워너크라이 확산 및 피해 현황 분석해보니...새로운 형태의 랜섬웨어

[보안뉴스 원병철 기자] 지난 5월 12일 무차별 유포가 진행된 워너크라이 랜섬웨어는 무려 74개국으로 피해가 확산됐고, 우리나라 역시 피해를 입고 있다. 이에 한국랜섬웨어침해대응센터(RanCERT, 센터장 이형택)에서는 ‘워너크라이(WannaCry) 랜섬웨어 긴급 침해 보고서’를 발표하고, 워너크라이의 공격과 유포, 대응방안에 대해 집중 분석했다.


ⓒ iclickart

워너크라이의 공격 시기는 지난 5월 12일 전후로 전 세계 74개국(5월 14일 12시 기준, 한국 포함)으로 확산됐다. 공격그룹은 랜섬웨어 해커 동맹으로 추정되지만, 아직 주도세력은 미확인된 상태다. 워너크라이의 특징은 사상 최대 규모의 무차별 공격이라는 점과 PC와 서버를 동시에 공격했다는 점이다.

영국에서는 국립건강서비스 산하 16개 대형병원이 공격을 받아 진료중단 및 타병원으로 환자를 긴급 이송했으며, 스페인에서는 대형 통신사 텔레포니카가 일부 업무를 중단했다. 프랑스에서는 르노 자동차가 공장 일부의 가동을 중지했으며, 독일 철도 티켓 발행기는 일부 발행이 중단됐다. 인도네시아의 국립 암센터 등 대형 종합병원 두 곳 역시 일부 진료를 중단하는 사태가 벌어졌다.

우리나라에서의 피해 역시 확산하고 있다. 글로벌 본사에서는 제조공정 서버 및 PC가 감염되어 공장 일부의 가동이 중지됐으며, 한 대기업에선 보안관제센터 모니터링 PC가 감염돼 PC 운영을 중단하고 포맷한 것으로 알려졌다. 대형 종합병원도 이번 공격으로 일부 업무가 중단됐으며, IoT 장비 모니터링 서버가 감염돼 서버 운영을 중지하고 포맷한 것으로 분석됐다.


▲ 워너크라이 랜섬노트 [자료: 한국랜섬웨어침해대응센터]

복호화 비용 3일내 300달러에서 7일내 600달러로 껑충...이후로는 복호화 안 돼
이번 워너크라이 공격은 윈도우 운영체제의 공유 프로토콜 SMBv1 원격코드의 실행 취약점을 악용해 PC와 서버로 전파됐다. 네트워크 웜(Network WORM) 기반 공격으로 인터넷 연결만으로도 감염되며, 파일명에 ‘.WNCRY’가 붙어 ‘파일명.jpg.WNCRY’와 같은 식으로 파일명을 변경했다.


▲ 워너크라이 감염 아키텍처[자료: 한국랜섬웨어침해대응센터]


▲ 영국 보안전문가의 ‘킬 스위치’ 조치로 확산 저지, 해커 패치로 재전파[자료: 한국랜섬웨어침해대응센터]

5월 12일 영국의 보안전문가(MalwareTechBlog)가 워너크라이가 미등록된 특정 도메인과 연결되어 있다는 것을 확인하고 이 도메인을 구입 및 등록함으로써 확산을 저지했다. 하지만 5월 13일 해커에 의해 ‘킬 스위치’ 기능을 제거한 변종 웜이 재등장해 전파 및 감염이 다시 확산됐다.

워너크라이는 복호화 대가로 감염 후 3일 이내에 US 300 달러(약 34만원)에 해당하는 비트코인을 요구하며, 이후 다시 7일 이내에 US 600 달러(약 68만원)에 해당하는 비트코인을 요구한다. 또한 7일 내에 비용을 지불하지 않으면 파일은 영구히 복구할 수 없으며, 돈이 없어 복호화하지 못한 가난한 사람들을 대상으로 6개월 안에 무료 이벤트도 가질 것이라고 랜섬노트에 공지했다.

암호화 대상 파일 확장자는 한글(HWP)을 포함한 176개로 PC 내 워드와 파워포인트 등 다양한 문서파일과 압축파일, DB 파일과 가상머신 파일 등이다.

공격대상 OS는 Microsoft 최신 업데이트가 진행되지 않은 Windows 운영체제를 사용하는 PC(Windows 10, Windows 8.1, Windows RT 8.1, Windows 7)와 서버(Windows Server 2016, Windows Server 2012 R2, Windows server 2008 R2 SP1 SP2)이며, 한국어를 포함해 28개의 다국적 언어를 지원하는 것이 특징이다.

워너크라이의 기술적 특징
워너크라이는 웜(WORM) 형태로 확산되는 새로운 랜섬웨어로 대부분의 컴퓨터에서 보안 업데이트가 자동으로 적용되지만, 일부 사용자와 기업에서는 패치 배포가 지연되거나 업데이트하지 않는 경우가 많은 점을 노렸다.

