Smart Working

랜섬웨어 '워너크라이(WannaCry)'로 전세계가 시끄럽다

하나모자란천사 2017. 5. 15. 13:49

'워너크라이(WannaCry)' 도대체 너란 녀석은 무엇인가? 네 녀석이 무엇이기에 오늘 너로 인하여 이렇게 시끄러운 것인가? 예전같으면 먼저 알고 관련 소식을 전하고 있을 나였지만 하는 일이 바뀌어 요즘은 시끄럽고 난 이후에 소식을 접하게 된다.


워너크라이는 랜섬웨어이다. 랜섬웨어란 PC에 저장된 파일을 암호화시키는 악성 프로그램으로 사용자의 PC에 몰래 소프트웨어를 설치하여 사용자의 컴퓨터의 모든 파일을 암호화시키고 복호화를 위해서는 키를 빌미로 돈을 요구하기 때문에 랜섬웨어라 부른다. 사용자의 파일이 암호화 될 경우 복호화를 위한 키가 없을 경우 파일이 있어도 파일을 열어볼 수 없기 때문에 PC에 저장된 데이터가 인질이 되어 어쩔 수 없이 비용을 지급해야 한다. 인질이란 의미에서 이러한 소프트웨어를 랜섬웨어라 부르게 되었다.


랜섬웨어가 알려지기 시작한 것은 5년 정도 되었다. 학교에서 강의하고 있을 때 이 녀석 얘기를 하기 시작했으니 말이다. 그런데 최근 몇 년사이 이 랜섬웨어는 악성프로그램(멀웨어)를 대표하는 주자로 급성장을 했다. 이유는 무엇일까? 사실 해커 입장에서 자신이 아주 뛰어나지 않는 이상 특정 사이트를 해킹하거나 DDoS 공격 등을 통해서 서비스를 차단하더라도 그것이 수입으로 연결이 되기 쉽지 않다. 그러나 이 랜섬웨어는 개인 또는 기업에서 필요로 하는 문서를 볼모로 하기 때문에 해커의 입장에서는 손 쉽게 돈을 벌 수 있다. 


대부분의 랜섬웨어는 기존의 악성코드를 유포하는 방식을 이용해서 사용자의 PC에 몰래 악성코드를 설치하고 사용자의 PC에 있는 파일을 몰래 암호화하고 사용자 컴퓨터의 화면에 '당신의 컴퓨터의 파일을 암호화 했으니 복호화를 위해서는 돈을 지불하라'는 메시지를 띄우는 형태이다. 


지금 핫(Hot) 한 워너크라이의 경우도 마찬가지이다. 결국 워너크라이도 랜섬웨어의 한 종류인데 지금까지와는 달리 왜 이렇게 야단법석인 것일까? 무엇 때문에 '한국인터넷 진흥원(KISA)'에서는 2017년 5월 14일자로 '대국민 행동 요령'까지 공지했을까?


먼저 '대국민 행동 요령'부터 살펴보자. <- 클릭해서 확인


 

워너크라이 왜 대비를 해야 하는가? 이유는 지난 금요일인 5월 12일부터 전세계로 급속하게 확산이 되고 있기 때문이라고 한다. 


국내를 포함한 전세계 100여개 국에서 피해가 접수되고 있으며 국내의 경우 몇 개의 기업에서 피해사례가 접수되고 있으며 국내 IP 기준으로 4,000 곳 이상이 감염이 된 것으로 확인이 되었다고 한다. 피해 접수는 주말을 보내고 업무가 시작되는 오늘부터 증가가 될 것으로 예상이 되어 한국인터넷 진흥원에서 일요일인 어제 '대국민 행동 요령'을 급하게 선포했다고 전해지고 있다.


워너크라이 피해 현황 (출처: 카스퍼스키랩스)


위 그림에서와 같이 워너크라이 랜섬웨어는 러시아 내무부, 중국 대학, 헝가리 및 스페인의 통신사업자들 그리고 영국 국립 보건 서비스가 운영하는 병원 및 클리닉과 같이 멀리 떨어져 있는 기관들에 영향을 미친 매우 전염성이 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 또한 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려지며, 지난 달 쉐도우 브로커 (The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출 된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점 공격을 통해 퍼진것으로 확인된다. 


특히 기존 랜섬웨어들이 대부분 이메일 첨부 링크, 이미지, 동영상 등을 통해 감염 됐지만 워너크라이의 경우 마이크로소프트 윈도우 SMB 원격 임의코드 실행 취약점(MS17-010) 취약점을 통해 감염되기 때문에 취약점 보안패치가 설치되어 있지 않을 경우 쉽게 감염이 될 수 있다.


나는 문제는 없을 것 같다. 다행히 워너크라이와 관련된 취약점은 2017년 2월에 확인되었고, MS의 경우 3월 정기보안 패치를 통해서 업데이트를 수행했다고 알려지고 있다. 이 말은 곧 3월 업데이트를 적용한 PC는 이 난리를 피할 수 있다는 얘기다. 나는 매월 보안패치를 실시함으로 이 상황에서 피해갈 수 있다. 아직 보안패치를 적용하지 않았다면 PC를 사용하기 전에 보안패치를 먼저 적용하기를 바란다.


생각했던 것 보다 상황이 많이 심각해서 오늘 회사의 시스템도 비상 대응을 했다. 어제까지 3곳으로 알려졌던 피해사례가 더 접수가 되고 있다고 했다. 잘 알고 있는 CGV 영화사도 피해를 당했다고 한다.


워너크라이에 감염된 CGV 영화관



사내에도 우선 그룹웨어의 공지를 통해 '워너크라이'를 알리고 개인이 조치해야할 내용을 간략하게 정리하여 알렸다. 이제는 내가 말을 하지 않더라도 후임들이 알아서 조치를 하고 있다는 사실이 기쁘다.



추가로 시스템 차원에서 보안 설정도 강화했다. 우선 인터넷 사용자들의 외부 접속 권한을 1단계씩 낮추어 외부의 모든 프로그램은 사내에서 설치가 되지 않도록 조치를 취했다. 그런 후 모든 PC에 대해 강제로 보안패치를 실시하고 안전하다고 판단이 될 경우 인터넷 접속 권한을 다시 되돌려 놓을 예정이다.



조치를 취한 후 관련 기사를 좀 더 검색을 해 보았다.







전직 보안 담당자로써 나는 매월 정기 보안패치를 실시하고 있지만 다수의 기업과 개인의 경우도 귀차니즘으로 인해 이 행위를 수행하지 않는다. 개인이 특별하게 따른 조치를 할 것도 없다. PC를 종료할 때 보안패치가 있으면 보안패치를 적용 후 에 PC가 자동으로 종료가 될 수 있도록 조금의 시간만 주어도 된다.


요즘 기업뿐 아니라 개인의 경우도 많은 자료들을 Digital화 해서 PC 또는 NAS 또는 클라우드 서비스를 이용해서 저장하기 때문에 이런 악성코드나 랜섬웨어의 위협에서 완전히 자유로울 수 없다. 


앞으로는 스마트워킹을 위해서는 기업뿐 아니라 개인도 보안에 조금 더 신경을 써야 할 시대가 도래되었다는 사실을 알려주고 싶어서 이렇게 간단하게 나마 포스팅을 정리한다.