랜섬웨어 주의보

랜섬웨어 주의보

 

랜셈웨어란? 컴퓨터 사용자의 파일을 인질로 금전을 요구하는 악성프로그램. 랜섬웨어(Ransomware)는 영어로 '몸값'을 의미한다. Ransome 랜섬과 소프트웨어 software의 합성어. 악성프로그램의 일종으로 사용자 동의 없이 몰래 어떠한 경로로 접근 컴퓨터에 설치되는데 이때 악성코드가 자동으로 사용자의 PC에 심어지는 형태다. 그러므로 랜섬웨어에 한번 노출되어 감염되면 중요한 파일의 경우 백업복구 프로그램이 가동되어야 하는데 그렇지 못하면 인질로 잡은 파일에 대한 댓가를 요구하여 돈을 뜯어내는 전형적인 사기유형. 랜섬웨어가 최근에 독버섯처럼 번지고 있어 주의가 요구된다. 특히 최근에 국내감염 사례가 발생 세심한 주의가 요구된다. 국내 첫 감염사례가 대학병원에서 감염된 것으로 확인.

 

 

유럽과 아시아 70여개국에서 동시다발적으로 일어난 랜섬웨어 감염사례가 국내에서도 발생했다. MS 윈도를 통해 파고든 뒤 복구 댓가로 금전(비트코인)을 요구, 피해가 우려된다.  13일 한국인터넷진흥원(KISA)에 따르면, 국내 한 대형병원이 랜섬웨어에 감염된 것으로 확인됐다. KISA는 추가 확산을 막기 위해 위해 이날 보안사이트 ‘보호나라’에 감염경로와 예방법을 담은 랜섬웨어 공격 주의 권고문을 올렸다. 

 

▲랜섬웨어 감염 시 대처요령 숙지 예방법 주의사항

한국인터넷진흥원 KISA 보호나라 접속 후 예방법 소개 숙지

MS윈도우 보안취약지점 최신버전 설치 보안취약점 재점검

 

랜섬웨어 영향을 받는 시스템은 MS 윈도10·윈도8.1·윈도RT 8.1·윈도7·윈도서버2016·윈도서버2012 R2·윈도서버2008 R2 SP1 SP2 등이다. 

랜섬웨어는 윈도파일 공유에 사용되는 서버메시지(SMBv2) 원격코드의 취약점을 악용한 악성코드 공격이다. 악용된 취약점은 윈도 최신 버전에서는 발생하지 않으므로, 운영체제 보안 업데이트 및 버전 업그레이드가 필요하다고 KISA 측은 밝혔다. 

 

▲MS윈도우 보안취약지역 재점검 필요 : 랜섬웨어 예방요령

한국인터넷진흥원 KISA 보호나라 파일설치 랜섬웨어 예방

 

해커들은 원격코드의 취약점을 파고든 뒤 네트워크를 통해 ‘워너크라이(WannaCry)’로 불리는 랜섬웨어를 유포한다. 컴퓨터 사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구한다.

이메일 첨부파일을 통해 유포되는 대다수 랜섬웨어와 달리 네트워크에 접속만 해도 감염이 된다. 워너크라이는 문서파일과 압축파일 등 다양한 파일을 암호화하며, 한국어를 포함한 다국어로 협박 메시지를 내보낸다.

 

▲누군가 당신의 PC를 노리고 있다 랜섬웨어 주의보

 

KISA 관계자는 “보안업체들과 위협 정보를 실시간으로 공유하고, 병원과 주요 기업에 보안 관련 주의사항을 공지하고 있다”고 말했다. 

이에 앞서 유럽과 아시아를 비롯한 세계 70여개국에서 동시다발로 랜섬웨어 공격이 발생했다. 병원, 기업, 정부기관 등의 업무가 마비되거나 차질을 빚었다. 영국에서는 런던과 버밍엄, 노팅엄, 컴브리아, 허트포드셔 등지의 국민보건서비스(NHS) 병원들이 공격을 받아 각종 시스템이 중단됐다.

 

▲파일을 인질로 돈을 요구하는 전형적인 수법은 랜섬웨어

해킹 후 해커들이 정해진 시간내에 돈을 입금할 것을 요구

 

국내의 경우 주말(12, 13일)이 겹쳐 당장 피해가 적었던 것으로 추정된다. 하지만 대부분 직장이 업무에 복귀하는 월요일(15일) 감염이 증가할 것으로 우려된다. 

공격자들은 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하는 것으로 전해졌다. 

KISA는 “네트워크 방화벽 및 윈도 방화벽을 이용해 SMB 관련 포트 차단하고, 운영체제 내 설정을 이용해 모든 버전의 SMB 프로토콜을 비활성화하라”고 권했다. 

 

▲랜섬웨어 해커들 결국 돈을 요구

 

전 세계에 '랜섬웨어 공격'이 속출하는 가운데 우리나라에서도 이를 예방하기 위한 주의가 요구되고 있다.

