랜섬웨어 공격 주의보 / 윈도우 파일공유기능(SMB) 취약점을 악용한 랜섬웨어 '워너크라이' 전세계 피해 확산

#랜섬웨어 #워너크라이 #랜섬웨어 경보 #윈도우 취약점 #SMB 취약점 #MS업데이트 #데이터 복호화 #바이러스 감염 #비트코인 #윈도우업데이트 #XP 업데이트

   

안녕하세요. 깨알재주꾼 두루입니다. 오랜만에 찾아온 포스팅이지만 오늘은 조금 안좋은 소식을 가지고 왔습니다. 현재 전세계를 떠들썩 하게 하고 있는 랜섬웨어 피해와 예방에 관한 이야기 입니다. 지난 12일 부터 유럽을 중심으로 발생한 이번 랜섬웨어는 급속도로 확산되어 이틀간 100여개국에 피해를 주었다고 합니다. 단기간에 이렇게 많은 피해를 준 랜섬웨어는 이번이 처음이라고 생각되는데요. 보안업계에 따르면 한단계 진화한 확산방식이 이러한 결과를 가지고 왔다고 합니다.

<사진출처-한국랜섬웨어 침해대응센터>

지난해에도 국내 사용자를 겨냥한 랜섬웨어가 유행하는 등 일부 피해가 있었는데요. 이번에는 그것과는 다른 대규모 피해가 예상된다고 합니다. 이번 랜섬웨어의 국내 피해는 이틀간 2천여 건이 접수되었다고 합니다. 이미 유럽지역 많은 기관들의 피해사례가 보도되고 있습니다. 대표적으로 영국의 국민보건서비스, 미국의 운송업체 페덱스, 프랑스의 르노, 중국의 여러 대학과 연구소 등 주요기관에서 큰 피해를 보고 있다고 합니다.

랜섬웨어의 위험성에 대해서는 지난번에서도 다뤘었죠. 감염자체는 PC를 사용하는데 큰 영향을 주지 않지만 사용자가 필요로하는 대부분의 데이터 파일을 암호화 이를 복호화(암호해독)하는데 몸값을 요구하게 됩니다. 해커는 일정금액의 비트코인을 요구하고 비트코인의 지불과정과 처리과정을 상세하게 안내하고 있습니다. 그것도 무려 28개 국어를 지원하고 있습니다. 하지만 몸값을 지불해서 파일을 돌려 받았다는 사례는 크게 알려진바 없습니다.

이번에 유포되어 문제가 되고있는 워너크라이(Wannacry)라는 랜섬웨어는 윈도우 SMB 원격코드의 취약점을 이용해 기존 랜섬웨어와는 다르게 원격으로 감염확산이 되는 형식을 가지고 있습니다. 때문에 더욱 위험하다고 할수 있죠. 기존에 발견되었던 랜섬웨어들은 이메일이나  첨부파일, 웹사이트접속 등을 통해서 설치된 후 감염이 진행되었지만 이번경우는 사용자의 PC가 인터넷에 연결된 상태만으로도 감염될 우려가 있습니다. 이번 사태는 보안업계 해커들이 미국국가안보국에서 윈도우 취약점을 통해 만든 해킹도구를 훔쳐 랜섬웨어로 제작한 것으로 보고 있습니다. 미국국가안보국(NSA)에서 이같은 취약점을 이용한 백도어를 만들어 놓았기 때문에 이같은 사태를 초래하지 않았나 싶습니다.

워너크라이가 확산된 이번주말 다행히도 국내에선 일부 피해만 보고되었을뿐 아직까지 큰 피해는 발생하고 있지 않았습니다. 이번 사례는 세계 최대의 해킹 피해였지만 국내에선 주말이라 관공서및 기관의 PC를 사용하지 않기 때문에 피해가 비교적 적었습니다. 따라사 업무가 시작되는 월요일(15일)이 가장 위험한 날이 될것으로 예상하고 있습니다. 영국의 한 보안 블로거에 의해서 빠른 확산이 13일경 중단된것으로 알려지기도 했으나 변종이나 다른방식의 공격을 통해 감염이 다시금 확산될 소지가 있기에 안심할 수 없습니다.

그렇다면 워너크라이 랜섬웨어의 예방은 어떻게 해야 할까요. 우선 윈도우와 바이러스 백신 업데이트가 가장 시급합니다. 기존에 윈도우 및 백신 업데이트를 꾸준히 받아오고 있는 사용자라면 크게 문제가 없겠습니다. Microsoft Windows의 SMB 원격코드실행 취약점을 보안한 업데이트가 알려져 이미 지난 3월 배포되었다고 하더군요. 따라서 보안업데이트에 소홀한 오래된 버전의 윈도우가 주요 타깃이 될듯 합니다. 윈도우 10의 경우엔 기본적으로 반강제적 업데이트가 되기때문에 비교적 안전하다고 봅니다. MS는 12일 긴급하게 옛날 버전의 윈도우에 업데이트 패치를 추가 배포하였는데요. 이미 많은 피해가 발생한 후였죠.

