[악성코드] 워너크라이 랜섬웨어 예방법과 특징 및 피해사례 알아보기

▣ 개요

 

워너크라이(WannaCry)는 이름부터 악랄하다. 이름 뒤의 'Cry'는 'Crypt'를 줄인 것도 있지만 울다는 뜻까지 포함한 중의적인 듯하며 한번 걸리면 말그대로 울고싶어라 노래를 부르게 만드는 작명이다.

 

윈도우 운영체제를 사용하는 컴퓨터가 대상인 랜섬웨어로 2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 많은 컴퓨터에서 심각한 피해가 발생하였다. 감염되면 컴퓨터 내의 파일들이 암호화 되어 버리며 파일 몸값으로 비트코인 300달러를 요구하는 메시지 창이 화면에 뜬다.

 

 

▣ 특징

 

 

워너크라이는 감염되면 사용자의 파일을 암호화 한 다음, 바탕화면의 배경 화면을 위의 이미지로 바꾼다.

 

PC가 워너크라이에 감염되면 <Wana Decrypt0r 2.0>이라는 이름의 창이 뜬다. 감염창에는 상황 설명, 복구 방법, 금전 지급 방법, 비트코인을 보내는 주소가 함께 표시되며 지불 기한과 파일을 잃게 되는 기한도 함께 표시된다. 감염된 파일명에는 '.WNCRY'가 붙어, '파일명.jpg.WNCRY'와 같은 식으로 파일명을 변경해 암호화한다. 만약 보안 프로그램이 워너크라이 랜섬웨어를 지우게 되면 배경화면이 검은색 창으로 바뀌며, 워너크라이를 다시 가동하라는 경고문이 뜨게 된다.

처음에는 300달러(한화 약 34만원) 상당의 비트코인을 요구했다가 3일이 지나면 두배인 600달러(한화 약 68만원)로 늘어나며 7일이 지나면 아예 파일 복구를 불가능하게 만든다.

 

해외 트위터 유저가 실제로 위의 금액을 입금했지만 암호화된 파일이 풀리기는 커녕 아무런 반응없이 돈만 가로채갔다고 한다.

사용자 PC의 시스템 언어에 맞게 메시지를 띄우는 용의주도함까지 보인다.

 

특히 Windows XP 와 7 버전이 워너크라이 랜섬웨어에 취약점을 가지고 있다고 알려져 있으며 상위 버전은 평소에 윈도우즈 업데이트와 백신의 업데이트 등으로 예방할 수 있다고 한다.

 

 

 

 

▶ 전파 경로

 

전파에 있어서 이 랜섬웨어의 가장 큰 특징은 웜 바이러스와 유사하게 자기 자신을 복제해 네트워크에 흘려보내는 것이 가능하며, 브라우저를 열어 해킹된 광고 서버나 해킹된 사이트 자체에 접속을 시도해야 감염이 될 수 있었던 방식(drive-by download)이나 이메일 첨부를 통한 고전적인 방식만을 사용하던 기존 랜섬웨어들과 달리 윈도우 OS 자체의 취약점을 이용하기 때문에 인터넷에 연결되어 있기만 해도 감염이 될 가능성이 생긴다는 것이다.

 

정확히는 MS 윈도우 운영체제의 네트워크 파일 공유 프로토콜인 SMB에 보안 취약점이 있었는데 이를 이용하여 전파된다. 이터널블루(EternalBlue)라 불리는 취약점을 이용하는 공격은 미국 국가안보국인 NSA가 개발한 것인데 이것이 유출되어 해커들이 사용하게 된 것이다. MS는 이 취약점을 보완한 패치를 이미 2017년 3월 14일에 윈도우즈 업데이트 형식으로 제공하기 시작했으나, 문제는 사용자들이 제대로 업데이트를 하지 않거나 업무용 프로그램의 호환성 등을 위해 업데이트를 꺼 놓은 업무용 PC들이 많다는 것이다.

