워나크립트(WannaCrypt)라는 악성코드 피해가 세계적으로 확산 추세다. 외신 보도에 따르면 악성코드가 발견된지 불과 며칠만에 피해를 입었다고 파악된 국가가 거의 100개국에 달할만큼 전파력이 강한 것으로 나타나, 한국 인터넷 이용자들에게도 주의가 필요한 상황이다.
워나크립트는 '워나크라이(WannaCry)' 또는 '워나크립터(WannaCrypt0r)'라는 명칭으로도 알려졌다. 특정 취약점 패치가 안 된 윈도 시스템을 감염시킨 뒤 저장된 파일을 무단 암호화하고, 이를 되살리기 위한 비용으로 300달러 상당의 비트코인 송금을 요구하는 신형 암호화 랜섬웨어다.
■영국에서 초기 피해 발생 후 99개국으로 확산 "사상 최대규모 피해"
워나크립트는 앞서 영국에서 병원 전산시스템을 겨냥한 공격에 동원된 악성코드로 등장했다. 지난 12일 미국 지디넷 보도에 따르면 잉글랜드와 스코틀랜드 지역 병원이 공격에 따른 시스템 장애로 정상 운영을 할 수 없는 상황에 놓였다.
[☞원문: Hospitals across the UK hit by WannaCrypt ransomware cyberattack, systems knocked offline]
영국 공공보건담당조직 '국가보건의료서비스(NHS)' 잉글랜드는 이를 중대한 사고(major incident)로 지정했다. 서비스 IT시스템을 운영하는 'NHS디지털'이 워나크립트 공격으로 운영 중단 사태에 빠졌다. 12일 오후부터 13일 오전까지 다른 NHS소속 병원 45곳이 감염됐다고 보고했다.
워나크립트의 공격 피해는 영국 지역 또는 의료업계만을 겨냥한 게 아니었다. 미국 지디넷에 인용된 영국 BBC 보도에 따르면 테레사 메이 영국 총리는 "이는 NHS를 겨냥한 것이 아니라 국제적인 공격"이라며 "여러 국가와 조직이 영향을 받았다"고 말했다.
보안업체 카스퍼스키랩은 랜섬웨어 공격 사례가 영국, 러시아, 우크라이나, 인도, 중국, 이탈리아, 이집트 등 74개국에서 4만5천건 이상 기록됐고 상당수는 러시아에서 발생했다고 밝혔다. 또 이 악성코드 메시지는 여러 언어로 번역돼 여러 국가 이용자를 겨냥하고 있으며, 실제 공격 표적이나 피해 범위는 확인된 것보다 광범위할 수 있다고 경고했다.
[☞원문: Ransomware attacks spread worldwide]
다른 보안업체 어베스트는 러시아, 우크라이나, 타이완 등 지역을 포함한 99개국에서 5만7천건 이상의 공격 피해를 발견했다고 영국 텔레그라프 보도를 통해 밝혔다. 같은 보도에서 핀란드 헬싱키 소재 보안업체 F시큐어의 믹코 히포넨 최고연구책임자(CRO)는 이 사고가 "사상 최대 랜섬웨어 피해"라고 평했다.
[☞원문: Government under pressure after NHS crippled in global cyber attack as weekend of chaos looms]
스페인 일간지 '엘 빠이스(El Pais)'에 따르면 현지에서도 피해가 발생했다. 보도에 따르면 현지 국가 침해사고대응팀(CERT)은 대규모 랜섬웨어 공격이 발생했다고 경고하면서, 해당 공격에 동원된 랜섬웨어는 이터널블루(EternalBlue)라는 소프트웨어 취약점을 악용한다고 분석했다.
■해커그룹 '섀도브로커즈'가 탈취한 미국 NSA 사이버무기 '이터널블루' 취약점 악용
이터널블루는 미국 국가안보국(NSA)이 수집한 마이크로소프트(MS) 윈도 기반 소프트웨어 취약점 가운데 하나다. 업계는 이 심각한 결함이 패치되지 않아 만들어내는 위험을 오랫동안 경고해 왔지만, NSA는 세계 각지 인터넷 감청에 활용할 목적으로 이런 취약점을 보전해 왔다.
이터널블루 취약점은 NSA를 해킹한 섀도브로커즈(Shadow Brokers)에 의해 유출됐다. MS는 지난 3월 그 패치(MS17-010)를 배포했다. 이 취약점을 이용한 워나크립트는 3월 31일 처음 등장했으며, 패치되지 않은 컴퓨터를 통해 빠르게 확산하는 특징을 보이는 것으로 파악됐다.
