은 월요일 출근과 동시에 많은 감염 피해가 우려되고 있으며, 이미 감염된 사례도 상당할 것으로 추정되고 있다.
이와 관련 보안전문기업 하우리의 최상명 CERT실장은 “SMB 네트워크 웜인 워너크라이 랜섬웨어에 감염된 PC가 4,180여대로 추정된다. 이는 서로 다른 국내 IP 주소가 4,180개 확인된 데 따른 것”이라며, “해당 건수는 13일 밤 11시부터 14일 오후 3시까지를 집계한 수치로 전 세계 감염 IP 약 22만대 가운데 한국의 경우 1.8%에 이르는 수치”라고 밝혔다.
특히, 14일에는 KISA 등에 정식 신고되지는 않았지만, 대학 강의 실습실과 음식점, 국내 광고 전광판, 그리고 오락실에서의 감염사례들도 속속 드러나고 있다. 특히, POS와 연결되어 있는 음식점 PC나 임베디드 윈도우XP를 사용하는 광고전광판, 오락실 등은 감염 가능성이 그 어느 때보다 높을 것으로 우려된다.
이에 따라 여러 보안업체에서도 랜섬웨어 대비책을 제시하면서 피해 최소화에 적극 나서고 있다. 그럼 일반 기업들은 워너크라이 랜섬웨어 확산에 따른 ‘블랙 먼데이’ 사태를 막기 위해 당장 어떤 조치부터 취해야 할까?
정부를 비롯해 보안업체들이 공통적으로 강조하는 조치는 바로 사용 중인 모든 윈도우 시스템에 MS 최신 패치를 적용해야 한다는 점이다. 이를 위해서는 기업에서 사용 중인 모든 기기들의 OS가 주기적으로 업데이트될 수 있도록 자동 설정하고, 대규모 기업의 경우 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다고 포티넷 측은 설명했다. 또한, 방화벽 설정을 통해 SMB에서 사용되는 포트를 차단하는 등 파일 공유 기능을 해제해야 한다는 게 KISA 측의 설명이다.
또한, 주기적으로 백업을 수행하고, 백업된 정보들은 무결성을 검증, 암호화해 관리되고 있는지 점검할 필요도 있다. 이와 함께 기업 내에서 송수신되는 모든 이메일을 스캔해 보안 위협이나 실행파일들이 사용자들에게 전달되는지 확인하고, 이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화하는 한편, 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다.
그럼 이미 랜섬웨어에 감염된 경우에는 피해 최소화를 위해 어떤 조치를 취해야 할까? 먼저 추가 감염 및 확산을 방지하기 위해 즉시 감염된 PC나 디바이스를 네트워크에서 분리해 격리조치를 취해야 하며, 네트워크 전체가 감염된 경우에는 즉시 모든 디바이스를 네트워크로부터 분리해야 한다. 또한, 완전히 망가지지 않은 감염된 디바이스는 전원을 끔으로써 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지할 수도 있다는 게 포티넷 측의 설명이다.
특히, 사용자 PC에서 감염이 감지된 경우에는 백업 시스템을 즉시 네트워크에서 분리하고 백업된 자료가 감염됐는지 확인할 필요가 있다. 이와 함께 랜섬웨어 감염 사실을 회사 측에 즉시 알리고, 보안팀이나 IT관련 부서, 법무팀 등과 후속조치를 논의해야 한다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
