[디지털투데이 박근모 기자] 지난 주말 유럽을 중심으로 감염이 확산된 '워너크라이' 랜섬웨어가 국내에도 피해사례가 발생하는 등 빠르게 확산되고 있다. 특히 이번 워너크라이 랜섬웨어는 마이크로소프트의 윈도 운영체제(OS)의 SMB 취약점을 노린 공격으로 기존 랜섬웨어가 랜섬웨어 파일을 실행해야만 암호화 공격에 감염 된 것과 달리 인터넷에 PC가 연결된 것만으로도 워너크라이에 감염이 되는 것으로 나타나 피해 규모가 빠른 속도로 증가한 것으로 나타났다.

오늘부터 본격적인 업무가 시작되는 국내의 경우는 유럽에서 먼저 워너크라이 랜섬웨어가 시작됐고, 글로벌 보안 인텔리전스 공유를 통해 피해 사례나 예방법 등을 전달 받음에 따라 피해 규모가 예상보다 적은 것으로 나타났다. 하지만 벌써 280여개의 워너크라이 변종 랜섬워어가 새롭게 발견됨에 따라 향후 변종으로 인한 피해가 발생할 가능성에 대해 보안 당국과 민간 보안업계에서는 상황을 주시하고 있는 것으로 알려졌다.

미래창조과학부와 한국인터넷진흥원(KISA) 등 보안 당국은 국가 사이버위기 경보단계를 '주의'로 상향하고 워너크라이 랜섬웨어 행동 요령을 배포하는 등 민간 피해를 막기 위해서 다양한 대비 태세를 강구 중이다.

또한 민간 보안 업계에서도 워너크라이 예방 툴을 공개하는 등 감염 피해 확산을 막기 위해 모니터링을 지속 중인 것으로 확인됐다.

KISA에 따르면 오는 3시 기준으로 국내 기업의 랜섬웨어 관련 감염증상 문의 신고 13건 중 KISA의 기술 지원을 받기 위한 실제 피해신고 접수는 총 8건으로 집계됐다. 또한 13일부터 오늘까지 118 상담센터에 접수된 랜섬웨어 관련 문의는 2375건이 접수됐다고 15일 공개했다.

글로벌 지역 워너크라이 랜섬웨어 감염 상황 (자료=멀웨어테크)

EU 경찰기구 유로폴에 따르면 지난 12일 유럽에서 발견된 워너크라이 랜섬웨어는 영국 국민보건서비스(NHS) 산하 병원, 자동차 제조 기업 르노 프랑스 공장, 인도네시아 국립암센터 등 150여개국에서 20만대 이상의 컴퓨터가 감염돼 정상적인 작동을 하지 못하고 있는 것으로 나타났다.

워너크라이 랜섬웨어는 서버 메시지 블록(SMB) 프로토콜에 존재한 취약점을 노린 공격 방식이다. MS는 해당 취약점을 파악하고 지난 3월 14일 취약점 업데이트 패치를 배포했다. 하지만 이미 MS의 공식 지원이 끝난 윈도XP, 비스타 등 구형 OS를 비롯해 사용자가 자동업데이트 기능을 꺼 둔 경우가 많아 해당 랜섬웨어로 인한 피해가 더욱 커진 것으로 나타났다.

특히 해당 취약점은 지난달 14일(현지시간) 해킹 그룹 '쉐도우 브로커스'가 미국 국가안전보장국(NSA)이 개발한 해킹 툴을 입수해 공개한 문서에 포함돼 있었으며, 해당 해킹 툴은 '이터널 블루'라는 명칭이었던 것으로 알려졌다.

최상명 하우리 CERT 실장은 "이번 워너크라이 랜섬웨어의 경우, 쉐도우 브로커스가 NSA를 해킹 후 공개한 문서에 포함돼 있었다"라며 "공개된 취약점을 이용해 스팸테크라는 해킹그룹이 워너크라이 랜섬웨어를 만들었다고 주장 중"이라고 설명했다.

이어 "쉐도우 브로커스의 멤버 3명이 스팸테크로 넘어간 것으로 확인 됐고, 취약점 공개 시점과 워너크라이 랜섬웨어 최초 배포 시점이 유사한 것으로 봤을때 쉐도우 브로커스가 유출한 정보를 바탕으로 스팸테크가 랜섬웨어를 개발해 확산시켰을 가능성이 높다"고 덧붙였다.

워너크라이 랜섬웨어는 지난 14일(현지시간) 유럽을 중심으로 빠르게 확산된 와중에 '멀웨어테크'라는 아이디를 사용하는 영국의 보안 전문가가 워너크라이 확산을 막는 '킬 스위치'를 발견해 확산 속도가 지연됐지만, 그 후 킬 스위치를 제거한 변종 랜섬웨어가 나타나면서 다시 확산이 진행된 상태다.

멀웨어테크에 따르면 워너크라이 랜섬웨어가 감염 후 접속을 시도했던 특정 도메인 이름을 등록해 접속 시도를 막은 결과 랜섬웨어가 스스로 전파하는 행동이 멈췄다.

전문가들에 따르면 이번 워너크라이 랜섬웨어가 여타 랜섬웨어와 달리 더 빠른 감염 확산이 가능했던 이유로, 스스로 복제가 가능한 '웜(Worm)' 코드가 포함돼 있었던 것으로 확인됐다. 웜 코드가 포함된 워너크라이 랜섬웨어는 감염된 PC에 연결돼 있는 네트워크 상에서 스스로 윈도OS 취약점을 검색해 취약점 패치가 이뤄지지 않은 PC를 감염시킬 수 있었던 것으로 나타났다. 

배승권 한국인터넷진흥원 침해대응단 팀장은 "워너크라이 랜섬웨어는 윈도OS의 SMB 취약점을 노린 형태로, 취약점을 패치하지 않은 PC가 인터넷 연결이 되는 순간 감염이 가능하다"라며 "반드시 인터넷 연결 전에 취약점 패치를 비롯해서 예방 조치를 취해야한다"고 설명했다.

워너크라이 랜섬웨어 감염 시 PC에 표시되는 비트코인 요구 화면 (자료=시만텍)

워너크라이 랜섬웨어는 윈도OS의 파일 및 프린터 등을 공유하는 SMB 프로토콜의 취약점을 악용한 행태로 감염이 되면 .3ds, .ai, .asf, .asm, .asp, .avi, .doc, .docx, .gif, .gpg, .hwp, .java, .jpeg, .jpg, .mp3, .mp4, .mpeg, .ost, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .raw, .rtf, .swf, .tif, .tiff, .txt, .wav, .wma, .wmv, .zip 등의 확장자명을 가진 파일을 '.WCRY'라는 확장자로 암호화 해 복호화 없이 사용할 수 없도록 만든다.

또한 PC 내 파일을 암호화 한 후에는 익명성이 보장되는 전자화폐 '비트코인'을 이용해 300달러를 지불할 경우에만 암호를 풀 수 있는 마스터키를 준다는 메시지 창이 뜨게 된다.

워너크라이 랜섬웨어 복구가 가능하다고 주장하는 업체, 현재 워너크라이 복호화 툴이 공개된 것은 전혀 없다.(사진=웹사이트)

현재 인터넷 상에서는 다양한 업체들이 워너크라이로 인한 암호화 걸린 파일을 복구 시켜준다는 광고들이 홍수를 이루고 있다. 하지만 현재 워너크라이를 해독할 수 있는 복호화 툴이나 마스터 키는 공개된 바 없다.

이형택 한국랜섬웨어침해대응센터 대표는 "현재 워너크라이로 암호화된 파일을 복구할 수 있는 복호화 툴은 공개된다 없다"라며 "현재 복구가 가능하다고 주장하는 업체의 경우 해커들에게 돈을 중개해주거나 혹은 사기일 가능성이 높다"고 전했다.

KISA와 한국랜섬웨어침해대응센터는 현재 워너크라이로 인한 피해를 입은 경우 해커 그룹에 돈을 지불하지 않은 한 해결 방법이 없는 상태로, 랜섬웨어로 인한 피해를 입었을 경우 해커 그룹에 먼저 돈을 지불하기 보다 관계 기관에 피해 신고 등의 방법을 통해 해결을 해야한다고 강조했다.

이번 랜섬웨어의 경우 윈도 취약점을 노린 제로데이 공격의 일종으로 윈도OS 취약점을 패치하는 방식으로만 해당 랜섬웨어 공격을 막을 수 있는 것으로 알려졌다. 이에 미래창조과학부와 KISA는 'SMB 취약점을 이용한 랜섬웨어 예방 대국민 행동 요령'을 공개했다.

랜섬웨어 예방 대국민 행동 요령 (자료=KISA)

SMB 취약점을 이용한 랜섬웨어 예방 대국민 행동 요령에 따르면 먼저, PC를 켜기 전 네트워크 단절을 위해 랜선과 와이파이를 끄고, 방화벽 설정 변경을 통해 감염 경로를 차단해야 한다. 특히 인터넷 재연결 후 윈도 보안 패치와 백신 프로그램 업데이트 등 보안 업데이트를 꼭 해야한다.

또한 윈도 방화벽에서 사용되는 SMB 포트를 차단해야 한다. 제어판에서 윈도 방화벽 설정으로 이동해 인바운드 규칙에서 SMB 프로토콜이 이용하는 139, 445 포트를 차단해주면 된다.

이같은 예방 방법 설정에 어려움을 겪는 사용자를 위해서 현재 이스트시큐리티, 안랩, 하우리 등 보안 업체들은 한번에 취약점 체크와 SMB 프로토콜 사용 중지를 할 수 있는 예방 툴을 배포 중이다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 "현재 미래부와 KISA에서 배포 중인 예방 방법인 SMB을 차단하는 방식은 인터넷에 접속했을때 워너크라이에 자동으로 감염되는 것을 막는 방법"이라며 "변종 랜섬웨어가 발견되고 있고, 실행 파일 형태로도 워너크라이 랜섬웨어 감염이 가능해 SMB를 차단했다고 안심하지 말고 윈도 최신 보안 패치를 비롯해 관심을 갖고 랜섬웨어 감염에 대비를 해야한다"고 강조했다.

일단 미래부와 KISA가 공개한 예방 방법을 통해 일단 사용자가 인식하기 전 자동으로 PC가 워너크라이에 감염되는 경우는 막을 수 있는 것으로 나타났다. 또한 MS가 제공하는 윈도OS의 최신버전 보안 업데이트를 할 경우에도 피해 예방이 가능하다. 하지만 워너크라이 랜섬웨어의 변종이 빠른 속도로 생성되고 있는 것으로 나타나 안심은 금물이라는 것이 다수의 전문가들 의견이다.

배승권 한국인터넷진흥원 침해대응단 팀장은 "현재 KISA는 보안 인텔리전스 네트워크를 통해 국내외 보안관련 기관과 기업들과 함께 랜섬웨어 정보를 공유하는 등 적극적인 대응을 하고 있다"라며 "워너크라이뿐만 아니라 다양한 랜섬웨어로부터 사용자 PC의 안전을 위해서는 윈도 보안 업데이트를 비롯해 검증된 백신 솔루션 등을 항상 최신 상태로 유지 관리하는 것이 무엇보다 중요하다"고 당부했다.

이어 "만약 랜섬웨어로부터 감염 피해를 입었다면 즉시 KISA에 신고를 해주길 바란다"라며 "KISA는 이용자들의 피해를 막기 위해 원격 점검을 비롯해서 피해 예방을 위한 노력을 계속 해 나갈 것"이라고 덧붙였다.

한편, 이번 워너크라이 랜섬웨어의 경우 이미 MS의 지원이 공식 종료된 윈도XP, 비스타를 비롯해 윈도7, 윈도8.1, 윈도10, 윈도 서버 2003, 윈도 서버 2008, 윈도 서버 2012, 윈도 서버 2016 등 현재 존재하는 모든 윈도 계열 OS가 감염 대상이다.

MS는 이미 공식 지원이 중단된 윈도XP에서도 워너크라이 랜섬웨어로 인한 피해가 접수 됨에 따라 MS 윈도 업데이트 공식 홈페이지(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)를 통해 해당 보안 업데이트를 추가 제공 중이다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사