당신은 주제를 찾고 있습니까 “워너 크라이 랜섬 웨어 – 워너크라이(WannaCry)에 걸려 보았습니다. WNCRY [초다]“? 다음 카테고리의 웹사이트 https://you.aodaithanhmai.com.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://you.aodaithanhmai.com.vn/blog/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 choda100 이(가) 작성한 기사에는 조회수 13,799회 및 좋아요 198개 개의 좋아요가 있습니다.
Table of Contents
워너 크라이 랜섬 웨어 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 워너크라이(WannaCry)에 걸려 보았습니다. WNCRY [초다] – 워너 크라이 랜섬 웨어 주제에 대한 세부정보를 참조하세요
00:00 시작
00:18 웁스! 당신의 중요한 파일
03:15 알약 치료
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Track: Unknown Brain \u0026 Hoober – Phenomenon (ft. Dax \u0026 VinDon) [NCS Release]Music provided by NoCopyrightSounds.
Watch: https://youtu.be/LO9vChXMBp8
Free Download / Stream: http://ncs.io/Phenomenon
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
워너 크라이 랜섬 웨어 주제에 대한 자세한 내용은 여기를 참조하세요.
워너크라이 – 나무위키
Microsoft Windows를 사용하는 컴퓨터를 대상으로 하는 랜섬웨어. Wannacrypt라고도 불린다. 2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 …
Source: namu.wiki
Date Published: 5/5/2021
View: 5965
워너크라이 – 위키백과, 우리 모두의 백과사전
워너크라이(WannaCry) 또는 워너크립트(WannaCrypt), WanaCrypt0r 2.0는 2017년 5월 12일부터 등장한 랜섬웨어 멀웨어 툴이다. 2017년 5월 12일부터 대규모 사이버 …
Source: ko.wikipedia.org
Date Published: 1/25/2021
View: 9013
워너크라이는 어떤 원리로 작동하며, 아직도 위협적인가요?
워너크라이 랜섬웨어 (wannacry ransomware)는 지난 2017년 전 세계적으로 막대한 피해를 입히면서 나타난 사이버 공격입니다. 워너크라이의 파괴력에 …
Source: nordvpn.com
Date Published: 3/19/2021
View: 2628
[주말판] 워너크라이 랜섬웨어 사태 5주년을 기념하며 – 보안뉴스
워너크라이(WannaCry)라는 랜섬웨어가 갑자기 등장하여 세상을 경악시킨 것이 벌써 5년 전의 일이다. 그 동안 랜섬웨어 산업은 천지개벽 수준으로 …
Source: www.boannews.com
Date Published: 10/27/2022
View: 5125
전세계로 확산되는 워너크라이(WannaCry)/워너크립터 …
워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어란? 2017년 5월 12일부터 Windows SMB 취약점을 악용한 유포되기 시작한 랜섬웨어입니다. 해당 …
Source: blog.alyac.co.kr
Date Published: 2/23/2021
View: 2655
보고서 | 자료실 – KISA 인터넷 보호나라&KrCERT
[3장] 워너크라이 상세분석. 1. 구성요소. 2. 동작원리. 3. SMB 취약점(CVE-2017-0144) 분석. [4장] 해커그룹 연관성. 1. 해외 보안업체 동향.Source: www.krcert.or.kr
Date Published: 5/30/2021
View: 4452
랜섬웨어 ‘워너크라이(WannaCry)’ 악성코드 분석 보고서
유럽과 아시아 100여개국에서는 지난 12일부터 ‘워너크라이'(WannaCry)란 별명이 붙은 랜섬웨어를 이용한 사이버공격이 진행 중이며, 국내에서도 피해 …
Source: m.blog.naver.com
Date Published: 4/27/2022
View: 396
랜섬웨어 워너크라이, ‘우연한 발견’ 덕에 전파 중단 – 중앙일보
세계 각국의 컴퓨터 12만대 이상을 감염시킨 랜섬웨어 ‘워너크라이(WannaCry)’의 확산이 한 보안 전문가의 우연한 발견으로 중단됐다.
Source: www.joongang.co.kr
Date Published: 2/28/2022
View: 5115
[D데이] 2017.05.12. 전 세계를 충격에 빠트린 워너크라이 사태
워너크라이는 컴퓨터 내 파일을 모두 암호화시킨 뒤 그에 대한 몸값을 요구하는 방식의 랜섬웨어입니다. 통상 랜섬웨어의 경우 이메일 등을 통해 악성파일 …
Source: m.ddaily.co.kr
Date Published: 3/17/2022
View: 2637
북한 “2017년 워너크라이 사건 경악스러운 범죄” – NK경제
북한 2017년 발생한 워너크라이 랜섬웨어(북한 표현 랜썸웨어) 사건에 대해 세계를 혼란에 빠트린 경악스러운 범죄라고 주장했다.10월 4일 대북 …
Source: www.nkeconomy.com
Date Published: 4/28/2022
View: 169
주제와 관련된 이미지 워너 크라이 랜섬 웨어
주제와 관련된 더 많은 사진을 참조하십시오 워너크라이(WannaCry)에 걸려 보았습니다. WNCRY [초다]. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
![워너크라이(WannaCry)에 걸려 보았습니다. WNCRY [초다]](https://i.ytimg.com/vi/6dLvoz2pI4A/maxresdefault.jpg)
주제에 대한 기사 평가 워너 크라이 랜섬 웨어
- Author: choda100
- Views: 조회수 13,799회
- Likes: 좋아요 198개
- Date Published: 2021. 5. 3.
- Video Url link: https://www.youtube.com/watch?v=6dLvoz2pI4A
namu.wikiContáctenosTérminos de usoOperado por umanle S.R.L.Hecho con <3 en Asunción, República del Paraguay Su zona horaria es GMTImpulsado por the seed engine This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply. This site is protected by hCaptcha and its Privacy Policy and Terms of Service apply.
위키백과, 우리 모두의 백과사전
[1] 초기에 영향을 받은 국가들워너크라이(WannaCry) 또는 워너크립트(WannaCrypt)[2], WanaCrypt0r 2.0는 2017년 5월 12일부터 등장한 랜섬웨어 멀웨어 툴이다. 2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포되었으며, 전세계 99개국의 컴퓨터 12만대 이상을 감염시켰다.[3][4] 감염된 컴퓨터로는 20개의 언어로 비트코인을 지급하면 풀어주겠다는 메시지를 띄웠다.
워너크라이 사이버 공격으로 스페인의 텔레포니카와 영국의 국민 건강 서비스(NHS),[5] 페덱스, 도이체반 등의 대기업이 피해를 보았다.[6][7][8] 이와 동시에 다른 99개국에서도 수많은 컴퓨터가 공격 대상이 되었다고 보도되었다.[9][10] 러시아 내무부, 러시아 방위부, 러시아 통신사 메가폰 역시 감염 피해를 보았다.[11] 대략 23만대의 컴퓨터가 이 랜섬웨어에 감염되어 피해를 입은 것으로 추정된다.[12]
이러한 공격의 규모 때문에 마이크로소프트는 윈도우 XP 이상의 오래된 미지원 운영 체제에 대한 업데이트를 제공하는 이례적 조치를 취했다.[2][13]
카스퍼스키와 몇몇 사이버 전문가들은 워너크라이의 배후가 북한일 것으로 추정하고 있다.[14]
배경 [ 편집 ]
특징 [ 편집 ]
워너크라이 랜섬웨어는 2017년 4월 14일 더 섀도 브로커스라는 해커 그룹이 공개한[15][16] 이터널블루라는 마이크로소프트 윈도우의 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용한 것으로, 이메일 첨부파일을 통해 유포되는 일반적인 랜섬웨어와 달리 인터넷 네트워크에 접속만 해도 감염된다. 워너크라이는 문서 파일, 압축 파일, 데이터베이스 파일, 가상머신 파일 등 다양한 파일을 암호화하며, 한국어를 비롯한 28개의 다국적 언어를 지원한다.[17][18] 또한 암호화된 파일을 푸는 대가로 300∼600달러의 비트코인을 요구하는 메시지를 띄운다.[3] 이 랜섬웨어의 감염은 2017년 3월 14일 마이크로소프트에서 배포했던 MS17-010 취약점[19]의 패치를 통해 예방 가능하다.
