경제용어사전

워너크라이

[WannaCry]

사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어의 일종이다. 2016년 미국국가안보국(NSA)이 도난당한 해킹툴을 활용한 것이 특징이다.
2017년 5월 12일에 배포되기 시작해 순식간에 전세계 100여개국으로 확산되는 등역사상 전례가 없는 최악의 해킹으로 간주되고 있다.
워너크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(한화 34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하고 있다.

*피해규모
2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포된지 하루 만에 전세계 100여개국에서 컴퓨터 12만대 이상을 감염시켰으며 15일까지 전세계 150개 국에서 30만대의 기기를 감염시켜 병원, 기업, 정부기관 등의 업무가 마비되거나 차질을 빚고 있는 등 사상최대 등 사상최대의 피해를 낳고 있다.

러시아에서는 내무부 컴퓨터 약 1천 대가 감염된 것으로 파악됐고 영국에서는 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여 개 병원이 환자 기록 파일을 열지 못하는 등 진료에 차질을 빚거나 예약을 취소했으며 중국에서는 일부 중학교와 대학교가 공격을 당했다,

체코 보안회사인 아베스트(Avast)에 따르면 워너크라이 공격으로 가장 큰 피해를 입은 국가들은 러시아, 대만, 우크라이나, 인도다.


*워너크라이의 특징
랜섬웨어에 감염되면 거의 모든 파일과 그림에 암호를 걸어버리기 때문에 해커한테 돈을 입금하기 전에는 데이터 복구가 힘들다.

*전파 경로 및 배후
워너크라이는 인터넷 네트워크에 접속만 해도 감염된다. 윈도 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용해 네트워크를 통해 유포되기 때문에 취약한 컴퓨터는 부팅 때 감염될 수 있다. 이는 이메일 첨부파일을 통해 유포되는 대다수 랜섬웨어와 다른 것이다. SMB(Server Message Block)는 파일·장치를 공유하기 위해 사용되는 통신 프로토콜이다.

워너크라이가 빠르게 확산된 이유중 하나는 MS 사용자들이 2017년 3월 MS사가 프로그램 수정을 발표한 뒤에도 자기들의 소프트웨어를 신속하게 업데이트 하지 않았기 때문이다. 그 동안 악성 코드들은 대학들, 기업체, 각국 정부의 전산망등을 통해 널리 퍼져 나갈 수가 있었다.

배후
2017년 5월 16일 현재도 배후는 알려지지않고 있다. 보안업계는 5월12-13일 워너크라이 유포 초기에는 2016년 미국 국가안보국(NSA)이 개발한 해킹 툴을 훔쳤다고 주장한 해커단체 '섀도 브로커스'(Shadow Brokers)의 소행이 유력하다고 판단했다.
하지만 5월15일부터 시만텍과 카스퍼스키 랩등의 보안회사들은 랜섬웨어 공격에 북한이 연루되었을 가능성도 검토하고 있는 것으로 들어났다. 이들은 워너크라이 랜섬웨어 초기 버전의 일부 코드가 많은 기업 연구원들이 북한이 운영하고 있다고 믿고 있는 라자러스 그룹(Lazarus Group)이 사용한 프로그램에서도 나타났다고 말했다.



랜섬웨어의 예방 및 대응책
MS 윈도 옛 버전 이용자들은 업데이트 여부를 확인한 뒤 최신 버전으로 업데이트해야 랜섬웨어 감염을 피할 수 있다.
MS는 2017년 5월 13일 공식 블로그와 트위터 등을 통해 지원을 중단했던 윈도 옛 버전용(윈도 XP, 윈도 8, 윈도 서버 2003) 보안 패치를 긴급 배포했다.

윈도 10 버전은 자동으로 보안 패치가 업데이트되기 때문에 큰 문제가 없지만, 윈도 7 이하 버전은 설정에 따라 업데이트가 제때 이뤄지지 않는 경우가 종종있기 때문에 피해를 입을 수 있다.

한편 미래부창조과학부와 한국인터넷진흥원(KISA) 5월 14일 워너크라이로 인한 피해 확산 차단을 위해 대국민 행동요령을 권고했다.
그 내용은 다음과 같다.
개인이나 기업 직원들은 윈도우 보안패치가 설치되지 않았을 경우 컴퓨터 부팅 전 인터넷을 차단하고(랜선 연결 제거), SMB 포트를 차단한 후(프로토콜 비활성화), 인터넷에 연결해 윈도 보안패치 및 백신 업데이트 등을 진행해야 한다.

SMB 포트 차단 실행 방법은 ▲제어판→시스템 및 보안 ▲윈도 방화벽→고급설정 ▲인바운드 규칙→새규칙→포트→다음 ▲특정 로컬 포트→137-139, 445 입력→다음 ▲연결차단→다음 ▲도메인, 개인, 공용 체크 확인→다음 ▲이름설정→마침 순으로 실시하면 된다.

관련어