 

 

 

 

한편 시만텍과 트랜드마이크로에 의하면 워너크라이는 SMB 취약점만을 이용하는 것이 아니라 앞서 언급된 기본적인 전파 경로인 드라이브 바이 다운로드 방식과 이메일 유포 방식 역시 병행해서 사용한다고 한다. 실제로도 워너크라이의 초기 확산은 SMB 취약점보다 스팸 메일 전파에 크게 의존했다. 따라서 업데이트나 방화벽 세팅을 통해 SMB 취약점을 틀어막았다고 해서 워너크라이에 감염되지 않을 것이라고 확신할 수는 없다.

 

국내 통신사 3사의 경우에는 SMB에 사용되는 포트들을 원천봉쇄하고 있기 때문에 외부망을 통한 SMB 공격은 불가능하고 공유기나 허브 안의 내부망에서 한 대라도 감염된 PC가 나올 경우에는 SMB 공격을 철저하게 방어해야 한다.

현재 영국 보안회사의 한 프로그래머가 워너크라이 전파를 무력화해서 감염된 컴퓨터의 수가 줄어들었으나 다음 날에 워너크라이 2.0 버전이 등장하였다. 이 버전은 이러한 '킬 스위치'가 없는 첫번째 변종이며 지금은 2.0 버전이 기승을 부리고 있다.

 

 

 

 

▶ 공격 대상

 

위에서도 언급했듯이 크라이워너는 MS 윈도우 운영체제에 대한 SMB 원격 임의코드 실행 취약점(MS17-010), 드라이브 바이 다운로드, 이메일 유포를 통해서 전파되고 있다. 이 중에서 SMB 공격을 받을 수 있는 OS는 다음과 같다.

• Windows XP
• Windows Server 2003
• Windows Embedded POSReady 2009
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Embedded Compact 7
• Windows Server 2008 R2
• Windows Embedded POSReady 7
• Windows 8
• Windows RT
• Windows Embedded 8
• Windows Server 2012
• Windows 8.1
• Windows RT 8.1
• Windows Embedded 8.1
• Windows Server 2012 R2
• Windows 10 (RTM, 버전 1511, 버전 1607)
• Windows Server 2016 (RTM)

 

MS는 이례적으로 지원 중지된 Windows XP, Windows Server 2003, Windows 8에 대한 보안 패치를 내놓았다. 이외의 OS에서는 이미 해당 보안 업데이트를 2017년 3월에 배포하였다.

 

 

▣ 피해 사례

 

 

위 그래프는 카스퍼스키가 공개한 워너크라이 최다 공격 20개국을 나타낸다. 워너크라이는 전세계 150여개국 20만대 이상의 컴퓨터에서 감염이 확인되었다.

 

▶ 해외 사례

 

• 영국

스페인과 더불어 1차 피해국이며 특히 의료업계에서 피해를 입었다. 국민보건서비스(NHS) 산하에 있는 병원 40여개소가 피해를 입어서 예약이 취소되거나 진료에 차질을 빚었다고 한다.

 

• 독일

철도시스템이 공격을 받아서 일부 철도 모니터에 랜섬웨어 화면이 떴다. 다만 큰 지장은 없는 것으로 알려졌다.

 

• 일본

센다이역에 있는 JR 히가시니혼측 열차 지연 안내판이 감염되어 바로 전원을 내렸으나 즉각적인 대응으로 피해가 커지지 않았으며 별 다른 지장은 없다고 알려졌다.
일본의 대형 할인매장인 '이온 몰'에서도 감염되었으며 전국적으로 증세를 보이고 있다고 한다. 또한, 다른 기업에서도 피해가 속출하고 있다.