PC가 워너크라이에 감염되면 ‘Wana Decrypt0r 2.0’이라는 이름의 창이 뜬다. 감염창에는 상황 설명, 복구 방법, 금전 지급 방법, 비트코인을 보내는 주소가 함께 표시되며, 지불 기한과 파일을 잃게 되는 기한도 함께 표시된다.[18] 감염된 파일명에는 ‘.WNCRY’가 붙어, ‘파일명.jpg.WNCRY’와 같은 식으로 파일명을 변경해 암호화한다.[18] 만약 보안 프로그램이 워너크라이 랜섬웨어를 지우게 되면 배경화면이 검은색 창으로 바뀌며, 워너크라이를 다시 가동하라는 경고문이 뜨게 된다.[18]
본 랜섬웨어는 특히 Windows XP 와 7 버전이 취약점을 가지고 있다고 알려져 있으며 상위 버전은 평소에 윈도우 업데이트와 백신의 주기적 업데이트 등으로 예방할 수 있다고 한다.
킬 스위치 [ 편집 ]
대규모 공격 이틀째인 5월 13일, 트위터 계정으로 ‘@malwaretechblog’라는 이름의 사이버보안 전문가가 미국 보안 업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 워너크라이 랜섬웨어의 킬 스위치를 발견했다. 워너크라이 랜섬웨어의 악성 코드를 분석한 결과 이 코드가 특정 도메인에 접속을 시도하며, 이 도메인은 등록돼 있지 않아 활성화되어 있지 않은 점을 발견했다.[20]
여기에 주목한 전문가는 10.69달러을 등록비로 내고 도메인을 등록해 활성화한 후, 미국 로스앤젤레스에 있는 서버가 이 도메인 이름을 쓰도록 했다. 정보 분석 결과 워너크라이 랜섬웨어는 만약 도메인 주소가 활성화돼 있지 않으면 확산 활동을 계속하고, 도메인 주소가 활성화돼 있으면 스스로 전파를 중단하는 것으로 나타났다. 실제로도 도메인 이름이 활성화된 후부터 워너크라이 랜섬웨어는 스스로 전파를 중단하기 시작했다. 때문에 워너크라이 랜섬웨어 제작자는 원하는 경우 확산을 중단할 수 있도록 도메인 이름으로 된 킬 스위치를 넣어 악성코드를 설계한 것으로 추정되었다.[20]
도메인 이름을 등록한 보안 전문가는 《데일리 비스트》와의 인터뷰에서 “(도메인 이름이) 등록돼 있지 않은 것을 보고 ‘내가 등록해야겠다’는 생각을 했다”며 등록하자마자 “즉각 초당 5000∼6000건의 접속이 이뤄지는 것을 봤다”고 설명했다. 또 “도메인 이름을 등록할 당시에는 이렇게 하면 확산이 중단될 것이라는 사실을 몰랐고, 그런 면에서는 우연히 발견한 것이라고 할 수 있다”고 설명했다.[20]
변종의 발생 [ 편집 ]
위의 사이버보안 전문가의 킬 스위치 발견으로 인하여 감염자의 증가는 잠시 멈췄으나 확산을 잠시 멈춘 것일 뿐이였으며 워너크라이 2.0의 등장으로 “킬 스위치”가 없는 변종이 발생하였다.[21]
피해 [ 편집 ]
감염 사례는 모든 대륙에서 발견됐으며, 러시아, 영국과 유럽 국가, 인도, 미국, 대만 등에 특히 집중되었다. 대한민국과 일본, 중국 등에서도 사례가 여럿 발견됐다.[3]
영국의 국민 건강 서비스(NHS) 산하 40여개 병원의 PC가 이번 랜섬웨어 공격으로 진료에 차질을 빚었다. 랜섬웨어에 걸린 병원들은 시스템을 보호하기 위한 조치로 현재 모든 서비스를 중단한 상태인 것으로 전해지고 있다.[22] 러시아 경찰을 관할하는 러시아 내무부에서 적어도 1,000대의 컴퓨터가 감염됐으며, 러시아의 대형 이동통신사 메가폰도 공격을 받았다.[3]
대한민국에서는 15일 기준으로 다섯 곳의 기업이 한국인터넷진흥원에 정식 피해 신고를 하고 기술지원을 받았다. CJ의 CGV도 랜섬웨어 공격을 받아, 수십 개의 상영관을 통제하는 광고망에 랜섬웨어가 침투하는 피해가 발생했다. 정부나 공공기관의 피해는 아직 없는 것으로 확인됐다. 그밖에 버스 정류장 단말기나, 개인 PC방과 식당 등 소규모 상가에서도 피해 사례가 확인되었다.[23]
피해 기관 목록 [ 편집 ]
대응 [ 편집 ]
예방법 [ 편집 ]
대한민국 미래창조과학부와 한국인터넷진흥원(KISA) 등이 랜섬웨어 예방 사이트 보호나라를 통해 공개한 워너크라이 예방 대국민 행동 요령은 총 3단계로 나뉜다.[48]
PC를 켜기 전에 인터넷 연결 랜선을 뽑거나 무선 와이파이를 꺼서 인터넷 연결을 차단한다. PC 전원을 켜서 윈도우 방화벽의 설정을 변경해 악성코드가 유포되는 네트워크 포트를 차단한다. 인터넷을 재연결한 뒤, 문제가 된 보안 취약점을 해결하기 위해 윈도우 운영체제를 업데이트하고, 백신도 최신 버전으로 업데이트할 필요가 있다.
