[디지털데일리 최민지기자] 전세계에 퍼진 워너크라이(WannaCry) 랜섬웨어 피해사례가 한국에서도 발견되고 있다. 이에 정부는 대국민 행동요령을 권고하며, 컴퓨터를 켜기 전 인터넷을 차단하고 중요 자료를 백업하기를 권고하고 있다. 현재 정부는 상황의 심각성을 고려해 국가사이버위기 경보단계를 주의로 상향했다.

미래부창조과학부(장관 최양희)와 한국인터넷진흥원(KISA)은 지난주부터 전세계적으로 피해가 확산되고 있는 윈도 운영체제 취약점을 이용한 랜섬웨어로 인한 국내 피해 확산 차단을 위하여 기업·기관 등의 월요일(15일) 근무 개시를 대비한 대국민 행동요령을 발표했다.

워너크라이 랜섬웨어는 마이크로소프트(MS) 윈도 운영체제의 SMB 취약점을 이용해 전파되므로, 취약한 컴퓨터는 부팅 때 감염될 수 있다. SMB(Server Message Block)는 파일·장치를 공유하기 위해 사용되는 통신 프로토콜이다.

◆정부, 대국민 행동요령 “컴퓨터 켜기 전 인터넷 차단”=먼저, 개인 및 직원들은 윈도 보안패치가 안된 경우 컴퓨터 부팅 전 인터넷을 차단해야 한다. 랜선 연결을 제거하면 된다. SMB 포트를 차단해 프로토콜을 비활성화시킨다. 이후 인터넷에 연결해 윈도 보안패치 및 백신 업데이트 등의 순서로 진행하는 것이 추가적 감염 피해를 막을 수 있다.

SMB 포트 차단 실행 방법은 ▲제어판→시스템 및 보안 ▲윈도 방화벽→고급설정 ▲인바운드 규칙→새규칙→포트→다음 ▲특정 로컬 포트→137-139, 445 입력→다음 ▲연결차단→다음 ▲도메인, 개인, 공용 체크 확인→다음 ▲이름설정→마침 순으로 실시하면 된다.

기업에서는 랜섬웨어 유입 및 확산을 차단할 수 있도록 보안조치를 적극 시행하고 랜섬웨어 감염 등 피해가 발생한 경우 KISA로 즉시 신고해야 한다..

◆분주한 보안기업, 예방책 잇따라 내놓아=국내에서 활동하는 보안기업들도 비상에 걸렸다. 시만텍코리아, 포티넷코리아, 카스퍼스키랩 한국지사, 안랩, 이스트시큐리티 등은 즉각 주의를 환기시키며 피해 급증에 대비해야 한다고 강조했다.

이와 관련 안랩은 V3제품군과 MDS 제품에서 해당 랜섬웨어의 진단·제거 기능을 제공한다고 공지했다. 이에 V3 제품군을 실시간 검사 기능과 엔진 자동 업데이트 적용 상태로 사용하기를 권장하고 있다.

백신 알약은 긴급 보안 업데이트를 통해 워너크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.WannaCryptor’으로 탐지 후 차단하고 있으며, 행위기반 차단 기능을 통해 유사 변종 랜섬웨어가 유포될 경우도 대비해 준다.

이스트시큐리티의 백신 알약은 긴급 보안 업데이트를 통해 이 랜섬웨어를 탐지명 ‘Trojan.Ransom.WannaCryptor’으로 탐지 후 차단하고 있으며, 행위기반 차단 기능을 통해 유사 변종 랜섬웨어가 유포될 경우도 대비해 준다.

시만텍코리아는 ▲변종 대응에 따른 보안 소프트웨어 최신 상태 유지 ▲OS 및 기타 소프트웨어 최신 상태 유지 ▲소프트웨어 업데이트에 최신 상태로 업데이트 ▲의심스러운 링크 및 첨부 파일이 포함된 이메일 유의 ▲매크로를 사용해 콘텐츠를 확인하도록 유도하는 MS 오피스의 첨부 파일이 포함된 이메일은 특히 주의 ▲매크로를 활성화하지 말고 즉시 이메일 삭제 ▲중요 데이터 백업 등의 준수사항을 밝혔다.

