워너크라이
[WannaCry]사용자의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어의 일종이다. 2016년 미국국가안보국(NSA)이 도난당한 해킹툴을 활용한 것이 특징이다.
2017년 5월 12일에 배포되기 시작해 순식간에 전세계 100여개국으로 확산되는 등역사상 전례가 없는 최악의 해킹으로 간주되고 있다.
워너크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(한화 34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하고 있다.
*피해규모
2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포된지 하루 만에 전세계 100여개국에서 컴퓨터 12만대 이상을 감염시켰으며 15일까지 전세계 150개 국에서 30만대의 기기를 감염시켜 병원, 기업, 정부기관 등의 업무가 마비되거나 차질을 빚고 있는 등 사상최대의 피해를 낳았다.
러시아에서는 내무부 컴퓨터 약 1천 대가 감염된 것으로 파악됐고 영국에서는 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여 개 병원이 환자 기록 파일을 열지 못하는 등 진료에 차질을 빚거나 예약을 취소했으며 중국에서는 일부 중학교와 대학교가 공격을 당했다,
체코 보안회사인 아베스트(Avast)에 따르면 워너크라이 공격으로 가장 큰 피해를 입은 국가들은 러시아, 대만, 우크라이나, 인도다.
*워너크라이의 특징
랜섬웨어에 감염되면 거의 모든 파일과 그림에 암호를 걸어버리기 때문에 해커한테 돈을 입금하기 전에는 데이터 복구가 힘들다.
*전파 경로 및 배후
워너크라이는 인터넷 네트워크에 접속만 해도 감염된다. 윈도 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용해 네트워크를 통해 유포되기 때문에 취약한 컴퓨터는 부팅 때 감염될 수 있다. 이는 이메일 첨부파일을 통해 유포되는 대다수 랜섬웨어와 다른 것이다. SMB(Server Message Block)는 파일·장치를 공유하기 위해 사용되는 통신 프로토콜이다.
워너크라이가 빠르게 확산된 이유중 하나는 MS 사용자들이 2017년 3월 MS사가 프로그램 수정을 발표한 뒤에도 자기들의 소프트웨어를 신속하게 업데이트 하지 않았기 때문이다. 그 동안 악성 코드들은 대학들, 기업체, 각국 정부의 전산망등을 통해 널리 퍼져 나갈 수가 있었다.
배후
2017년 5월 16일 현재도 배후는 알려지지않고 있다. 보안업계는 5월12-13일 워너크라이 유포 초기에는 2016년 미국 국가안보국(NSA)이 개발한 해킹 툴을 훔쳤다고 주장한 해커단체 '섀도 브로커스'(Shadow Brokers)의 소행이 유력하다고 판단했다.
하지만 5월15일부터 시만텍과 카스퍼스키 랩등의 보안회사들은 랜섬웨어 공격에 북한이 연루되었을 가능성도 검토하고 있는 것으로 드러났다. 이들은 워너크라이 랜섬웨어 초기 버전의 일부 코드가 많은 기업 연구원들이 북한이 운영하고 있다고 믿고 있는 라자러스 그룹(Lazarus Group)이 사용한 프로그램에서도 나타났다고 말했다.
랜섬웨어의 예방 및 대응책
MS 윈도 옛 버전 이용자들은 업데이트 여부를 확인한 뒤 최신 버전으로 업데이트해야 랜섬웨어 감염을 피할 수 있다.
MS는 2017년 5월 13일 공식 블로그와 트위터 등을 통해 지원을 중단했던 윈도 옛 버전용(윈도 XP, 윈도 8, 윈도 서버 2003) 보안 패치를 긴급 배포했다.
윈도 10 버전은 자동으로 보안 패치가 업데이트되기 때문에 큰 문제가 없지만, 윈도 7 이하 버전은 설정에 따라 업데이트가 제때 이뤄지지 않는 경우가 종종있기 때문에 피해를 입을 수 있다.
한편 미래부창조과학부와 한국인터넷진흥원(KISA) 5월 14일 워너크라이로 인한 피해 확산 차단을 위해 대국민 행동요령을 권고했다.
그 내용은 다음과 같다.
개인이나 기업 직원들은 윈도우 보안패치가 설치되지 않았을 경우 컴퓨터 부팅 전 인터넷을 차단하고(랜선 연결 제거), SMB 포트를 차단한 후(프로토콜 비활성화), 인터넷에 연결해 윈도 보안패치 및 백신 업데이트 등을 진행해야 한다.
SMB 포트 차단 실행 방법은 ▲제어판→시스템 및 보안 ▲윈도 방화벽→고급설정 ▲인바운드 규칙→새규칙→포트→다음 ▲특정 로컬 포트→137-139, 445 입력→다음 ▲연결차단→다음 ▲도메인, 개인, 공용 체크 확인→다음 ▲이름설정→마침 순으로 실시하면 된다.
-
예대상계
금융기관이 기업이나 개인에게 제공해준 대출자금을 해당 고객의 예·적금과 서로 상쇄시켜 대출...
-
에너지효율운항지표[Energy Efficiency Operational Indicator, EEOI]
기존 선박의 운항 시 연비효율을 나타내는 지표. 국제해사기구(IMO)가 선박 운행 시 탄소...
-
예산성과금
예산성과금은 예산 절감과 수입 증대에 기여한 공무원이나 국민에게 보상하기 위해 1998년 ...
-
임베디드 시스템[embedded system]
어떤 제품이나 솔류션 등에 탑재돼 있는 마이크로프로세서에 특정한 기능을 수행하는 소프트웨어...