인터넷 연결을 차단한 뒤 가장 필요한 단계는 두번째 단계로, 방화벽 설정을 변경하는 일이다. 공격이 들어올 가능성이 있는 SMB 포트 (137-139, 445 포트)를 차단해야하는 방식이다. 제어판의 ‘시스템 및 보안’에서 윈도우 방화벽의 고급 설정에 들어가고, 인바운드 규칙을 클릭해 새 규칙을 만든다. 규칙 방식은 포트로 설정한 다음, TCP와 특정 로컬 포트를 체크하고 입력란에 137, 138, 139, 445를 입력한다. 도메인, 개인, 공용 체크를 확인한 뒤 이름을 설정하면 차단이 완료된다.[48]
윈도우즈 7의 경우 업데이트가 매우 느려지는 오류가 있을 수 있는데 이러한 경우 별도로 파일을 저장 받아 실행하면 설치할 수 있다. (시스템 업데이트 준비도구 Archived 2017년 1월 5일 – 웨이백 머신)
국가적 대응 [ 편집 ]
윤영찬 대통령비서실 국민소통수석은 5월 15일 청와대 춘추관에서 기자회견을 열고 “랜섬웨어 국내 피해는 9건이나, 15일부터 확산이 우려된다”고 밝혔다. 또 “국정원은 14일 18시경 국가사이버 위기경보를 ‘관심’에서 ‘주의’로 상향조정했다”며 “이와 함께 공공기관 대상 방화벽 보안강화 등의 조치를 취했다”고 밝혔다. 대한민국 미래창조과학부와 한국인터넷진흥원은 랜섬웨어 샘플 48종을 확보해 초동 분석을 실시하고, 대국민 행동요령을 배포했다.[49]
테리사 메이 영국 총리는 랜섬웨어에 대해 “이번 공격은 국가건강서비스를 목표로 한 것이 아니다. 전세계적인 공격이다. 수많은 국가와 기관이 영향을 받았다”고 밝혔다.[50] 하지만 보안 전문가들은 이번 해킹의 영국 피해는 집권당인 보수당이 정부의 긴축 정책에 따라 국가건강서비스의 예산을 삭감시키면서, 보안에 취약해 피해를 악화시켰다고 지적하고 있다. 영국 보건부가 오래된 윈도우 XP 시스템을 사이버 공격으로부터 보호하기 위해 마이크로소프트 측에 추가 예산을 지급해 급한 불을 끈 것이 오히려 큰 화를 불렀다는 것이다.[22][51] 앰버 러드 내무장관은 환자의 데이터가 백업되었는지 여부에 대해서 답변을 거부했고, 존 애슈워스 야당 보건장관은 제러미 헌트 보건장관이 국가 사이버 보안 센터와 국가범죄국은 물론 두 달 전 마이크로소프트로부터 지적을 받았는데도 대응을 거부한 점에 대해 고발했다.[52]
각주 [ 편집 ]
워너크라이는 어떤 원리로 작동하며, 아직도 위협적인가요?
워너 크라이 랜섬 웨어 공격이란 무엇인가요?
이 글을 읽고 계신 여러분은 모두 워너크라이 랜섬웨어 공격(wannacry attack)에 대해서 들어본 적이 있으실 겁니다. 워너크라이 랜섬웨어가 수많은 사이버 공격 중에서도 가장 악명 높으면서도 엄청난 파괴력을 강타했기 때문입니다.
워너크라이 랜섬웨어(wannacry ransomware)는 2017년 5월 12일부터 배포되기 시작하여, 당시 미국, 영국, 러시아 등 150여 개국 내 30만대의 PC를 감염시키며 전 세계 병원, 은행, 기업 등의 컴퓨터 네트워크를 마비시켰습니다. 해커들은 윈도우 OS의 취약점을 공략하여 중요한 파일을 암호화한 후에 파일 복구를 조건으로 비트코인을 요구하는 수법을 악용하였습니다.
당시 워너크라이 랜섬웨어는 영국 공립병원, 프랑스 자동차 제조사 르노, 스페인 통신업체 텔레포니카, 닛산 등의 PC를 마비시켰습니다. 이에 영국에서는 수술이 미뤄지고, 공장이 가동 중단되는 등 전 세계적으로 막대한 피해를 입혔고 경제적 피해도 상당했습니다. 한 조사 기관에 따르면, 워너크라이 랜섬웨어로 인한 피해 규모가 약 40억 달러 내지 80억 달러에 이른다고 합니다.
이때 워너크라이의 무자비한 공격을 막아낸 것은 한 영국 청년이었습니다. 이 청년은 ‘멀웨어테크(MalwareTech)’라는 닉네임으로 알려졌지만, 나중에 ‘마커스 허친스’라는 IT 전문가로 신원이 밝혀졌습니다. 허친스는 워너크라이 랜섬웨어(wannacry ransomware)를 막는 킬 스위치를 발견하고 활성화하여 워너크라이의 추가 확산을 막아냈습니다.
워너 크라이 랜섬 웨어, 과연 누구의 소행인가요?
워너 크라이 랜섬 웨어가 정확히 누구의 소행인지 공식적으로 밝혀진 바 없지만, 2017년 말 토머스 보서트 백악관 국토 안보 보좌관은 백악관 기자회견을 통해 워너크라이 공격이 북한의 소행이라는 증거를 확보했다고 발표했습니다. 이에 덧붙여, 영국, 호주, 캐나다, 일본 등의 파트너 국가들에서도 북한의 소행이라는 결론에 동의하였다고 밝혔습니다.
2017년 5월, 미국 보안업체 시만텍 또한 북한과 연계된 조직인 라자루스 그룹에서 워너크라이 랜섬웨어를 만들었을 수도 있다는 분석을 내놓았습니다. 이에 북한 당국은 ‘모략 날조 소동’이라고 반발하였습니다.
워너크라이 (Wannacry) 랜섬웨어는 어떤 식으로 확산되나요?
워너크라이 (Wannacry)는 피해자 데이터를 암호화하여 데이터를 인질로 잡아서 몸값(ransom)을 요구합니다. 해커들은 피해자에게 위의 스크린샷과 같은 메시지를 화면에 띄우며 데이터 복구를 위해서 비트코인 결제를 유도했습니다.
피해자들은 3일 이내로 해커에게 비트코인을 제공하면 파일의 암호화 해독할 수 있는 해독 키를 받을 수 있지만 3일이 지났으면 파일을 영구적으로 복구할 수 게 되였다. 해커들은 워너크라이 사이버 공격을 통해 성공적으로 약 300~600달러 상당의 비트코인을 요구했습니다.
위에서 설명했듯이 워너크라이 랜섬웨어는 윈도우 OS의 취약점을 악용하여 만들어진 랜섬웨어입니다. 이 취약점들은 원래 미국 국토안보부 (NSA)에서 개바한 이터널 블루 (EternalBlue)라는 해킹 툴에서 착취해서 악의적으로 생성되었습니다.
미국 국토안보부는 전 세계를 상대로 도청하기 위한 목적으로 이터널 블루를 개발하였는데, 이터널 블루를 다루던 관계자들도 이터널 블루가 얼마나 강력한지 혀를 내두를 정도였다고 합니다. 하지만, 미국 국토안보부는 윈도우 OS의 취약점을 알고도 끝내 마이크로소프트에 알리지 않고 비밀에 부쳤습니다. 그리고 이렇게 미국 국토안보부에서 개발한 이터널 블루는 ‘섀도 브로커스(ShadowBrokers)’라는 해커 집단에 의해 유출되었습니다.
또한 해커들은 더블펄사 (DoublePulsar)를 악용하여 워너크라이 랜섬웨어를 확산시켰습니다. 이터널 블루를 통해 백도어 멀웨어인 더블펄사를 주입하여, 더블펄사가 워너크라이 페이로드로 시스템을 감염시키도록 하였습니다. 워너크라이가 피해자의 컴퓨터에 주입되면, 이 워너크라이가 악성 응용 프로그램 구성 요소(예: 앱 암호화 및 데이터, 암호화 키가 있는 파일의 암호화 해제)를 추출하는 방식입니다.
워너크라이가 시스템에 침투하면, 멀웨어 확산을 멈추는 킬 스위치 도메인 이름이 있는지 먼저 확인합니다. 못 찾는 경우에는 시스템에 있는 가장 중요한 파일 형식들은 (doc, mp3, mkvs 등) 암호화하기 시작합니다.마지막으로 이터널 블루 취약점을 악용하여 멀웨어에 감염된 네트워크뿐만 아니라 공공 인터넷으로 멀웨어를 퍼뜨립니다.
워너크라이 랜섬웨어는 아직도 위협적인가요?
2017년 워너크라이 공격이 전 세계를 강타하기 전에, 마이크로소프트에서는 해당 취약점에 대한 패치를 이미 배포한 바 있었습니다. 그럼에 도 불가하고, 당시 많은 윈도우 OS 사용자들이 패치를 적용하지 않았기 때문에 워너크라이 랜섬웨어의 피해를 고스란히 남아 있습니다.