한국인터넷진흥원(KISA)는 13일 ‘SMB 취약점을 이용한 랜섬웨어 공격 주의 권고’라는 공지를 통해 랜섬웨어에 대한 예방책을 알렸다.

랜섬웨어란 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로 컴퓨터 사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성 프로그램이다. 특히 이번 랜섬웨어는 인터넷 접속만 해도 감염될 수 있는 방식이라 더 주의가 필요하다.

 

▲전세계적으로 확산 추세인 랜섬웨어

KISA는 마이크로소프트의 윈도우 운영체제(OS)에서 제공하는 최신보안패치를 내려 받으라고 권고하고 있다. 하지만 윈도우 비스타(Vista) 버전 이하는 마이크로소프트의 보안 업데이트가 중단됐기 때문에 운영체제를 윈도우7 이상으로 재설치 하는 것이 필요하다. 

 

 

만약 업데이트가 불가능한 상황이라면 윈도우에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식인 ‘SMB(Server Msessage Block)’를 직접 비활성화 해줘야 한다.

윈도우 10을 기준으로 제어판에 들어가 ‘프로그램 및 기능’을 실행한 뒤 왼쪽 상단 ‘Windows 기능 켜기/끄기’를 누르면 ‘SMB1.0/CIFS 파일 공유 지원’이라는 단추가 나온다. 그곳에 체크를 해제하고 시스템을 재시작하면 랜섬웨어의 공격을 차단할 수 있다.

 

▲랜섬웨어 다양한 해킹툴 활용 감염경로 다양화 추세

외신들은 이번 랜섬웨어 공격 주체를 지난해 여름 미 국가안보국(NSA)에서 해킹 툴을 훔쳤다고 주장했던 ‘쉐도우 브로커스(Shadow Brokers)'라는 단체로 추정하고 있다. 이를 대비해 마이크로 소프트는 지난 3월 랜섬웨어를 예방하는 프로그램을 개발했지만 아직 많은 사람들이 업데이트를 하지 않은 상태다.

해커단체는 SMB 원격코드의 취약점을 악용해서 네트워크를 통해 워나크라이(WannaCry)라는 랜섬웨어를 유포하는 것으로 알려졌다. 

 

▲버스 단말기 온라인시스템에 랜섬웨어 감염사례 : 유럽

 

특히 이번 랜섬웨어는 광범위하게 퍼져 영국을 비롯해 미국, 중국, 러시아, 스페인, 이탈리아 등 74개 국가에 피해를 준 것으로 파악되고 있다. 해커단체는 파일을 복구하는 조건으로 300~600달러(약 34~68만원)에 해당하는 가상화폐(비트코인)를 요구하는 것으로 알려졌다. 우리나라에서도 서울의 한 대형병원 감염이 의심되고 있다.

 

 

▲랜섬웨어 개인PC 노트북 공유기 취약지점 노출 주의 예방

IPTV도 예외일 수 없다 랜섬웨어 취약지점 예방

러시아와 영국 등 세계 각국에서 대규모 랜섬웨어 공격이 발생한 가운데 국내에서도 한 대형병원도 랜섬웨어에 감염된 것으로 알려졌다. 인터넷진흥원 관계자는 13일 서울의 한 대학병원에서 랜섬웨어 감염 여부를 문의하는 상담이 접수됐다고 밝혔다. 진흥원측은 해당 병원측에서 정식 신고를 해오면 구체적인 피해 상황을 조사할 예정이라고 덧붙였다.

 

▲평소 파일을 암호화 하여 접근 경로 사전차단 예방철저

 

인터넷진흥원은 이날 랜섬웨어 확산을 막기 위해 보안 전문 사이트 '보호나라(http//www.boho.or.kr)'에 감염 경로와 예방법을 담은 '랜섬웨어 공격 주의 공지문'을 올렸다.

인터넷진흥원에 따르면 해커들은 윈도 파일 공유에 사용되는 서버 메시지(SMB) 원격 코드의 취약점을 악용해 네트워크를 통해 일명 '워나크라이(WannaCry)'로 불리는 랜섬웨어를 유포했다.

 

▲랜섬웨어 파일인질 노리는 전형적인 해커 조직단 수법

 

이메일 첨부파일을 통해 유포되는 대다수 랜섬웨어와 달리 인터넷 네트워크에 접속만 해도 감염되는 점이 특징이다. 진흥원측은 윈도 보안체제를 최신 버전으로 업데이트하고, 윈도 비스타 이하 버전 이용자는 윈도 7 이상의 운영체제로 업그레이드해야 한다고 조언했다. 앞서 유럽과 아시아를 비롯한 세계 70여개국에서 동시 다발로 랜섬웨어 공격이 발생해 병원, 기업, 정부기관 등의 업무가 마비되거나 차질을 빚은 바 있다.