[아이티비즈] 5월 12일 대규모 랜섬웨어 공격이 전 세계적으로 행해지고 있는 가운데, 국내에서도 대규모 피해가 우려되고 있는 워너크라이(WCry) 랜섬웨어에 대한 대비책이 필요하게 됐다.
국내 보안전문가에 따르며, "이번 '워너크라이' 랜섬웨어의 피해를 최소화하기 위해서는 사용 중인 윈도우 OS와 백신 등을 최신으로 유지해야한다"고 밝혔다.
이에 보안 업체에서는 워너크라이(WCry) 랜섬웨어에 대한 대비책을 제시하고 있다.
◇ 포티넷코리아, 랜섬웨어 예방조치ㆍ감염 시 조치법 제시
포티넷코리아(지사장 조현제)가 워너크라이 랜섬웨어에 대한 대비책을 제시했다.
랜섬웨어는 가정 사용자에서부터 의료 시스템, 기업 네트워크에 이르기까지 모든 컴퓨터 사용자들을 대상으로 가장 빠르게 성장하는 멀웨어 위협이 되었다. 추적 분석에 따르면, 2016 년 1 월 1 일 이후로 평균 4,000 건 이상의 랜섬웨어 공격이 매일 발생했다.
포티넷의 연구기관인 포티가드 랩에서는 5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신사업자들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히, 24 개 이상의 언어로 금전을 요구하는 점이 특징이다.
지난 4월 14일, 포티넷이 발표한 ‘글로벌 보안 위협 전망 보고서’에 의하면, 글로벌 보안위협은 지역별 그룹에 따라 약간의 차이는 있으나, 전반적인 패턴이나 흐름은 거의 비슷하다는 사실을 밝혀냈다. 한 지역에서 유달리 출현율이 높은 봇넷은 다른 지역에서도 비슷한 수준으로 분포되어 있다.
포티넷은 포티넷 제품을 사용 중인 고객의 시스템 보호를 위하여 즉시 AV와 IPS 시그니처를 업데이트 및 배포하여 이를 차단하였고, 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해서 포티넷 웹 필터링(Fortinet Web filtering) 서비스에서 해당 랜섬웨어에 대한 명령 및 제어 서버(command-and-control servers)와의 통신을 차단했다.
이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려진다. 지난 달, 쉐도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격하여 확산되기 시작했다. ETERNALBLUE는 마이크로소프트(Microsoft) SMBv1(Server Message Block 1.0) 프로토콜의 취약점을 악용한다.
▲Windows Vista ▲Windows Server 2008 ▲Windows 7 ▲Windows Server 2008 R2 ▲Windows 8.1 ▲Windows Server 2012 and Windows Server 2012 R2 ▲Windows RT 8.1 ▲Windows 10
• Windows Server 2016 ▲Windows Server Core installation option 등의 마이크로소프트(Microsoft) 제품이 영향을 받는다.
① 사용 중인 모든 윈도우 시스템에 마이크로소프트(Microsoft) 최신 패치를 적용 ② 멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering) 및 AV 검사 엔진(AV inspection engine)을 활성화시켜 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단 ③ 그룹 정책을 이용하여 WNCRY 확장자의 실행을 차단 ④ UDP 137/138, TCP 139/445 통신을 격리 등과 같은 실행이 필요하다.
그리고 예방 조치는 ① 사용 중인 모든 기기들의 OS, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정한다. 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련 ② 방화벽에서 IPS, AV, 웹 필터(Web Filter)를 활성화시키고 최신 버전으로 유지해 ③ 주기적으로 백업을 수행해야 한다. 백업된 정보들은 무결성을 검증, 암호화하여 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인 ④ 모든 송수신 되는 이메일을 스캔하여 보안 위협이나 실행파일들이 사용자들에 전달되는지 확인 ⑤ 안티-바이러스(anti-virus) 및 안티-멀웨어(anti-malware) 프로그램이 주기적으로 자동 실행되도록 설정 ⑥ 이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화해야 하고, 첨부된 오피스 파일들은 뷰어를 통해 확인 ⑦ 보안침해에 대한 업무대응전략을 수립하고 업무 보안취약점에 대한 정기적인 평가를 수행 등을 권고한다.
또한 랜섬웨어에 감염된 경우, ① 추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리하여 격리 ② 네트워크 전체가 감염된 경우, 즉시 모든 디바이스를 네트워크로부터 분리 ③ 완전히 망가지지 않은 감염된 디바이스는 전원을 끈고, 이를 통해 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지 ④ 사용자 PC에서 감염이 감지된 경우, 이에 대한 백업시스템은 즉시 네트워크에서 분리하고 백업된 자료가 감염되었는지 확인 ⑤ 랜섬웨어 감염을 알리고 지원을 받기 위해 즉시 법무팀과 같은 법률관련 부서와 논의 등과 같은 조치를 권고한다.
포티넷코리아의 조현제 대표는 “고객 시스템의 보안은 포티넷에게 무엇보다도 가장 중요하다. 포티넷은 악성 행동에 대응하기 위해 상황을 적극적으로 모니터링하고 있으며, 새로운 사항이 발견되는 즉시 업데이트하여 피해를 최소화하고 적절한 예방 조치가 이뤄질 수 있도록 하겠다”고 말했다.
◇ 카스퍼스키랩, 랜섬웨어 감염 위협 줄이는 방법 발표
카스퍼스키랩 연구원들은 전 세계 74개국에서 최소 4만5,000건의 감염 시도를 탐지했으며 대부분은 러시아에서 이루어졌다. 랜섬웨어는 마이크로소프트 취약점을 이용하여 감염 공격했다. 이 공격은 4월14일 Shadowbroker 덤프에서 공개된 'Eternal Blue'를 이용했다.
이 공격이 시스템 안으로 침투하게 되면 공격자는 루트킷을 설치해 데이터 암호화 소프트웨어를 다운로드 하도록 한 후 파일을 암호화한다. 처음에는 비트코인으로 600달러를 요구하며 시간이 갈수록 가격을 올린다.
카스퍼스키랩 전문가들은 현재 암호화된 데이터의 복호화 가능성에 대해 조사하고 있다. 카스퍼스키랩 보안 제품은 이 공격에 사용된 악성코드를 다음과 같이 탐지하고 있다
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- Trojan.Win32.Generic (시스템 감시기가 반드시 작동 중이어야 한다)
감염 위협을 줄이기 위해선, ▲마이크로소프트의 공식패치 를 설치하여 이 공격에 이용된 취약점을 제거 ▲네트워크의 모든 노드의 보안 솔루션이 작동 중인지 확인 ▲만약 카스퍼스키랩의 솔루션을 사용중인 경우에는, 시스템 감시기를 포함하여 행동기반 사전 방역 기능이 작동 중인지 확인 ▲카스퍼스키랩 솔루션에서 중요영역 검사 등을 즉시 시행하여 감염 위협을 탐지 ▲MEM: Trojan.Win64.EquationDrug.gen이 탐지된 경우에는 시스템을 재부팅 등과 같은 조치를 취할 것을 권장한다.
한편, 안랩은 현재 V3 제품군과 MDS 제품에서 해당 랜섬웨어의 진단ㆍ제거 기능을 제공하고 있다. 따라서 V3 제품군을 ‘실시간 검사 기능’과 ‘엔진 자동 업데이트 적용’ 상태로 사용하길 권장하고 있다. 또한 윈도우 최신 보안 패치 적용을 권고하고 있다.