당시 워너크라이 공격을 통해 전 세계적으로 패치의 중요성을 깨닫게 되었음에도, 아직도 윈도우 OS의 취약점을 패치하지 않은 곳이 많습니다. 워너크라이는 파괴력이 엄청난 랜섬웨어임에도, 그에 비해 경각심이 높지 않은 편입니다. 게다가, 변종만 12,000개가 넘는다고 하니 워너크라이의 악몽은 아직도 끝나지 않았다고 말할 수 있습니다.
워너크라이와 같은 사이버 공격 예방 방법
이처럼, 아직도 인터넷 곳곳에 워너크라이의 위험이 도사리고 있습니다. 그렇다면 워너크라이와 같은 사이버 공격은 어떻게 예방할 수 있을까요? 다음의 몇 가지 예방법을 확인해보세요
항상 소프트웨어 업데이트 상태를 최신 보전과 최신 보안 패치를 적용하세요. 위에서 설명했듯이, 워너크라이는 보안 취약점을 악용하여 전 세계로 퍼져 나갔습니다. 워너크라이의 피해자들이 사전에 적절한 보안 패치를 적용하고 업데이트를 시행하였다면 피해를 줄일 수도 있었습니다.
최신 버전의 사이버 보안 소프트웨어를 이용하여 멀웨어를 원천 차단하세요.
의심스러운 링크, 배너, 첨부파일은 절대 클릭하지 마세요. 특히 의심스러운 웹사이트에서 소프트웨어를 다운로드하지 마세요. 이러한 소프트웨어에는 악성 코드가 숨어 있을 수 있습니다.
100% 신뢰할 수 없는 USB는 가급적이면 PC에 연결하지 마세요. 감염된 USB를 통해서 기기로 멀웨어가 전파될 수 있습니다.
안전이 보장되지 않은 공용 와이파이에 연결할 때는 반드시 VPN을 이용하세요. VPN을 이용하면 IP 주소를 숨겨서 개인정보를 보호하고 익명을 유지해줄 뿐만 아니라, 사이버 범죄자들이 트래픽을 가로채지 못하도록 보호해줍니다.
정기적으로 백업을 하세요. 평소에 백업해두면 혹시 랜섬웨어 공격을 당하더라도 피해를 최소화할 수 있습니다. 업무용으로 이용되는 중요한 문서, 개인적으로 중요한 문서 등은 백업을 하시고 외장하드 등의 외부 저장 장치에 별도 저장하시는 것을 추천해드립니다.
오늘 보안을 확보하고 미래의 안전을 보장하세요.
[주말판] 워너크라이 랜섬웨어 사태 5주년을 기념하며
[이미지 = utoimage] [보안뉴스 문정후 기자] 워너크라이(WannaCry)라는 랜섬웨어가 갑자기 등장하여 세상을 경악시킨 것이 벌써 5년 전의 일이다. 그 동안 랜섬웨어 산업은 천지개벽 수준으로 진화하였다. 하지만 기업들의 방어 태세는 그 때나 지금이나 크게 변하지 않았다.랜섬웨어는 그 때나 지금이나 가장 방어하기 어려운 ‘보안 골칫거리’임에 변함이 없다. 심지어 5년 된 워너크라이의 경우 지난 11월까지도 가장 많이 발견되는 위협 혹은 멀웨어 중 하나로 꼽힐 정도니 말이다.여러 가지 면으로 봤을 때 기업들의 방어 능력은 강화된 것이 분명하다. 취약점 탐지 능력도 좋아졌고, 그 취약점을 업데이트 하는 속도도 빨라졌으며, 보안의 중요성에 대해 처음부터 설명할 필요가 없어진 건 이미 오래 전의 일이다. 하지만 워너크라이가 처음 그렇게까지 마른 날씨 산불처럼 빠르게 퍼질 수 있었던 이유인 SMB 프로토콜은 여전히 널리 사용되고 있다. 그리고 이곳의 취약점인 이터널블루(EternalBlue) 역시 널리 발견되고 있다.그러는 동안 랜섬웨어 운영자들은 협박의 전략과 사업 운영의 방식을 완전히 바꾸었다. 5년에는 상상도 못했던 이중 협박 전략의 등장이 특히나 큰 차이를 만들고 있다. 게다가 랜섬웨어 자체도 유연해지고 있어 플랫폼을 가리지 않게 됐으며, 탐지 기술을 피해가고 분석을 방해하는 능력도 탄탄해지고 있다. 심지어 가상기계를 설치한 후에 랜섬웨어 공격을 실시하는 사례도 있다.과거에는 랜섬웨어를 직접 만들 수 있어야 랜섬웨어로 수익을 거둘 수 있었는데, 이제는 랜섬웨어를 만들고 대여하거나 파트너사들과 협업하는 수익 모델이 다크웹에 우후죽순 생겨 아무나 랜섬웨어 공격을 기획하고 실행시킬 수 있게 됐다. 요즘 랜섬웨어는 데이터 탈취도 같이 하니 공격자들의 부가 쌓이는 속도는 더 빨라졌다.“워너크라이는 5년 전만큼 강력한 충격을 주지는 못합니다만, 아직도 생생히 살아있는 위협입니다.” 보안 업체 로직허브(LogicHub)의 수석 분석가인 테사 미슈(Tessa Michoe)의 설명이다. “워너크라이는 랜섬웨어의 강력함을 세상에 알렸고, 더 많은 범죄자들이 랜섬웨어를 진지하게 사용하도록 자극을 주었죠. 랜섬웨어라는 시장의 시초는 아니지만 그에 못지 않은 상징성을 가지고 있습니다.”워너크라이는 2017년 5월 12일 세상에 등장했다. 그리고 등장 후 단 며칠 만에 전 세계 여러 나라의 컴퓨터 30만대 이상을 감염시켰다. 워너크라이 때문에 랜섬웨어라는 단어가 사전에 등재됐을 정도로 그 영향력은 컸다. 게다가 랜섬웨어라고 알려진 것과 달리 데이터를 삭제하는 기능도 탑재하고 있었다.워너크라이 때문에 마비된 조직은 페덱스(FedEx), 니산(Nissan), 영국 국립보험국(National Health Service) 등 수도 없이 많다. 미국은 북한의 라자루스(Lazarus)가 배후에 있다고 보고 있으며, 라자루스는 그 동안 전 세계에서 10억 달러 이상의 피해를 일으킨 그룹으로 알려져 있다.워너크라이가 그렇게나 빨리 퍼질 수 있었던 건 당시 미국 NSA의 익스플로잇 도구라고 알려지며 유출된 이터널블루(EternalBlue)가 활용되었기 때문이다. 이터널블루는 MS의 SMB v1 프로토콜 내 취약점을 익스플로잇 하는 도구였고, 당시로서도 오래된 OS였던 윈도 비스타, 윈도 7, 윈도 8.1이 특히 이러한 공격에 취약했었다. 때문에 OS 업그레이드가 상당히 강조되기도 했었다. MS는 사건 발생 한 달 전에 이미 해당 취약점에 대한 패치를 배포했었지만 많은 사용자들이 적용하지 않았었다.워너크라이 사태 발생 당시 많은 보안 전문가들이 패치의 중요성을 설파했었다. 그러면 5년이 지난 지금은 어떨까? 아직도 이터널블루 익스플로잇은 공격자들 사이에서 인기가 높은 공격 도구다. 그 때 패치 안 했던 사람들은 지금도 패치를 하지 않고 있다. 공격자들은 이런 조직들을 찾아 워너크라이만이 아니라 다른 멀웨어들도 퍼트리고 있다.보안 업체 바라쿠다 네트웍스(Barracuda Networks)가 최근 3개월 동안 발생한 사이버 공격들을 분석한 바에 의하면 SMB 포트 445번에 대한 공격들 중 무려 92%가 이터널블루 익스플로잇과 관련이 있었다고 한다. 