 

• 러시아

현재까지 알려진 피해국 중 가장 큰 규모의 피해를 받았으며 정부기관인 내무부 컴퓨터까지 감염되었을 정도다. 행정부 컴퓨터는 간신히 화를 면했지만... 이외에도 여러 공공기관에서 피해사례가 보고되었다. 그런데 워너크라이 배포를 한 것으로 보이는 '섀도우 브로커스'가 러시아의 해커로 추정되며 이 추정이 사실로 드러나면 그야말로 자국민에 의해 당한 꼴이 된다.

 

• 중국

공항, 출입국관리국을 비롯한 각종 공공기관은 물론 학교 공용 컴퓨터와 ATM까지 감염되는 등 심각한 피해를 입었다.

 

 

초기에 영향을 받은 국가들

 

 

▶ 국내 사례

5월 14일 한국에서 4,000건이 넘는 워너크라이 계열 랜섬웨어가 탐지되었다. KISA의 발표에 따르면 5월 15일 기준 실제로 랜섬웨어에 감염된 사례는 CGV를 포함하여 정식으로 피해 신고를 한 국내 기업 9곳이며 감염 의심 건수는 13건이라고 한다.

또한, 아산시의 버스 정류장 단말기 1대에도 감염이 된 것으로 확인되었다.

 

국내 신문 기사에는 병원이나 관공서만 공격하는 것처럼 기사가 나와 있는 경우가 많은데 그렇지 않다. 병원이나 관공서에서 MS 지원이 중단된 XP 등의 구버전을 아직 쓰는 경우가 많고 업무프로그램 호환문제로 업데이트를 잘 안 하기 때문에 피해가 많은 것일 뿐이며 워너크라이는 대상을 가리지 않는다.

 

 

국내 CGV에서 감염된 화면

 

 

▣ 대응 방법

 

다음 업데이트 중에서 딱 하나만 설치하더라도 MS17-010 취약점을 이용한 SMB 공격에서만큼은 안전하다. Windows 10 버전 1703과 Windows Server 2016 버전 1703은 설치 및 업그레이드 과정에서 해당 취약점에 대한 보안 업데이트가 이미 적용되어 있다.

• KB4012598 (Windows XP 서비스 팩 3, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 8 개별 업데이트)

• KB4012212 (Windows 7 서비스 팩 1, Windows Server 2008 R2 개별 업데이트)

• KB4012214 (Windows Embedded 8, Windows Server 2012 개별 업데이트)

• KB4012217 (Windows Embedded 8, Windows Server 2012 2017년 3월 품질 롤업 업데이트)

• KB4012213 (Windows 8.1, Windows Server 2012 R2 개별 업데이트)

• KB4012216 (Windows 8.1, Windows Server 2012 R2 2017년 3월 품질 롤업 업데이트)

• KB4012606 (Windows 10 RTM 개별 업데이트)

• KB4013198 (Windows 10 버전 1511 개별 업데이트)

• KB4013429 (Windows 10 버전 1607, Windows Server 2016 RTM 개별 업데이트)

• KB4012215 (Windows 7 서비스 팩 1, Windows Server 2008 R2, Windows 10 버전 1607, Windows Server 2016 RTM용 2017년 3월 품질 롤업 업데이트)

• 2017년 3월 (KB4012217/KB4012216/KB4012215) 이후에 배포된 최신 월별 품질 롤업 업데이트

 

 

 

 

업데이트가 꼬이는 것이 싫다면 월별 품질 롤업 업데이트 하나만 설치하면 된다. Windows Update에서 위의 업데이트들이 뜨지않고 수동으로 적용할 경우에 "업데이트를 컴퓨터에 적용할 수 없습니다."라고 나온다면 이미 업데이트가 적용된 상태다.

 

워너크라이의 전파 경로가 SMB에 대한 취약점에 한정되지 않고 이메일과 드라이브 바이 다운로드 공격까지 활용하기 때문에 보안 업데이트를 했다고 해서 워너크라이에 걸리지 않는다는 보장은 할 수 없으므로 최대한 조심해야 한다.