워너크라이 랜섬웨어는 MS17-010(Microsoft Windows SMB 서버용 보안 업데이트)을 설치하지 않은 버전을 감염시킨다. 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행해 mssecsvc 2.0이란 서비스를 만들고, 감염된 시스템 IP 주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도했다. 원격지 SMBv1 서버에 연결이 성공하면 MS17-010 취약점을 이용해 웜과 같이 확산했다.

또한, 워너크라이는 실행시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일들을 RSA 2048 비트로 암호화한다. ‘cmd.exe/vssadmin.exe/WMIC.exe’의 윈도우 명령어를 이용해 액세스 권한 등을 모든 사용자에게 허용함으로서 원활한 실행을 구현했다. SMB 프로토콜은 중개경로가 되고 그 경로를 이용해 실제 랜섬웨어 파일을 옮겨 감염되게 하는 형식은 기존 랜섬웨어와는 다른 것으로 분석되고 있다.

랜섬웨어 방어 전략
랜섬웨어는 악성코드 역사상 최초로 ‘돈 되는 바이러스’이기 때문에 빠른 확산속도로 다양한 형태의 변종으로 진화되어 이번 워너크라이와 같이 전 세계와 우리나라를 위협하고 있다. 사용자들에게 아무리 주의를 당부해도 날마다 새롭게 진화하는 해커의 기술을 당할 수 없기 때문이다.

그 이유 중 하나는 해커와 방어자 간 ‘기술정보의 비대칭’ 문제다. 해커는 시장의 모든 백신엔진과 차단 엔진을 테스트 후 랜섬웨어를 침투시킬 수 있는 기술을 보유하고 있으나 보안 회사들은 백신 혹은 차단제품을 공개하기 때문에 랜섬웨어를 100% 차단할 수 없다.

새로운 공격유형에 대한 방어는 새로운 기술과 정책 대응이 필요하다. 랜섬웨어는 과거의 침투기술을 지능화하고 암호화해 금전을 요구하는 새로운 형태의 사이버공격이다. 이러한 공격으로부터 중요 자료를 보호하기 위해서는 지능형 침투 차단기술 개발과 데이터 백업기술의 멀티레이어 대응방법이 필요하다. 그럼에도 불구하고 데이터 백업에 대한 기술적 표준과 정책이 부재해 랜섬웨어 대응에 혼란을 겪고 있는 실정이다.

따라서 현재 가장 시급한 것은 보안적 관점에서 데이터 백업 기술의 표준을 마련하고 백업을 의무화시키는 정책수립과 대응조치 마련이다. 그런 이후 해커와의 거래를 불법화시켜 우리나라가 랜섬웨어 해커의 수익성 높은 놀이터가 되는 것을 막아야 한다. 막지 못하면 랜섬웨어 공격이 장기화될 것으로 보인다.

랜섬웨어 침해는 사이버 보안의 바로미터다. 즉 랜섬웨어에 의해 암호화되었다는 것은 언제든지 PC의 좀비화와 APT 공격을 받을 수 있고, 특정그룹에 의해 사이버 안보 문제로도 발전할 수 있다는 사실을 의미하기 때문에 산업계, 정부기관 및 국방 관련 기관에서는 예의주시해야 한다. 통상적으로 공공기관에서는 랜섬웨어 감염 사실을 보고하지 않고 개인적으로 처리하고 있는데, 이는 사이버보안의 적색 경고등을 무시하는 것과 다름 없다. 이번 워너크라이 램섬웨어 보다 더 강력하고 고도화된 랜섬웨어가 공격하기 전에 혁신적인 종합대책이 시급하다.

△ 랜섬웨어 방어를 위한 글로벌 표준
- 랜섬웨어가 침해하지 못하는 전문 백업제품을 사용하여 사전에 백업받을 것
- 랜섬웨어 차단 가능한 백신으로 업데이트할 것
- 이메일 첨부파일 열람에 주의를 기울일 것
- 윈도우 업데이트로 보안취약점을 없앨 것
- 이메일 링크로 접속 말고, 직접 접속할 것
- 회사와 기관은 데이터 보호관리 정책수립 후 사용자에게 교육할 것

△ 랜섬웨어 방어를 위한 정책 제안
- 해커를 살찌우는 비트코인 송금의 불법화 정책 수립
- 부득이 복호화가 필요한 경우 신고제 통해 감염-복호화-비트코인 송금 등 전 과정에
대한 추적과정의 DB화
- 사전 예방이 최선의 방어라는 인식을 확산시켜 데이터를 백업해 IT 재해 상황 대비
- 기업 혹은 공공기관 중 랜섬웨어 감염이 발생할 경우 언제든지 사이버테러 혹은 APT
공격을 받을 수 있다는 사실을 주지시키고 반드시 시정조치가 필요
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>