바라쿠다의 수석 보안 연구원인 조나단 태너(Jonathan Tanner)는 “아직도 저 먼 옛날의 취약점을 그대로 놔둔 채 사용되는 시스템들이 무수히 많습니다. 공격자들 입장에서 표적을 그리 열심히 찾아내지 않아도 되는 이유입니다.”보안 업체 엑스트라홉(ExtraHop)이 500명의 IT 분야 결정권자들을 대상으로 조사한 결과 68%가 아직 SMB v1을 사용 중에 있다고 답했다고 한다. 그 동안 더 안전하고 효율적인 파일 공유 프로토콜이 시장에 나왔음에도 말이다. 참고로 엑스트라홉은 다음 RSAC에서 이러한 조사 결과에 대한 심층적인 분석 및 평가 내용을 발표할 것이라고 한다.SMB v1에 대하여 말하자면, 이미 2014년에 차기 버전으로 대체된 프로토콜이다. 엑스트라홉의 CISO인 제프 코스트로(Jeff Costlow)는 “솔직히 이번 조사를 진행하고 분석 결과까지 나왔을 때 가장 놀랐던 건, 68%가 SMB v1을 사용하고 있다는 것이 아니라 그러한 결과에 제 자신이 하나도 놀라지 않았다는 것”이라고 말한다. “보안 분야에서 일하고 많은 클라이언트들을 만나면서 저도 모르게 그런 사실을 예상하고 있었나봐요. 패치를 제대로 하지 않는다는 사용자 기업들의 문제는 좀처럼 나아지지 않고 있습니다.”보안 업체 레드카나리아(Red Canary)의 수석 보안 전문가인 브라이언 도나휴(Brian Donahue)는 “5년 전에 비해 사용자 기업들이 워너크라이의 위협에 똑같은 수준으로 노출되어 있다고 말할 수는 없지만, 중요한 요소들을 패치하지 않은 채 사업을 하고 있다는 사실 자체는 변함이 없다”고 말한다. “소프트웨어의 패치를 빠르게 대응하는 문화가 기업들 사이에서 자리가 언젠가 잡히겠다는 생각도 솔직히 들지 않습니다.”도나휴는 “랜섬웨어는 2017년에도 최대의 위협이었고, 2022년에도 여전히 그러하다”고 말한다. 사이버 공간에서 범죄의 방식이나 선호되는 멀웨어는 유행을 타고, 그러므로 1위 자리를 계속해서 지킨다는 건 매우 어려운 일이다. 그럼에도 랜섬웨어가 계속해서 최고 수준의 위협으로 남아 있다는 건 그만큼 랜섬웨어가 여러 번의 혁신에 성공했기 때문이다. 요즘은 표준처럼 되어 있는 이중협박, 삼중협박 전략이 좋은 혁신의 사례다.보안 업체 비숍폭스(Bishop Fox)의 전문가들은 최근 랜섬웨어를 미끼로 사용하는 국가 지원 단체들의 새로운 전략을 발견했다고 발표했다. 랜섬웨어 자체가 주된 무기인 게 아니라 랜섬웨어인 척 하고 다른 목적을 달성하는 움직임이 포착되기 시작한 것이다. 이를 본 따 일반 사이버 범죄 단체들 역시 랜섬웨어를 미끼로 사용하는 전략을 구사하기 시작했다. 이런 전략의 대표적 사례는 워너크라이 직후에 나타난 낫페트야(NotPetya)다. 페트야라는 랜섬웨어를 가장한 디스크 삭제형 멀웨어였다.비숍폭스는 낫페트야의 전략이 최근 다시 나타나기 시작했다고 말한다. “랜섬웨어로 피해자의 신경을 집중시키고 실제로는 다른 악성 행위를 하는 것입니다. 물론 낫페트야보다 훨씬 정교하고 다채로워지긴 했지요.”워너크라이에 비해 현대 랜섬웨어들은 맞춤형 표적 공격에 훨씬 능하다. 비숍폭스의 레드팀 국장인 트레빈 에지워스(Trevin Edgeworth)는 “워너크라이는 자동화 방식으로 퍼졌지만 지금은 피해자에 따라 다양한 방식이 차용되는 게 보통”이라고 설명한다. “예를 들어 작년 콜로니얼 파이프라인(Colonial Pipeline)을 친 다크사이드(DarkSide)라는 랜섬웨어의 경우 공격자가 특정 조직들을 겨냥해 수작업으로 침투해 들어가 피해를 입히는 방식으로 유명했었습니다.”그러면서 에지워스는 “요즘 공격자들은 다양한 조직들을 다양한 수법으로 공략하고 있으며, 어떤 식으로 피해를 입혀야 가장 큰 피해를 입고, 따라서 협상에 응할 가능성이 높은 지를 잘 이해한다”고 설명을 덧붙였다. “기술에만 능했던 공격자들이 이제는 심리전까지도 부릴 줄 알게 되었다고 볼 수 있습니다. 이런 변화가 랜섬웨어를 더 강력하게 만들고 있지요.”보안 업체 카스퍼스키(Kaspersky)의 경우 이번 주 발표한 보고서를 통해 “최근의 랜섬웨어 공격자들은 핵티비스트가 아니더라도 자신의 정치적 스탠스를 드러내는 데 거리낌이 없다”고 밝히기도 했다. “예를 들어 콘티(Conti)라는 랜섬웨어 그룹의 경우 우크라이나-러시아 전쟁에서 러시아의 편을 들겠다고 공표하고, 러시아에 적대적 국가들에 랜섬웨어 공격을 한다고 했지요. 반대로 우크라이나의 편을 들어 우크라이나의 IT군대(IT Army)에 자발적으로 등록한 사람들도 수십만 명에 달하고요. 이는 표적형 공격이 공격자들에게 얼마나 쉬워졌는지를 드러내는 대목이기도 합니다.”워너크라이는 수많은 조직들에 랜섬웨어의 무서움을 알려주고, 패치의 중요성을 강조하게 된 계기가 되었다. 그렇기에 지금의 취약점 관리 프로그램들이 탄생하는 데에 적잖은 영향을 미쳤다. “워너크라이 덕분에 생긴 긍정적인 변화들이 없지 않습니다. 그런데 말이죠, 아직도 기업들은 OS나 펌웨어들에는 조금 더 민감하게 반응하고 오피스, 자바, 어도비 제품들 등 주요 생산성 및 업무 애플리케이션들에는 둔감하게 반응합니다. 그리고 여전히 개개인에게 패치를 맡기기 때문에 회사 전체적으로 균일하게 소프트웨어가 버전업 되지도 않습니다. 아직 가야할 길이 많이 남았습니다.” 에지워스의 설명이다.“랜섬웨어에 대한 대비는 다른 무엇보다 기본 보안 수칙에서부터 출발합니다. 네트워크 아키텍처의 안전한 구성, 취약점의 능동적 파악과 해결, 최소한의 권한만 제공한다는 원리의 수립 및 적용 등이 바로 그것이죠. 여기에 더해 실제 공격 발생 시의 대응 시나리오를 미리 갖추는 것도 소홀히 하지 말아야 할 것입니다.”글 : 자이 바이자얀(Jai Vijayan), IT 칼럼니스트[국제부 문정후 기자( [email protected] )]www.boannews.com) 무단전재-재배포금지>
워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안
알약(Alyac)
전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안
안녕하세요. 이스트시큐리티입니다.
