`보호나라` 윈도우즈 SMB 취약점 경고, 국내 IP 4,000여개 감염

감염과 함께 공격에 악용

보호나라는 13일 홈페이지 공지에 'SMB 취약점을 악용한 랜섬웨어 피해 확산 방지를 위한 사용자 예방 방법'을 알렸습니다. 공지글에는 최근 윈도우즈의 `SMB 취약점`을 악용한 랜섬웨어 확산에 따라 피해 예방을 위한 사용자의 적극적인 대처를 요구했습니다.

랜섬웨어는 윈도우즈가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 웜 형태로 윈도우 즈 운영체제의 SMB 취약점을 이용하는 것으로 알려졌다. PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔해 확산시키고, 감염과 동시에 공격에 악용됩니다.

보호나라는 PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능을 해제하고 네트워크 연결 후 백신 최신 업데이트 적용 및 악성코드 감염 여부 검사를 예방 방법으로 제시했으며 또한 윈도우즈 또는 서버에 대한 최신 보안 업데이트를 해야 한다고 강조하는 한편 "기타 문의사항은 한국인터넷진흥원 인터넷침해대응센터로 전화하면 된다"며 "국번없이 118"이라고 전했습니다.

알약 통해서만 랜섬웨어 2천 건 이상 탐지

전 세계 강타한 랜섬웨어 공격, 한국도 안전하지 않다

통합 보안 기업 이스트 시큐리티는 이번 주말을 기점으로 전 세계적으로 확산되고 있는 워너크라이, 워너크립터(WannaCry, Wanna Cryptor) 랜섬웨어가 국내에도 급속히 유포되고 있다고 14일 밝혔습니다.

전 세계를 강타하고 있는 워너크립터 랜섬웨어는 윈도우즈 운영체제(OS)의 SMB 취약점을 활용한 공격 방식을 사용하며, 기존의 랜섬웨어와는 다르게 첨부 파일을 열지 않더라도 인터넷에 연결만 되어 있다면 사용자 PC나 서버를 감염시킬 수 있어 위협의 강도가 한층 높은 단계입니다.

특히, 워너크립터 랜섬웨어는 악성코드가 스스로 자기 복제를 해 다른 시스템까지 감염시키는 네트워크 웜(Worm)의 특성도 가지고 있어, 감염될 경우 인터넷에 연결되어있고 보안에 취약한 PC를 무작위로 찾아내 감염 공격을 시도합니다.

주요 외신에 따르면 이 랜섬웨어는 공격이 시작된 이번 주말에만 100여 개 국가 7만 5,000대 이상의 PC를 감염시킨 것으로 집계되고 있고, 이로 인해 유럽과 아시아의 주요 대기업, 대학교, 병원 등의 전산 네트워크가 마비되는 초유의 피해가 속속 보고되고 있는 중입니다.

이스트 시큐리티 대응센터는 “이번 워너크립터 랜섬웨어는 감염시 나타나는 비트코인 결제 유도 화면에서 한글로 된 안내문을 사용하는 등 한국도 주요 공격 대상에 포함되어 있다”며, “기업뿐만 아니라 일반 사용자에게도 무차별적으로 확산되고 있기 때문에, PC에 저장된 중요 자료를 외부 저장 장치에 복사해 두는 등 랜섬웨어에 감염될 경우를 위한 대비를 시급히 진행해야 한다”고 권고했습니다.

이번 워너크립터 랜섬웨어 공격은 이스트시큐리티의 통합 백신 알약(ALYac)에서만 12일 942건, 13일 1,167건 이상 탐지하였고, 오늘 현재도 지속적으로 공격이 탐지되고 있는 등 국내에도 관련 보안 위협이 급속히 확산되고 있는 것으로 확인되었습니다.

이스트 시큐리티측은 “지난 이틀간 알약을 통해서 차단된 워너크립터 랜섬웨어 공격은 총 2천여 건 수준이지만, 대부분의 기업과 기관이 휴무하는 주말인 점을 감안하면 매우 심각한 수준으로 볼 수 있다”며, “현재 보안 기업과 기관에서 확산 방지를 위해 적극적인 대응을 하고 있음에도 불구하고 업무가 시작되는 월요일부터 관련 피해가 급격히 증가할 가능성이 있기 때문에, 한국인터넷진흥원(이하 KISA) 보호나라 사이트에 공지된 피해 확산 방지 안내를 숙지하고 피해가 없도록 사전에 대비해야 한다”고 당부했습니다.

KISA가 운영하는 보안 전문 사이트 보호나라 (http://www.boho.or.kr)에서는 이번 랜섬웨어의 감염 피해 예방을 위해 ▲PC 네트워크를 차단 후 파일 공유 기능을 해제하고 ▲백신과 윈도 최신 보안 업데이트 진행과 ▲악성코드 검사를 수행할 것을 권고하고 있습니다.

통합 백신 알약은 긴급 보안 업데이트를 통해 워너크립터 랜섬웨어를 탐지명 `Trojan.Ransom.WannaCryptor`으로 탐지 후 차단하고 있으며, 행위기반 차단 기능을 통해 유사 변종 랜섬웨어가 유포될 경우도 대비해 줍니다.

또한, 이스트시큐리티는 이번 랜섬웨어의 확산과 피해 방지를 위해 KISA 인텔리전스 네트워크를 통한 24시간 실시간 정보 공유 시스템을 가동하는 등 긴밀한 보안 대응 공조를 진행하고 있습니다. 워너크립터 랜섬웨어와 관련된 상세한 내용은 알약 블로그 포스팅(http://blog.alyac.co.kr/1093)에서 확인할 수 있습니다.

랜섬웨어 피해 기업 2곳 → 4곳.. 국내 IP 4,000여개 감염

세계 각국에 확산 중인 워너크라이(WannaCry) 랜섬웨어 피해 신고를 한 국내 기업이 4곳으로 늘었고, 15일 본격적인 출근이 시작되면 감염 피해는 더 늘어날 수 있다는 전망입니다. 14일 한국인터넷진흥원(KISA)에 따르면 전날부터 이날 오후 6시 20분까지 국내 기업 7곳이 관련 문의를 해왔고, 이 가운데 4곳은 정식으로 피해 신고를 하고, 기술지원을 받기로 했습니다.

이날 오전까지 신고 기업은 두 곳이었지만, 오후 들어 두 곳이 늘었는데 이와 별도로 민간 보안업체와 데이터 복구업체 등을 통해 접수되는 피해 사례도 상당한 것으로 파악됩니다. 해외에 지사나 본사를 둔 국내 기업과 네트워크와 연결된 결제단말기와 광고판 등을 사용하는 상가들이 주요 타깃이 되고 있습니다. 보안업계에 따르면 랜섬웨어에 감염된 국내 IP(인터넷주소)는 4천여개로 알려졌습니다.

랜섬웨어는 중요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성 프로그램이다. 감염된 IP로 접속하면 중요파일이 암호화되는 피해를 볼 수 있습니다. 보안업체 이스트 시큐리티의 통합 백신 ‘알약’이 탐지한 공격 건수도 12일 942건, 13일 1천167건으로 이틀간 2천 건을 넘었습니다.

대부분의 기업과 공공기관이 근무를 시작하는 월요일(15일)에는 피해 기업이 늘것으로 우려됩니다. 이에 따라 미래과학부는 이날 오후 6시를 기해 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 한 단계 올렸습니다. 보안업계 관계자는 “워너크립트 변종이 계속해서 나오고 있어 보안 패치를 최신버전으로 업데이트하는 것이 중요하다”며 신속한 업데이트를 당부했습니다.