국내서도 워너크립터(Trojan.Ransom.Wcry) 랜섬웨어 피해가 보고됐다. 병원과 기업 등이 감염된 것으로 확인됐다.
워너크립터는 12일부터 미국, 중국 등 전세계 70여개국 PC를 감염시키며 급속히 확산 중이다.
한국인터넷진흥원(원장 백기승)과 이스트시큐리티(대표 정상원), 이노티움(대표 이형택) 등 보안업계는 SMB(Server
Message Block) 취약점을 이용해 감염되는 워너크립터를 경고하고 윈484도 시스템 보안
패치를 권고했다.
이노티움 랜섬웨어침해대응센터는 13일 A기업이
감염 증세를 보이며 신고했다고 밝혔다. KISA는 공식 신고는 없었지만 감염 상담을 진행 했다. 각종 커뮤니티 사이트에 워너크립터
랜섬웨어 감염글이 올라오는 등 국내 피해가 보고됐다.
<한국에서도 감염사례가 나왔다.(자료:이스트시큐리티 블로그)>
랜섬에어는 PC 사용자 중요 파일을 암호화한 후 이를 푸는 대가로 금전을 요구한다. 이번에 전세계에 확산 중인 해당 랜섬웨어는
SMB 취약점으로 전파한다. SMB취약점은 미국 국가안보국(NSA331)이
사용하던 사이버무기다.
보안 전문가들은 SMB 취약점 위험도를
최상위 등급으로 본다. 다른 취약점은 웹 브라우저나 프로그램을 설치해야 하는데 SMB는 프로토콜 취약점으로 서버
인터넷주소(IP)만 알면 해당 시스템을 장악할 수 있는 탓이다. 해커는 해당 취약점을 이용해 약 120초 만에
윈484도
서버를 장악한다. 마이크로소프트는 3월 14일 MS17-010으로 취약점을 패치했다. 하지만 아직 업데이트하지 않은 PC와 서버가
감염 위험에 놓였다.
이번에 공개된 취약점은 윈도 최신 버전에서는
작동하지 않지만 구형 OS를 쓰는 곳이 많아 문제는 여전하다. KISA는 MS에서 보안 업데이트 지원을 중단한 윈도 비스타 이하
버전을 윈도7 이상 OS로 업그레이드하고 최신 패치를 적용하라고 권고했다.
워너크립터 랜섬웨어는 한국어를 포함해 다국어를
지원한다. 암호화된 데이터를 복호화하는 대가로 300달러 가치 비트코인을 요구한다. 컴퓨터가 해당 랜섬웨어에 감염되면 확장자를
“.WNCR188Y”로
변경하고, '@Please_Read_Me@.txt' 랜섬노트 파일을 생성한다.
<암호화된 화면(자료:이스트시큐리티 블로그)>
KISA 관계자는 “최신 윈484도
운용체계(OS) 업그레이드와 최신 보안 패치 해야 한다”면서 “평상시 중요한 자료는 별도 저장 장치 등에 주기적으로 백업하는
습관을 키우자”고 말했다.
앞서 12일(현지시간) 유렵과 아시아 등 70여개국에서 동시 다발로 랜섬웨어 공격이 발생했다.
병원, 기업, 정부기관 업무가 마비되거나 차질을 입는 피해가 발생했다. 영국 런던과 버밍엄, 노팅엄, 컴브리아, 허트포셔 등지의
국민보건서비스(NHS) 병원이 공격을 받아 각종 시스템이 중단됐다.