5월 12일부터 전세계로 급속히 유포되고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 대한 내용을 정리했습니다. 또한 사전조치 방안에 대해 공유 드리며, 피해를 최소화 하고자 알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 필요한 경우 툴을 내려받아 조치해주시길 부탁 드립니다.
**이스트시큐리티에서는 해당 랜섬웨어 초동 대응에 Wcry, Wana Decrypt0r 등 여러가지 이름을 혼용해 사용했습니다. 사용자의 혼돈을 최소화하기 위해 앞으로는 워너크라이(WannaCry)/워너크립터(WannaCryptor)로 명칭을 통일하는 점 참고 부탁 드립니다.
워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어란?
2017년 5월 12일부터 Windows SMB 취약점을 악용한 유포되기 시작한 랜섬웨어입니다.
해당 랜섬웨어는 다국적 언어를 지원하며 지원언어에는 한국어도 포함되어 있습니다. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 감염되면, 파일 확장자를 “.WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.
(변종의 경우는 파일확장자나 요구하는 랜섬머니의 금액이 조금씩 달라집니다.)
또한 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 네트워크를 타고 전파되기 때문에, 한대의 PC가 감염되면 같은 네트워크에 SMB취약점이 존재하는 PC들이 모두 감염될 가능성이 있어 특별히 더 주의를 기울여야 합니다.
현재 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 Wcry, Wana Decrypt0r, WannaCry, Wanna Crypt 등 다양한 이름으로 불리우고 있으며 모두 같은 랜섬웨어 이슈를 언급하는 것으로 혼동 없으시길 바랍니다.
워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염 원인
Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다. 2017년 3월에 업데이트된 MS의 보안패치를 설치하지 않았다면 인터넷에 연결된 것만으로도 감염될 가능성이 있습니다.
* SMB(Server Message Block) : 마이크로소프트 윈도우 운영체제(OS)에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염예방을 위한 조치방법
※ 일반 사용자
1. 인터넷 연결을 일단 해제하고, 주요자료를 가능하면 별도 오프라인매체에 백업합니다.
▶ 관련 상세내용은 여기 참조
2. 백업이 완료되면, 다시 인터넷을 연결하고 윈도 보안패치를 최신으로 업데이트합니다.
▶ 윈도우 보안 업데이트 방법 보러가기
3. 알약 워너크라이(WannaCry) 예방 조치툴을 사용하여 이번 공격에 악용되는 포트를 차단합니다.
▶ 알약 워너크라이(WannaCry) 예방 조치툴 다운로드
4. 랜섬웨어 공격을 방어할 수 있는 백신과 같은 보안솔루션을 활용합니다.
▲ 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 차단 영상
※ 전산/서버 담당자
워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 미국, 영국, 중국 그리고 한국 등을 포함한 100여개 국가에서 유포되고 있습니다. 공격자는 윈도 시스템에서 기본적으로 오픈되어 있도록 설정된 445 포트를 주로 악용하여, 기업 및 학교 내부망에 침투하는 것으로 보입니다.
특히 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적입니다. 이는 웜 바이러스의 특성을 함께 지니고 있는, 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있습니다.
워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 한국어를 포함해 다양한 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 300달러 혹은 변종에 따라 다양한 가격의 비트코인을 요구합니다.
워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점은 Microsoft Windows SMB 원격 임의코드실행취약점 (MS17-010)으로, SMB version1 서버에 존재하는 취약점을 악용합니다. 공격자는 원격에서 특수하게 제작된 패킷을 통해 해당 취약점을 악용하여 임의의 코드를 실행합니다.
해당 취약점에는 다음과 같은 CVE가 포함되어 있습니다.
CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0147 CVE-2017-0148
또한 이 취약점에 영향을 받는 Windows OS 버전은 다음과 같습니다.
Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8.1 Windows Server 2012 and Windows Server 2012 R2 Windows RT 8.1 Windows 10 Windows Server 2016 Windows Server Core installation option
MS에서는 해당 SMB 취약점에 대해 이미 지난 3월 14일에 패치를 진행했습니다. 그러나 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 감염 위협에 노출되어 있습니다. 이스트시큐리티 알약 블로그에서는 지난 2월부터 꾸준히 SMB Exploit에 대해 경고 드리며, 최신패치를 적용할 것을 강력하게 권고한 바 있습니다.
※ 관련 글 :
윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼 ▶ 자세히 보기 TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 ▶ 자세히 보기 유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어 ▶ 자세히 보기 마이크로소프트, 또 다른 제로데이 취약점 4개 패치해 ▶ 자세히 보기 SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 ▶ 자세히 보기
이에 전산/서버 담당자들은 다음과 같은 조치를 취해주셔서 피해를 최소화 시켜주시길 당부드립니다.
1. 시스템을 네트워크로부터 분리하고 방화벽을 통해 SMB 관련 포트 차단 (137, 138, 139, 445)
▶ 자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드
▶ 수동조치 : SMB 관련 포트차단 방법은 여기 참조
2. 사용중인 OS가 Windows 8.1 이상에서는 SMB v1 / CIFS 파일공유기능 해제
▶ 자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드
▶ 수동조치 : SMB v1 / CIFS 파일공유기능 해제 방법은 여기 참조
** SMB v1 / CIFS 파일공유기능 해제시, 공유프린터 사용이나 파일 네트워크 공유시 문제가 발생할 수 있으므로 긴급조치를 취한 후 OS패치를 진행하고 문제가 발생하는 경우 해당기능을 다시 활성화시킬 것
3. 사용중인 OS가 Windows Vista, Windows 2008 이상인 경우,
▶[시작] – [Windows Powershell] – 우클릭 – [관리자 권한으로 실행] –
① set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force
② set-ItemProperty –Path“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force
4. 사용중인 OS가 Windows XP, Windows Server 2003인 경우 , RDP 사용시 IP 접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경
5. MS에서 제공하는 MS17-010 보안 업데이트 진행 / 사용중인 OS 및 SW 최신 업데이트 진행
6. 주요문서 백업 및 별도매체에 보관 / 문서중앙화 솔루션 활용
7. 안티랜섬웨어 기능이 탑재된 보안솔루션 활용
** MS17-010 취약점 패치 중 MS에서 지원중단한 OS에 대해서 별도로 제공한 패치
Windows Server 2003 SP2 x64 https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55244
Windows Server 2003 SP2 x86 https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55248
Windows XP SP2 x64 https://www.microsoft.com/en-us/download/confirmation.aspx?id=55250
Windows XP SP3 x86 http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-kor_b2a6516e2fd541c75ebb4bcaeb15e91846ac90c5.exe
Windows XP Embedded SP3 x86 https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55247
Windows 8 x86 https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55246
Windows 8 x64 https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55249
현재 알약에서는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 및 추가 발견된 변종들에 대해
Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176 등으로 탐지하고 있으며, 지속적으로 업데이트를 진행하고 있습니다.
또한, 알약 랜섬웨어 차단기능을 통한 행위기반 탐지로 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어를 효과적으로 방어하고 있습니다. 그러나 이미 워너크라이(WannaCry) 변종이 150개 가까이 확인되고 있으며, 이후에도 변종은 계속 생성될 것으로 보입니다. 따라서 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수적입니다. 현재까지 패치를 진행하지 않은 사용자, 기업 및 기관은 신속히 패치를 진행해주시길 간곡히 당부 드립니다. 감사합니다.