 

그러나 위의 방법을 포함하여 인터넷에서 볼 수 있는 대처법은 거의 윈도우 8 ~ 10의 비교적 최신버전 기준으로만 설명되어 있어서 이보다 이전 체제의 사람들이 방법을 찾기엔 다소 애로사항이 있다. 예를 들면, '방화벽으로 포트 봉쇄' 방법은 윈도 Vista 이상에서만, 'SMB 1.0/CIFS 사용 안함'의 경우는 윈도 8 이상에서만 가능한 방법이라 구버전(특히 XP) 사용자의 경우에는 상당히 애매한 상황이다. XP/서버 2003의 경우 KISA의 보안공지에도 'RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경'이라고만 되어있어 컴퓨터에 능숙하지 못한 사용자의 경우 대단히 애매한데, 네트워크 설정에서 인터넷 프로토콜(TCP/IP) → 고급 → WINS 탭에 가서 'TCP/IP에서 NetBIOS 사용 안 함'을 체크하고 'Microsoft 네트워크용 파일 및 프린터 공유'란을 체크해제하면 일단 SMB 프로토콜 사용은 중단이 가능하다. 제어판 → Windows 방화벽에서 '파일 및 프린터 공유' 항목에 체크가 꺼졌는지도 확인한다.

 

 

 

 

현재 이 워너크라이 계열 랜섬웨어는 대부분의 백신에서 진단된다고 알려져 있으며 차단이 확인된 백신으로는 비트디펜더, 어베스트, 앱체크, V3, 알약, 카스퍼스키, 노턴 시큐리티, 바이로봇, 닥터웹, 소포스, 에프시큐어, 존알람 등이 있다.

애시당초 윈도우 업데이트를 정기적으로 충실히 하고 방화벽의 설정을 잘 해놓은 경우에는 감염될 가능성이 현저히 낮아진다. 수상한 이메일에 있는 첨부파일을 열어보거나 악성코드가 감염된 웹사이트나 광고 배너에 노출되지만 않는다면...

 

워너크라이 그 자체도 악질이지만 워너크라이로 인한 피해가 커진 이유는 보안 업데이트를 게을리하고 방화벽을 꺼놓을 정도로 보안에 무지한 사람들이 원인인 것이다. 특히 이번 공격은 보안 업데이트가 공개되지 않은 상태의 최신 취약점을 노린 제로 데이 공격도 아니고 이미 2017년 3월에 배포된 업데이트로 해결된 취약점을 이용하여 치명적인 피해를 입혔다.

 

워너크라이는 이러한 보안 불감증을 철저히 이용하였다.

 

Mac이나 리눅스를 사용하면 된다는 말도 있지만 이 역시 Wine이나 Darwin과 같은 윈도우 호환 레이어를 사용하는 가정하에는 마찬가지로 감염된다. 그런데 워너크라이가 Wine에서 작동하는 이유는 랜섬웨어의 구조가 단순하기 때문이다. 모든 윈도우 프로그램이 돌아가기 위해선 수동으로 Wine을 통해 실행해야 하므로 수상한 파일을 열지 않으면 그만이다.

 

 

▶ 예방법

 

미래창조과학부와 한국인터넷진흥원(KISA) 등이 랜섬웨어 예방 사이트 보호나라를 통해 공개한 워너크라이 예방 대국민 행동 요령은 총 3단계로 나뉜다.

 

 

 

 

1. PC를 켜기 전에 인터넷 연결 랜선을 뽑거나 무선 와이파이를 꺼서 인터넷 연결을 차단한다.

2. PC 전원을 켜서 윈도우 방화벽의 설정을 변경해 악성코드가 유포되는 네트워크 포트를 차단한다.

3. 인터넷을 재연결한 뒤, 문제가 된 보안 취약점을 해결하기 위해 윈도우 운영체제를 업데이트하고, 백신도 최신 버전으로 업데이트할 필요가 있다.

