2017. 5. 15.
MS 윈도우즈 기반의 컴퓨터를 타겟으로 한 랜섬웨어. 2017년 5월 12일에 대규모의 공격이 시작되어 전세계적으로 많은 수의 컴퓨터들에서 심각한 피해가 발생하였다. 감염되면 컴퓨터 내의 파일들이 암호화 되어 버리며, 300 달러 상당의 비트 코인의 몸값을 요구하는 메시지 창이 화면에 뜬다. 이 메시지는 28개의 언어로 번역되어 윈도우즈 언어에 맞게 뜨는 용의주도함을 보이고 있다.
MS 윈도우즈의 네트워크 파일 공유 프로토콜인 SMB 에 보안 취약점이 있었는데 이를 이용하여 전파된다. 이터널블루(EternalBlue)라 불리는 이 취약점을 이용하는 공격은 미국 NSA (!) 가 개발한 것인데 이것이 유출되어 해커들이 활용하게 된 것이다. MS 는 이 취약점을 보완한 패치를 이미 2017년 3월 14일에 윈도우즈 업데이트 형식으로 제공하기 시작했으나, 문제는 사용자들이 제대로 업데이트를 하지 않거나 업무용 프로그램의 호환성 등을 위해 업데이트를 꺼 놓은 업무용 PC들이 많다는 것이다.
워너크라이는 이 취약점을 공격하는 랜섬웨어로서 2017년 5월 12일부터 활동을 시작하였다. 이 취약점을 이용하여 보안업데이트가 되지 않은 랜 상의 컴퓨터들을 감염시킨다. 초기 버전에서는 특정 도메인(URL)이 활성화 되어 있으면 공격을 중단하는 킬 스위치가 있었고, 이를 알아낸 MalwareTech' 라는 트위터명을 쓰는 영국의 보안전문가가 개인적으로 도메인을 구매 및 활성화시켜 활동을 중단 시켰다.
다음 날에 워너크라이 2.0 버전이 등장하였고 바로 이러한 "킬 스위치"가 없는 첫번째 변종이다. 지금은 2.0 버전이 기승을 부리고 있다.
워너크라이는 SMB 취약점을 이용할 뿐만 아니라 기본적인 드라이브 바이 다운로드 방식과 이메일 유포 방식을 같이 사용한다는 점을 명심해야한다.
MS는 이례적으로 지원 중지된 XP, 서버 2003, Windows 8.0 (*8.1은 정상 지원 버전임)에 대한 보안 패치를 내 놓았다. 취약점은 Microsoft Windows에 대한 SMB 원격 임의코드 실행 취약점 (MS17-010, KB4016871)이며, 취약 대상 OS는 다음과 같다.
- Windows XP
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT 8.1
- Windows 10 (~ 버전 1607)
- Windows Server 2016
SMB에 대한 취약점에 영향을 받지 않는 OS는 Windows 10 (버전 1703)이다. 하지만 워너크라이의 전파 경로가 SMB에 대한 취약점에 한정되지 않고 이메일과 드라이브 바이 다운로드 공격까지 활용하기 때문에 어떠한 OS라도 안심할 수는 없다.
국내 신문 기사에는 병원이나 관공서만 공격하는 것처럼 기사가 나와 있는 경우가 많은데, 그렇지 않다. 병원이나 관공서에서 MS 지원이 중단된 XP 등의 구버전을 아직 쓰는 경우가 많기 때문에, 그리고 업무프로그램 호환문제로 업데이트가 잘 안 이루어지기 때문에 피해가 많은 것일 뿐이며, 워너크라이는 대상을 가리지 않는다.
한국 인터넷 진흥원에서는 대국민행동요령을 발표하였다. 요약하자면, 랜선 뽑고 와이파이 끄고, 방화벽 설정하고, 랜선 꽂은 후 업데이트.
애시당초 윈도우 업데이트를 충실히하고 방화벽의 설정을 잘 해놓은 경우에는 감염 될 수가 없다. 수상한 이메일에 있는 첨부파일을 열어보거나 악성코드가 감염된 웹사이트나 광고 배너에 노출되지만 않는다면...
결국 워너크라이로 인해서 피해를 커진 이유는 보안 업데이트를 게을리하고 방화벽을 꺼놓을 정도로 보안에 무지한 사람들이 원인인 것이다. 특히 이번 공격은 보안 업데이트가 공개되지않은 상태의 최신 취약점을 노린 제로데이 공격도 아니고 이미 업데이트로 해결된 취약점을 이용하여 치명적인 피해를 입혔다. 워너크라이는 이러한 보안 불감증을 철저히 이용하였다.
7
7
7
7