KISA 인터넷 보호나라&KrCERT
[1장] 개요 1. 사고 발생 2. 감염 확산 3. 민관 협력 대응 [2장] 감염증상 1. 국내사고 발생 현황 2. 감염증상 3. 감염시스템 특징 [3장] 워너크라이 상세분석 1. 구성요소 2. 동작원리 3. SMB 취약점(CVE-2017-0144) 분석 [4장] 해커그룹 연관성 1. 해외 보안업체 동향 2. 연관성 분석* 본 보고서의 전부나 일부를 이용시, 반드시 [자료:한국인터넷진흥원(KISA)]를 명시하여 주시기 바랍니다.
랜섬웨어 ‘워너크라이(WannaCry)’ 악성코드 분석 보고서
유럽과 아시아 100여개국에서는 지난 12일부터 ‘워너크라이'(WannaCry)란 별명이 붙은 랜섬웨어를 이용한 사이버공격이 진행 중이며, 국내에서도 피해가 보고되고 있어, 이에 대한 주의 사항을 안내 드리오니 업무에 피해가 없도록 유의 하여 주시기 바랍니다.
랜섬웨어 워너크라이, ‘우연한 발견’ 덕에 전파 중단
세계 각국의 컴퓨터 12만대 이상을 감염시킨 랜섬웨어 ‘워너크라이(WannaCry)’의 확산이 한 보안 전문가의 우연한 발견으로 중단됐다. 인터넷 커뮤니티와 SNS 등에는 ‘랜섬웨어 예방법이 뭐냐’, ‘랜섬웨어에 걸렸는데 어떻게 복구해야 하냐’고 묻는 글이 폭주하고 있다.
전 세계 컴퓨터 12만 대 이상 감염시킨 악성코드 #한 보안 전문가가 우연히 스위치 발견하고 꺼 #전문가들 “안심할 수 없어…예방이 최우선”
랜섬웨어는 ‘랜섬(Ransom, 몸값)’과 ‘소프트웨어(Software)’의 합성어로, 개인용 PC나 핸드폰에 침입해 안에 저장된 데이터를 인질로 삼고 해커가 돈을 요구하는 신종 악성 프로그램이다. 컴퓨터 안에 있는 문서나 사진 파일이 암호화 되고, 화면에 ‘해독키를 제공받으려면 돈을 입금하라’는 메시지가 뜨는 식이다.
랜섬웨어 감염 현황 실시간 중계 사이트인 ‘맬웨어테크닷컴’에 따르면, 12일부터 이틀간 ‘워너크라이’라는 이름의 랜섬웨어는 전 세계로 퍼져 12만5480대의 컴퓨터를 감염시켰다(한국시간 오후 6시30분 기준). 러시아에서는 경찰을 관할하는 내무부 컴퓨터 1000대가, 영국에서는 병원 40여개의 컴퓨터가 감염됐다. 한국에서도 서울시내 한 대학병원에서 감염 의심 징후가 나타났다.
하지만 13일 오후 한 보안전문가의 우연한 발견이 이 악성코드의 확산에 제동을 걸었다. 13일 보안업계에 따르면 트위터 계정 ‘@MalwareTechBlog’을 쓰는 한 사이버보안 전문가는 ‘워너크라이’를 분석하다가 이것이 한 특정 도메인(인터넷 주소)에 접속을 시도한다는 사실을 발견했다. 이 도메인은 아직 등록이 되어 있지 않은 상태였다.
그는 악성코드의 확산에 대한 정보를 더 분석하려는 차원에서 이 도메인을 10.69달러(한화 1만2000원)을 내고 등록해 활성화했다. 그러자 갑자기 ‘워너크라이’의 전파가 중단됐다. 알고 보니 ‘워너크라이’는 해당 도메인이 활성화 상태면 전파를 중단하고, 활성화가 상태가 아니면 전파를 계속하도록 설계돼 있었다. 해당 도메인이 일종의 ‘스위치’였던 셈이다.
악성코드에 대한 정보를 얻고자 우연히 한 행동이 악성코드의 스위치를 껐다는 사실이 알려지자, 보안업계와 외국 매체들은 해당 전문가를 ‘우연히 탄생한 영웅(an accidental hero)’라고 부르며 칭송하고 있다. 하지만 전문가들은 스위치를 없앤 새로운 변종 랜섬웨어의 등장을 우려한다. 또 ‘워너크라이’의 전파가 중단됐다고 해서 이미 감염된 컴퓨터가 치료되는 것은 아니다.
시민들은 랜섬웨어에 대한 불안에 떨고 있다. 랜섬웨어가 악성코드가 숨겨진 웹사이트 방문만으로도 감염될 수 있으며, 악성코드를 없애도 암호화한 파일이 복구되지 않는다는 점이 알려지면서다.
전문가들은 “예방이 최우선”이라고 말한다. 랜섬웨어 위협 감지 기능이 있는 백신을 설치해 최신 업데이트 상태로 유지하고, 주기적으로 데이터를 백업하라는 것이다. 일부 랜섬웨어 악성코드는 인터넷에서 복호화 툴을 무료로 다운받아 사용할 수 있다. 전문가들은 “돈을 요구하더라도 절대 해커에게 입금하지 말고 복호화 툴을 사용하라”고 조언했다.
※관련 사이트
-‘The No More Ransom Project( www.nomoreransom.org )’: 경찰청과 유로폴 협약 체결로 일부 랜섬웨어 복구 도구 무료 제공
-‘보호나라 (www.boho.or.kr )’: 인터넷진흥원이 랜섬웨어 감염경로와 예방법 제공
윤재영 기자 [email protected]
[D데이] 2017.05.12. 전 세계를 충격에 빠트린 워너크라이 사태
디데이(D-Day). 사전적 의미는 중요한 작전이나 변화가 예정된 날입니다. 군사 공격 개시일을 의미하기도 합니다. 엄청난 변화를 촉발하는 날. 바로 디데이입니다. <디지털데일리>는 정보통신기술(ICT) 시장에 나름 의미 있는 변화의 화두를 던졌던 역사적 디데이를 기록해 보고자 합니다. 그날의 사건이 ICT 시장에 어떠한 의미를 던졌고, 그리고 그 여파가 현재에 어떤 의미로 남았는지를 짚어봅니다. <편집자 주>
[디지털데일리 이종현기자] 몸값(Ransom)과 소프트웨어(Software)의 합성어인 랜섬웨어(Ransomware). 우리 사회를 위협하는 가장 치명적인 사이버공격으로 꼽히는 이 단어가 일반 대중에게도 각인된 것은 2017년 5월 12일, ‘워너크라이(WannaCry)’ 사태의 영향이 큽니다.워너크라이 또는 ‘워너크립트(WannaCrypt)’라는 이름으로 불린 이 랜섬웨어 툴은 정확한 피해 규모를 파악하기 어려울 만큼 많은 컴퓨터를 감염시켰습니다. 미국 정부는 사태 직후 2017년 5월 15일 기준 150개국 30만대 이상의 컴퓨터가 피해를 입었다고 발표했습니다.
워너크라이는 컴퓨터 내 파일을 모두 암호화시킨 뒤 그에 대한 몸값을 요구하는 방식의 랜섬웨어입니다. 통상 랜섬웨어의 경우 이메일 등을 통해 악성파일을 다운로드하도록 하는 방식으로 감염됩니다. 하지만 워너크라이의 경우 윈도의 서버 메시지 블록(Server Message Block, SMB) 취약점을 이용해 이용해 동일 네트워크상의 다른 컴퓨터로 전파되는 특징을 지녔습니다.