이번 랜섬웨어와 관련해서 시만텍은 시만텍 및 노턴 보안 솔루션을 통해 워너크라이 랜섬웨어와 관련된 악성코드(Ransom.Wannacry, Ransom.CryptXXX, Trojan.Gen.8!Cloud, Trojan.Gen.2)를 탐지한다.

포티넷코리아는 고객의 시스템 보호를 위해 즉시 AV와 IPS 시그니처를 업데이트·배포해 이를 차단했고, 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해서 포티넷 웹 필터링 서비스에서 해당 랜섬웨어에 대한 명령 및 제어 서버와의 통신을 차단했다.

포티넷코리아는 MS 최신 패치 적용뿐 아니라 명령제어 서버와의 통신을 차단하고 그룹 정책을 이용해 워너크라이 감염 후 나타나는 WNCRY 확장자 실행을 막아야 한다고 설명했다. 이러한 랜섬웨어 공격을 미연에 방지하려면, 다양한 기기를 운영 중인 대규모 조직에서는 중앙에서 패치를 관리할 수 있는 시스템을 마련하고 첨부된 오피스 파일들은 뷰어를 통해 확인해야 한다.

카스퍼스키랩도 해당 악성코드를 탐지하고 있다. 카스퍼스키랩은 자사 솔루션을 사용하는 경우, 시스템 감시기를 포함해 행동기반 사전 방역 기능이 작동 중인지 확인하라고 요청했다. 이 솔루션에서 중요영역 검사 등을 즉시 시행해 감염 위협을 탐지해야 한다. ‘MEM: Trojan.Win64.EquationDrug.gen’이 탐지된 경우 시스템을 재부팅하면 된다.

이미 랜섬웨어에 감염됐다면, 추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리해 격리해야 한다. 네트워크 전체가 감염된 경우, 즉시 모든 디바이스를 네트워크로부터 분리해야 한다. 완전히 망가지지 않은 감염된 디바이스는 전원을 끈다. 사용자 PC에서 감염이 감지된 경우, 이에 대한 백업시스템은 즉시 네트워크에서 분리하고 백업된 자료가 감염됐는지 확인해야 한다.

◆한국어 준비된 워너크라이, 알약에서만 2000건 이상 감염 확인=이 랜섬웨어는 기존과는 다르게 첨부파일을 열지 않더라도 인터넷에 연결만 돼 있다면 사용자 PC나 서버를 감염시킬 수 있어 위협의 강도가 한층 높다.

특히, 악성코드가 스스로 자기 복제를 해 다른 시스템까지 감염시키는 네트워크 웜(Worm)의 특성도 가지고 있다. 감염될 경우 인터넷에 연결돼 있고 보안에 취약한 PC를 무작위로 찾아내 감염 공격을 시도한다.

공격이 시작된 이번 주말에만 100여개 국가, 7만5000대 이상의 PC를 감염시킨 것으로 집계됐으며, 이로 인해 유럽과 아시아의 주요 대기업, 대학교, 병원 등의 전산 네트워크가 마비되는 초유의 피해가 속속 보고되고 있다.

이스트시큐리티의 통합 백신 알약(ALYac)에서만 2000건 이상의 공격이 탐지됐다. 12일 942건, 13일 1167건 이상 확인됐고 14일에도 지속적으로 공격이 일어나고 있다. 이처럼 국내에도 관련 위협이 확산되는 추세다.

이번 랜섬웨어는 감염 때 나타나는 비트코인 결제 유도 화면에서 한글로 된 안내문을 사용하고 있다. 한국도 주요 공격 대상에 포함돼 있다는 증거다. 기업뿐만 아니라 일반 사용자에게도 무차별적으로 확산되고 있기 때문에, PC에 저장된 중요 자료를 외부 저장 장치에 복사해 두는 등 랜섬웨어에 감염될 경우를 위한 대비를 시급히 진행해야 한다.

송정수 미래창조과학부 정보보호정책관은 “아직까지 국내 피해는 소규모로 파악되고 있으나 기업들의 근무가 본격적으로 시작되는 월요일은 대규모 피해가 발생할 우려가 높다”며 “이번 랜섬웨어 피해 확산 차단을 위해 개인·기업의 행동요령을 적극 시행하는 한편, 평상시에도 기본적인 보안수칙을 준수해 줄 것”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr