’‘주말에 쉬고 월요일(15일) 출근한 경우, 컴퓨터를 켜기 전에 인터넷 선을 뽑아라. 인터넷과 분리된 상태로 컴퓨터를 켜 윈도 운영체제의 파일 공유 기능을 해제한 다음 다시 인터넷 선을 연결하고 마이크로소프트(MS) 업데이트 누리집에 접속해 보안패치를 하라.’
전세계 100여개 나라의 병원과 기업 등이 동시다발적으로 랜섬웨어 ‘워나크라이(WannaCry)’ 공격을 받아 일부는 운영이 중단되는 피해까지 발생한 가운데, 국내에서도 피해 사례가 잇따라 신고되고 있다. 한국인터넷진흥원(KISA)은 14일 “5곳이 신고해왔고, 2곳은 피해가 발생한 것으로 확인됐다. 이번 공격이 우리나라 시간으로 주말에 발생한 것이라 월요일에 피해가 확산될 가능성이 크다”고 밝혔다. 세계적인 보안업체 시만텍도 이날 “랜섬웨어 워너크라이 공격의 대규모 확산 가능성”을 경고했다.
All you need to know about the #Wannacry#Ransomware: https://t.co/jZUaaPyemH#wcrypic.twitter.com/ElqcfXSgln
— Symantec (@symantec) May 12, 2017
한국인터넷진흥원은 이번 랜섬웨어 공격을 피하기 위해서는 ‘에스엠비(SMB) 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’(한국인터넷진흥원 보호나라 누리집(www.boho.or.kr))에 따라 월요일 출근해 컴퓨터를 켜기 전에 인터넷 선부터 뽑을 것을 당부했다. 인터넷 선을 분리한 상태로 컴퓨터를 켜 제어판·프로그램·윈도 기능 설정 또는 해제를 차례로 선택한 뒤 ‘SMB1.0/CIFS 파일 공유 지원’ 체크를 해제(윈도8.1 이후 버전 기준)하고 컴퓨터를 재부팅해야 한다.
이후 다시 인터넷 선을 연결한 뒤 엠에스 업데이트 카탈로그 누리집(www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에 접속해 보안패치를 내려받아 설치하면 이번 공격을 막을 수 있다. 엠에스는 윈도에 들어있는 파일 공유 기능의 보안 취약점을 랜섬웨어 공격이 동시다발적으로 발생해 고객들의 피해가 잇따르자, ‘윈도XP’와 ‘윈도8’ 등 그동안 보안지원을 중단했던 옛 윈도에 대한 보안패치까지 긴급 개발해 배포했다.
한국인터넷진흥원은 “변종이 발생할 수 있으니 가능하면 윈도를 보안이 지원되는 최신판으로 업데이트하고, 랜섬웨어 공격을 받았거나 피해가 발생한 것으로 의심되면 바로 신고(국번없이 118이나 110번)해줄 것”을 당부했다.
[KISA 보안공지] SMB 취약점을 이용한 랜섬웨어 공격 주의 권고
랜섬웨어 피해 예방을 위해 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드 당부 드립니다.
자세한 내용 보기>https://t.co/li374LaKv9
— 한국인터넷진흥원 (@kisa118) May 13, 2017
랜섬웨어란 해커가 컴퓨터에 담긴 자료 파일을 암호화해 사용할 수 없게 만든 뒤 요구를 들어주면 암호 키를 주겠다고 하는 공격 방식이다. 2000년대 들어 기업으로부터 돈을 뜯어내기 위한 목적으로 많이 활용되고 있다. 이번에는 컴퓨터에 담긴 데이터 파일을 암호화한 뒤 사용자에게 300달러를 비트코인으로 지불하라고 요구하며, 3일 안에 지불하지 않으면 금액은 두배로 늘어나고, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고하고 있다. 기존 램섬웨어 공격은 이메일 첨부파일에 악성코드를 숨겨 배포하는 방식이었던데 비해, 이번 공격에 사용된 워나크라이는 윈도의 파일 공유 기능의 취약점을 악용해 네트워크를 통해 유포되도록 하고 있다. 사용자가 이메일 첨부 파일을 열지 않더라도 인터넷에 연결만 돼 있으면 감염된다.
외신 보도를 보면, 보안업계에선 지난해 미국 국가안보국(NSA)이 개발한 해킹 툴을 훔쳤다고 주장했던 해커단체 ‘섀도 브로커스’(Shadow Brokers)가 이번 공격을 주도한 것 같다는 분석도 나오고 있다. 영국 서리대학의 앨런 우드워드 교수는 “이번 랜섬웨어에는 미국 정보기관에서 유출된 엠에스 윈도 운영체제의 취약점을 이용하는 해킹도구가 사용됐다”고 말했다. 미국 국가안보국의 전방위 도청·사찰 의혹을 폭로했던 에드워드 스노든은 이번 사태와 관련해 트위터에 글을 올려 “엔에스에이가 윈도의 결함을 알아차렸을 때 바로 공개했더라면 이번 사태는 발생하지 않았을 것”이라고 지적했다.
한편, 컴퓨터 보안업체인 어베스트 등에 따르면, 이번 랜섬웨어 공격은 100여개 나라에서 동시다발적으로 발생한 역대 최대 규모이다. 신고된 피해사례만도 7만5천건이 넘고, 일부 나라에서는 정부기관·병원·기업 등의 업무가 마비되거나 차질이 빚어지기도 했다.
특히 러시아·영국·우크라이나·대만 등의 피해가 컸다. 러시아에선 내무부 컴퓨터 1천여대가 감염됐고, 언론사와 수사기관들도 공격을 당했다. 한 이통사는 이번 공격으로 콜센터 등의 가동을 일시 중단하기도 했다. 영국에선 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여개 병원이 환자 기록 파일을 열지 못해 진료에 차질이 빚어지거나 예약이 취소되기도 했다. 중국에선 일부 중학교와 대학교 컴퓨터가 공격을 당했고, 미국에선 대형 운송업체의 일부 컴퓨터가 감염됐다.