마이크로소프트(MS)는 워너크라이 사태 이전에 해당 취약점을 개선하는 보안 업데이트를 내놨습니다. 하지만 윈도XP 등 당시 보안 업데이트 지원이 종료된 컴퓨터를 중심으로 피해가 확산됐습니다. 개인의 PC를 비롯해 기업이나 공공기관까지 광범위한 피해가 발생했는데, 사상 최대 규모의 무차별 공격이었습니다.
워너크라이로 인해 가장 큰 피해를 입은 국가는 러시아입니다. 정부기관인 내무부 컴퓨터 1000여대를 비롯해 은행과 통신사, 철도업체 등이 감염돼 자체 시스템을 폐쇄했습니다.
불법 복제 소프트웨어(SW) 사용이 판치는 러시아의 특징이 피해를 키운 것으로 전해집니다. 특히 당시 최신 OS인 윈도10의 경우 워너크라이가 이용하는 취약점에 대응하는 보안패치를 이미 내놨었으나 러시아 사용자의 20% 이상은 OS 업데이트를 하지 않은 것도 피해 확산의 원인 중 하나입니다.
중국도 적지 않은 피해를 입었습니다. 러시아와 마찬가지로 불법 설치되거나 패치되지 않은 윈도 사용이 많은 중국은 주요 기업 및 대학, 공공기관의 컴퓨터가 워너크라이에 감염됐습니다. 사태 당시 홍콩의 한 언론은 중국 국영 석유 업체가 워너크라이에 감염돼 2만개의 주유소에서 현금으로만 결제가 가능했다는 내용의 보고서를 발간했습니다.
한국의 경우 러시아나 중국 등에 비해 눈에 띄는 피해 사례가 발생하지는 않았습니다. 워너크라이가 번지기 시작한 것은 한국시간으로 금요일 퇴근무렵부터인데, 기업들과 기관들의 컴퓨터가 대부분 꺼져 있었던 것이 피해를 줄였습니다. 국내 이동통신사가 SMB 특정 포트를 차단함으로써 초기 대응에 일조했습니다.
세계 각국은 워너크라이의 배후로 북한을 지목했습니다. 현재도 활발히 활동 중인 북한 정찰총국 소속의 해커조직 라자루스(Lazarus)가 유력합니다. 유럽연합(EU)은 2020년 북한의 유령기업 조선 엑스포를 제재하기도 했습니다. 조선 엑스포는 라자루스 그룹의 해커 박진혁이 몸담고 있는 기업으로 전해집니다.
2021년에는 미국 법무부가 북한 소속 해커 3명을 기소, 사진을 공개했습니다. 소니픽처스 공격 및 방글라데시 은행 해킹, 워너크라이 공격 등을 기소 배경으로 꼽았는데 ▲박진혁 ▲전창혁 ▲김일 등 3명이 대상입니다.
워너크라이 이후 가장 흔한 사이버공격이 된 랜섬웨어는, 최근 다시 기승을 부리는 중입니다. 과거에는 파일을 암호화한 뒤 복구하려면 금전을 지불하라는 단순한 방식을 취했지만, 최근에는 파일을 암호화하는 동시에 이를 훔쳐내 “금전을 지불하지 않으면 데이터를 유출하겠다”는 식의 협박을 하는 방식으로 진화했습니다. 백업만으로는 랜섬웨어에 충분히 대응할 수 없어 각 기업을 비롯해 정부도 골머리를 앓고 있습니다.
한편 초기 워너크라이에 감염될 경우 요구한 것은 300달러 상당의 비트코인(BTC)입니다. 2017년 5월 12일 당시 1BTC는 약 1700달러였습니다. 2022년 5월 12일 현재 1BTC는 약 3만1000달러가량입니다. 1700%가량 올랐는데, 만약 당시 워너크라이에 감염돼 해커에게 비트코인을 지불했다면 속이 쓰릴 듯합니다.
북한 “2017년 워너크라이 사건 경악스러운 범죄”
북한 2017년 발생한 워너크라이 랜섬웨어(북한 표현 랜썸웨어) 사건에 대해 세계를 혼란에 빠트린 경악스러운 범죄라고 주장했다.
10월 4일 대북 소식통에 따르면 북한 김일성종합대학이 발행한 ‘김일성종합대학학보 철학 2021년 제67권 제1호’에 ‘과학기술윤리에 대한 이해’라는 논문이 게재됐다.
논문은 “정보기술(IT) 수단들을 이용한 사이버공격, 사이버테러 행위와 같은 특대형 범죄들이 사회의 안정을 파괴하고 공포와 불안에 빠뜨리고 있다”며 “과거 범죄자들이 불순한 목적을 노리고 개별적인 은행이나 회사 등의 컴퓨터 체계들을 마비시키는 것으로부터 시작된 사이버공격이 지금에 와서 국가들의 안전 문제로, 국제 사회의 우려거리로 되고 있다”고 주장했다.
예시로 논문은 “2017년 5월 랜섬웨어라는 악성 바이러스에 의한 동시다발적인 사이버공격 사건이 발생해 150여개 나라와 지역의 공공기관과 기업체들을 휩쓸고 온 세계를 혼란 속에 몰아 넣었다”며 “유럽경찰기구는 세계적으로 20만대 이상의 컴퓨터들이 사이버공격을 받았는데 그로 인해 피해를 입은 대상이 은행, 보건, 정보통신 등으로 대기업체들과 정부 기관들이라고 밝혔다”고 전했다.
워너크라이 랜섬웨어 감염시 나타나는 화면
북한 논문이 지칭한 이 사건은 워너크라이 랜섬웨어 공격이다. 2017년 5월 12일 워너크라이라는 랜섬웨어 악성코드가 전 세계로 확산돼 피해를 입었다.
북한은 논문에서 랜섬웨어에 대한 정의도 소개했다.
랜섬웨어라는 말 자체가 ‘배상금을 요구하는 프로그램’이라는 뜻으로서 이 바이러스가 컴퓨터의 윈도즈(Windows) 조작 체계를 뚫고 들어가 자료기지(DB)에 대한 통제권을 장악한 다음 300달러의 자금을 요구하는 통보문을 보여주고 돈을 낼 때까지 컴퓨터의 가동을 중지시킨다는 것이다.
논문은 국제 사회가 그 규모나 피해에 있어서 보기 드문 워너크라이 사이버공격 사건에 경악을 금치 못하면서 사이버공간을 이용한 범죄행위를 막기 위한 노력을 강화할 것을 호소했다고 소개했다.
논문은 “현대적인 정보통신기술을 악용한 범죄 행위와 사회의 안정을 파괴하고 무질서를 조성하는 부정적인 현상들에 대한 통제도 강화해야 하지만 이 부문의 과학자, 기술자들이 정보과학기술의 남용을 막기 위해 자기의 도덕적 책임을 다하는 것도 중요하다”고 지적했다.
한편 미국 정부와 보안 전문가들 일각에서는 워너크라이 사건이 북한의 소행이라고 주장하고 있다.
강진규 기자 [email protected]
* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.
키워드에 대한 정보 워너 크라이 랜섬 웨어
다음은 Bing에서 워너 크라이 랜섬 웨어 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 워너크라이(WannaCry)에 걸려 보았습니다. WNCRY [초다]
- 동영상
- 공유
- 카메라폰
- 동영상폰
- 무료
- 올리기
워너크라이(WannaCry)에 #걸려 #보았습니다. #WNCRY #[초다]
YouTube에서 워너 크라이 랜섬 웨어 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 워너크라이(WannaCry)에 걸려 보았습니다. WNCRY [초다] | 워너 크라이 랜섬 웨어, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
