전세계 강타한 ‘워너크라이’ 랜섬웨어…윈도 보안 업데이트 필수

윈도 취약점을 악용한 랜섬웨어 ‘워너크라이(WannaCry)’가 전세계를 강타했다.

유럽, 미국, 중국 등 90여개국에서 지난 12일(현지시간)부터 동시다발 피해가 나타난 것으로 집계되고 있는 가운데, 국내 대학병원, 음식점 등에서도 감염 의심 정황이 나타나 관계당국이 예의주시하고 있다. 해외에서는 이 랜섬웨어로 인해 병원, 기업, 정부기관 업무가 마비되거나 차질을 입는 피해가 발생했다.

국내에서는 15일 월요일에 업무가 시작되면 13~14일 주말 동안 꺼져 있었던 PC가 켜지면서 랜섬웨어 피해가 빠르게 확산될 수 있어 주의가 요구된다.

한국인터넷진흥원(KISA)과 미래창조과학부는 13일 ‘워너크라이’ 랜섬웨어 공격 주의 관련 보안공지과 피해 예방법을 잇달아 내면서 공격 피해를 방지하기 위해 국내 이용자들은 최신 보안 업데이트가 필요하다고 당부했다.

‘워너크라이’ 랜섬웨어는 윈도 운영체제 SMB(Server Message Block)v2 원격코드실행 취약점 패치를 적용하지 않아 보안이 취약한 PC로 전파된다. PC 내 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화해 사용하지 못하게 만든다.

이번에 사용된 SMB 취약점은 ‘섀도브로커스(Shadow Brokers)’에서 공개한 이른바 NSA 사이버무기인 ‘이터널블루(EternalBlue)’으로 알려져 있다.

마이크로소프트(MS)는 지난 3월14일 SMB 원격코드 실행 취약점(MS17-010) 패치를 발표했다. 하지만 아직 업데이트하지 않은 전세계 PC들이 감염돼 피해에 노출되고 있다.

‘워너크라이’는 한국어를 포함해 다국적 언어를 지원한다. 암호화된 데이터를 복호화하는 대가로 300달러 가치의 비트코인을 요구한다. 3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고하고 있다.

이 랜섬웨어에 감염되면 대상 확장자를 “.WNCRY”로 변경하고, ‘@Please_Read_Me@.txt’ 랜섬노트 파일을 생성한다.

알약을 제공하는 이스트시큐리티는 블로그를 통해 “공격에 사용된 Trojan.Ransom.Wcry 랜섬웨어는 한국어를 포함해 다국적 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 대가로 300달러 가치의 비트코인을 요구한다”며 “이 랜섬웨어에 감염되면 대상 확장자를 “.WNCRY”로 변경하고, ‘@Please_Read_Me@.txt’ 랜섬노트 파일을 생성한다”고 분석했다.

기업 또는 개인은 랜섬웨어 공격으로 인한 피해를 입지 않도록 출처가 불분명한 전자우편 열람은 주의하고, 사용 중인 윈도7 이상으로 버전을 업그레이드하고 최신 보안패치를 반드시 적용해야 한다.

PC를 켜기 전에 네트워크를 단전시키고 파일 공유 기능을 해제한 뒤 네트워크를 연결해 최신 업데이트된 백신으로 악성코드 감염 검사를 먼저 시행하는 것도 방법이다.

랜섬웨어에 감염되는 등 피해가 발생한 경우엔 한국인터넷진흥원 보호나라 홈페이지(www.boho.or.kr) 또는 118상담센터(국번없이 118 또는 110)로 즉시 신고해야 한다.

KISA는 인터넷침해대응센터는 비상근무를 진행하고 있으며, 사이버침해대응 민관합동협의회, 국내·외 사이버위협 인텔리전스 네트워크 등 유관기관과 긴밀한 공조를 통해 국내 상황에 대비하고 있다.

글. 바이라인네트워크

<이유지 기자>yjlee@byline.network