KISA(한국인터넷진흥원)보호나라에서는 SMB 관련포트인 137,138,139,445 포트를 차단하고 SMB 프로토콜을 비활성화 시킨뒤 보안 업데이트를 진행하도록 권고하고 있습니다. 일반사용자가 따라하기엔 생소한 내용인데요. 가장 쉽게 할 수 있는 방법은 인터넷 선을 뽑아논 상태에서 SMB 기능을 중지시키는 것입니다.

우선 시작버튼을 누르고 제어판으로 들어갑니다.

프로그램 제거를 클릭해줍니다.

프로그램 목록이 쭉 나오는데요. 좌측 상단에 있는 Windows 기능 켜기/끄기를 클릭해 줍니다.

다음과 같은 항목이 뜨는데요. 스크롤을 내리다보면 SMB 1.0/CIFS 파일 공유 지원이라는 윈도우 기능이 보입니다. 여기 체크되어 있는 체크박스를 해제하고 적용한뒤 재부팅 합니다. 이제 인터넷 선을 다시 연결한 뒤에 보안 업데이트를 진행해 줍니다.

KISA보호나라에서는 다음과 같은 방법으로 감염경로를 차단하도록 안내하고있습니다. 현재 이용자 폭주로 인해서 사이트 접속이 원활하지 않습니다.

.PC를 부팅하기 전에 네트워크 연결을 차단합니다. 랜선을 빼거나 와이파이 장비를 끄면 되겠습니다. 그후 감염경로에 해당하는 포트를 차단하고 인터넷을 재연결후 보안 업데이트를 진행해 줍니다.

제어판에 시스템 및 보안으로 들어갑니다.

Windows 방화벽을 클릭하여 들어갑니다. 좌측메뉴에 고급설정으로 들어갑니다.

이제 방화벽에 새로운 규칙을 넣어줍니다. 좌측 상단에 인바운드 규칙을 누르고 우측에 새규칙을 눌러 규칙을 추가합니다. 규칙 항목에 포트를 체크하고 다음을 눌러줍니다.

해당되는 SMB 포트를 입력해 줍니다. 해당되는 포트는 앞서 이야기 했던 4가지 포트로 137-138,445 입니다.

다음버튼을 눌러 포트를 등록하고 연결차단을 체크하여 포트를 차단하도록 설정합니다.

해당 체크박스가 체크되어 있는 상태로 포트차단을 마무리합니다.

<사진출처-KISA 보호나라>

추후에 업데이트후 해당 포트를 다시 열어줘야 하므로 차단규칙을 알아보기 쉽도록 이름을 설정해 줍니다. 해당작업이 마무리되었으면 인터넷 라인을 다시 연결하고 최신 보안업데이트를 하여 마무리하면 되겠습니다.

http://www.catalog.update.microsoft.com/Search.aspx?q=4012598

https://www.microsoft.com/ko-kr/search/DownloadsDrillInResults.aspx?q=4012598&cateorder=1_5_2

MS 공식링크 입니다. 두곳 중에서 접속이 원활한 방향으로 접근하시어 OS에 맞는 업데이트를 설치하시면 되겠습니다. 현재 사용자가 폭주하고 있어 접속이 어려운상태입니다. 구버전 윈도우를 사용하시는 분들 외에는 윈도우 업데이트기능을 활용해 조치하시는것이 원활하겠네요. 구버전 윈도우인 XP와 비스타의 업데이트 패치는 . 다른버전의 윈도우의 경우엔 Windows Update 기능을 이용하여 최신업데이트까지 진행해 주시면 되겠습니다. 윈도우 최신업데이트와 백신 업데이트 후 사용하시면 되겠습니다.

마지막으로 랜섬웨어 피해 예방 수칙을 말씀드리며 포스팅을 마무리 하겠습니다.

1. 중요한 데이터는 백업을 생활화 합니다.

2. 사용중인 운영체제를 항상 최신업데이트 상태로 유지합니다.

3. 신뢰할만한 바이러스 백신을 설치해 사용합니다.

4. 출처가 불분명한 이메일이나 웹페이지 링크 실행시 주의합니다.

5. P2P나 블로그등의 확인되지 않는 파일 실행및 다운로드시 주의합니다.

랜섬웨어는 예방이 답입니다. 그럼 모두들 소중한 데이터 안전하게 보관하시고 위 내용들 꼭 참고하시어 개인보안에 힘쓰시길 바랍니다.