또다른 보안업체 비트디펜더 설명에 따르면 워나크립트는 인터넷을 스캔해 취약점 패치가 안 된 윈도PC 목록을 찾아내고, 이용자와 상호작용하지 않고도 원격 코드 실행을 할 수 있다. 그리고 PC를 감염시킨 뒤에는 웜(worm)처럼 동작해 자신을 복제해 다른 컴퓨터로 퍼뜨린다.
당초 MS의 패치는 최신 운영체제(OS)용으로만 제공됐다. 윈도서버2003, 윈도8, 윈도XP 등 공식 지원 기간이 끝난 시스템 대상으로는 패치가 제공되지 않았다. 워나크립트는 제공된 패치를 적용하지 않았거나 패치가 제공되지 않는 OS를 쓰는 환경에서 빠르게 확산될 수 있다.
13일(현지시간) 영국 IT미디어 '컴퓨팅' 보도에 따르면 이 랜섬웨어는 전세계 12만대 이상의 컴퓨터를 감염시켰다. 보고된 피해 규모가 커지자, MS는 12일부터 지원 기간이 끝난 구버전 OS 이용 고객 대상으로도 취약점 패치를 제공하기로 했다.
[☞원문: How to protect yourself from the WannaCry Ransomware]
같은날 미국 지디넷 보도에 따르면 윈도서버2003 SP2 x64 및 x86, 윈도XP SP2 x64 및 SP3 x86, 윈도XP 임베디드 SP3 x86, 윈도8 x64 및 x86 시스템 고객들은 이터널블루 취약점으로부터 시스템을 보호하는 보안업데이트를 내려받을 수 있다. 공식 지원기간을 넘긴 OS에 패치를 제공하는 건 이례적이다.
[☞원문: WannaCrypt ransomware: Microsoft issues emergency patch for Windows XP]
■사이버보안 전문기관들 "OS에 최신 업데이트 적용·바이러스백신 사용하라"
영국 국립사이버보안센터(NCSC)는 이번 사이버공격에 대응하기 위해 영국과 국제적인 파트너 그리고 민간부문 전문가들과 상시 협력하고 있다고 밝혔다. NCSC 측은 조직의 전산시스템 보호를 위해 최신 보안 소프트웨어 패치를 적용하고 적절한 백신을 사용하라고 당부했다.
한국에서도 워나크립트 랜섬웨어 피해 우려가 확산하고 있다. 정부도 대응에 나섰다. 한국인터넷진흥원(KISA)은 13일 감염성이 높다는 워나크립트 랜섬웨어의 위험성을 경고하며 피해를 예방하기 위해 패치를 적용하도록 당부했다.
[☞원문: SMB 취약점을 이용한 랜섬웨어 공격 주의 권고]
[☞원문: SMB 취약점 관련 Windows XP, Server 2003 등 긴급 보안 업데이트 권고]
KISA는 워나크립트 랜섬웨어가 "윈도의 서버메시지블록(SMB) 2.0 버전 원격코드실행 취약점 패치를 적용하지 않은 PC로 전파되며, PC에 저장된 문서파일, 압축파일, DB파일, 가상머신파일 등을 암호화해 쓸 수 없게 만든다"고 설명했다.
KISA는 "기업 또는 개인은 랜섬웨어 공격으로 인한 피해를 입지 않도록 출처가 불분명한 전자우편 열람은 주의하고, OS는 윈도7 이상으로 버전 업그레이드 및 최신 보안패치를 반드시 적용해야 한다"며 "감염되는 등 피해가 발생한 경우 KISA 보호나라 홈페이지 또는 118상담센터로 즉시 신고해야 한다"고 덧붙였다.
관련기사
- "랜섬웨어 피해 예방 위해 보안 업데이트 필요"2017.05.14
- "박리다매식 한국 맞춤형 랜섬웨어 유포"2017.05.14
- "윈도서버 2분내 감염"…美 NSA 공격툴 악용 랜섬웨어 등장2017.05.14
- "MS스카이프, 이용자에게 악성광고 표출"2017.05.14
한국에서는 KISA와 사이버침해대응 민관합동협의회, 국내외 사이버위협인텔리전스네트워크 등 유관기관이 공조하고 있다. 사이버침해대응 민관합동협의회는 미래창조과학부, KISA, 국내 통신사와 ISP로 구성된 협의체다.
사이버위협인텔리전스네트워크는 KISA와 국내외 보안업체가 참여 중이다. 참여하는 국내 보안업체는 안랩, 하우리, 잉카인터넷, 이스트시큐리티, 빛스캔, NSHC다. 국외업체는 맥아피, 파이어아이, 팔로알토네트웍스, 포티넷, MS, 시만텍이다.
