‘워너크라이’ 랜섬웨어 감염예방법 “인터넷·파일공유 차단한 뒤 컴퓨터 켜야”

By이유지
1 댓글

“컴퓨터를 켜기 전에 먼저 인터넷 연결을 차단하고 방화벽 설정을 변경해 파일공유 기능을 해제하라.”

전세계를 강타한 랜섬웨어 ‘워너크라이(WannaCry)’ 감염 피해를 막기 위해서는 윈도 보안 업데이트가 필수적이다. 하지만 감염 우려가 있다면 컴퓨터를 부팅하기 전에 먼저 랜선을 뽑거나 와이파이(WiFi) 기능을 꺼 인터넷 연결을 차단해야 한다. 그 다음 윈도 방화벽 설정에서 감염경로가 되는 SMB 포트를 차단, 파일공유 기능을 해제한 뒤 인터넷에 연결해 윈도 보안패치와 백신 업데이트를 실시해야 한다. (보호나라 보안공지 참조)

새로운 한 주가 시작되는 월요일(15일)을 앞두고 국내에서도 ‘워너크라이’ 랜섬웨어 감염 확산 우려가 커지고 있다. 13~14일 주말 동안 꺼져 있었던 PC가 일제히 켜지면서 랜섬웨어 피해가 빠르게 확산될 수 있어 주의가 요구된다.

미래창조과학부와 한국인터넷진흥원(KISA)은 국내 피해 확산을 차단하기 위해 이같은 랜섬웨어 방지 대국민 행동요령을 내놨다.

wannacry_boho‘워너크라이’ 또는 ‘워너크립트(WannaCrypt)’, ‘워너크립터(Wanna Cryptor)’ 등으로 불리는 이 랜섬웨어는 해외에서 지난 12일부터 대거 확산돼 세계 100여개국에서 큰 피해를 입혔다.

국내에서도 14일 오후 2시30분까지 KISA에 6개 업체가 랜섬웨어 관련 문의를 했고, 이 가운데 세 곳이 정식 피해신고를 접수했다. 하지만 피해를 입었으나 신고하지 않은 기업이 많은 것으로 추정되는 상황이다.

‘워너크라이’ 랜섬웨어는 국내에서도 확산되는 추세다. 이스트시큐리티는 통합백신 ‘알약’에서 12일 942건, 13일 1167건 이상 탐지했으며, 현재까지도 지속적으로 탐지되고 있다고 밝혔다.

wannacry_alyac김준섭 이스트시큐리티 부사장은 “지난 이틀 간 알약을 통해 차단된 워너크립터 랜섬웨어 공격은 총 2000여건 수준이지만, 대부분의 기업과 기관이 휴무하는 주말인 점을 감안하면 매우 심각한 수준”이라며, “현재 보안 기업과 기관에서 확산 방지를 위해 적극적인 대응을 하고 있음에도 업무가 시작되는 월요일부터 관련 피해가 급격히 증가할 가능성이 있어 공지된 피해 확산 방지 안내를 숙지하고 피해가 없도록 사전에 대비해야 한다”고 당부했다.

‘워너크라이’ 랜섬웨어는 윈도 운영체제의 SMB(Server Message Block) 원격코드 실행 취약점(MS17-010)을 이용해 다른 컴퓨터로 전파된다.

마이크로소프트는 지난 3월14일 SMB 원격코드 실행 취약점(MS17-010) 패치를 발표했다. 하지만 아직 업데이트하지 않은 전세계 PC들이 감염돼 피해에 노출되고 있다.

wannacry_k기존 랜섬웨어는 주로 이메일 첨부파일이나 취약한 웹사이트에 방문해 내려 받는 형태로 감염됐지만 ‘워너크라이’는 윈도 업데이트를 하지 않은 경우 인터넷에 연결만 돼 있다면 취약한 사용자 PC나 서버를 찾아내 감염을 시도한다.

악성코드가 스스로 자기복제를 해 다른 시스템까지 감염시키는 네트워크 웜(Worm)의 특성을 포함하고 있어 위협 강도가 높다. 전세계에서 단시간에 대규모로 확산된 이유도 사용자 활동과 관계없이 기업 네트워크 내에서 스스로 확산될 수 있는 능력을 가지고 있기 때문으로 분석됐다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “워너크라이는 랜섬웨어와 웜이 결합된 형태로, 웜의 경우 패치돼 있지 않으면 원격으로 자동 감염될 가능성이 크기 때문에 더욱 위험도가 높은 랜섬웨어”라며, “향후 랜섬웨어와 웜이 결함된 형태의 공격이 늘어날 가능성이 많기 때문에 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다”고 강조했다.

윤 CTO는 이어 “이메일을 통한 랜섬웨어 공격이 증가하고 있기 때문에 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다”고 당부했다.

‘워너크라이’ 랜섬웨어는 데이터 파일을 암호화하고 사용자에게 300달러에서 600달러의 몸값을 비트코인으로 지불하도록 요구한다. 3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고하고 있다. 이 랜섬웨어는 PC 내 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화해 사용하지 못하게 만든다. 한국어를 포함해 다국적 언어를 지원한다.

사용자는 랜섬웨어에 감염되는 피해가 발생한 경우, KISA 보호나라 홈페이지(www.boho.or.kr) 또는 118상담센터(국번없이 118 또는 110)로 즉시 신고해야 한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

첫 댓글

  1. 핑백: 청와대부터 민간업체까지, 랜섬웨어 확산 방지 총력전 | BYLINE NETWORK

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다