 

인터넷 연결을 차단한 뒤 가장 필요한 단계는 두번째 단계로, 방화벽 설정을 변경하는 것인데 공격이 들어올 가능성이 있는 SMB 포트(137 ~ 139, 445 포트)를 차단하는 방식이다. 제어판의 [시스템 및 보안]에서 윈도우 방화벽의 고급 설정에 들어가 인바운드 규칙을 클릭해 새 규칙을 만든다. 규칙 방식은 포트로 설정한 다음, TCP와 특정 로컬 포트를 체크하고 입력란에 137, 138, 139, 445를 입력한다. 도메인, 개인, 공용 체크를 확인한 뒤 이름을 설정하면 차단이 완료된다.

 

윈도우즈 7의 경우 업데이트가 매우 느려지는 오류가 있을 수 있는데 이러한 경우 별도로 파일을 저장 받아 실행하면 설치할 수 있다.

 

 

 

 

▣ 기타

 

• 워너크라이에는 비트코인 계좌 3개가 하드코딩되어 있다. 몸값을 받기 위한 것인데 비트코인 월릿의 소유주는 알 수 없으나 거래내역은 누구나 볼 수 있는 특징이 있다. 이 월릿들을 모니터링 하는 트위터 봇이 생겼는데 이 봇에 따르면 한국 시간으로 2017년 5월 15일 17시 기준으로 151건의 거래가 있었으며 총 $42,640.91 USD(약 24.76 BTC, 한화 약 4,788만원 상당)가 입금되었다고 한다. 이 사태로 인해 비트코인의 단점이 다시금 수면 위로 부상하였는데 추적이 어려운 비트코인때문에 이러한 랜섬웨어 피해가 커졌다는 것이다.

 

• 이번 워너크라이 유포의 배후에 MS-13 갱단이 개입해 있다는 소문이 프로그래머들 사이에 퍼져 있어서 신원이 노출되어 있는 유명 화이트 해커들이 몸을 사리게 만들고 있다고 한다. 위에 서술한 영국 보안회사의 프로그래머도 큰 공적을 세웠음에도 보복이 두려워서 신원노출을 꺼리고 있는 중이다. 이외에도 거론되는 유력 배후로는 해커집단인 섀도우 브로커스(Shadow Brokers)가 있다. 근데 이 섀도우 브로커스는 NSA를 털어서 이 코드를 MS에게 제공한 후 이 코어덤프를 공개한터라...

 

 

 

 

• 한편 이번 사태를 추적하는 몇몇 보안업체들은 소니픽쳐스 해킹사태와 유사점이 있다고 지적하면서 정황상 북한이 배후에 있을 가능성을 제기하거나 가능성이 높다고 발표했다. 하지만 워너크라이는 중국에 엄청난 피해를 안겨준 상황이라 북한이 진짜 배후일 경우 중요한 동맹국에 사이버 공격을 걸었다는 이상한 결론이 나오기 때문에 확증 짓지는 못하는 상황이다. 이번 사태에서 중국은 러시아에 이어 두번째로 많은 피해를 입은 국가이기 때문이다. 결정적으로 한글 메시지가 너무 엉성하다. 아무리 남북한이 그동안 크게 달라졌다지만 이건 높임말/반말이 뒤죽박죽 섞인, 기본조차도 제대로 지켜지지 않은 번역기 돌린 티가 팍팍 나는 문장이다.

 

• 워너크라이 감염 메시지 내에는 "6개월 동안 돈을 내지 못한 매우 가난한 사람들을 위해 무료 이벤트를 하겠다."라고 적혀있는데 어떤 의도인지는 밝혀지지 않았다.

 

◈ 관련 글

   ▶ [악성코드] 랜섬웨어 증상과 치료방법 알아보기

   ▶ [암호화폐] 비트코인 채굴방법과 비트코인 지갑 만들기