랜섬웨어란 ?
참..지겹게도 랜섬웨어가 사람들을 괴롭히고 있다. 보안업계에선 너도 나도 자신들의 보안 솔루션이 랜섬웨어 차단이 가능하다고 광고하고 있는데 왜 이다지도 랜섬웨어는 유행에 유행을 하고 있을까?
다시한번 말하지만.. 랜섬웨어는 바이러스나 여타 악성코드와는 달리 현재까지는 백신이나 IPS는 물론 인공지능으로도 “악성 코드”라고 단정지을 수 없다. 랜섬웨어에 의해 파일들이 암호화되기 전까지는 말이다. 특정 프로그램이 랜섬웨어인지 여부를 정확하게 판단하기 위해서는 사람의 개입이 필수적이다. 게다가 랜섬웨어로 판명되어 차단기능이 백신 등에 추가될 경우 매우 손쉽게 변종을 만들수 있기 때문에 여타 악성코드에 비해 박멸이 어렵다.
랜섬웨어가 무엇인지 아직 정확하게 이해하지 못하고 있다면 예전에 포스팅 한 랜섬웨어의 정의와 증상, 예방법을 참고하기 바란다. (보러가기)
워너크라이 랜섬웨어
5월12일 부터 전 세계적으로 활동을 시작한 워너크라이 랜섬웨어는 감염될 경우 PC내의 중요 문서, 사진 파일 등을 암호화한 뒤 다음과 같은 창을 보여준다.
EST시큐리티 제공 “워너크라이 랜섬웨어”
한마디로 “니 파일 다 암호화 되었으니 돈내… 암호 풀어줄께..”다.
전형적인 랜섬웨어의 모습이다.
이 랜섬웨어는 5월 12일 부터 여러 글로벌 기업에도 감염되어 큰 피해를 보고 있다. 영국의 한 보안엔지니어가 전파된지 이틀째 되는날 킬스위치를 찾아 더 이상의 대규모 전파를 막았지만 안심할 수는 없는 상태다. 게다가 5월13일 경 부터는 국내의 대학병원과 신용카드결제기로 사용되는 .. Windows 운영체제를 사용하는 POS 단말기에도 감염이 되었다는 보고가 들어오는 상태다.
워너크라이 감염 경로
워너크라이 랜섬웨어는 Windows 운영체제의 취약점을 공격한다. 즉 조직 내의 한 PC에 이메일, 메신저, USB 등을 통해 감염될 경우 내부 확산은 Windows 운영체제의 취약점을 통해 감염된다.
이때 악용되는 취약점은 Windows의 파일 공유 서비스에 이용되는 SMB 서비스의 취약점이다. 정확하게는 “SMB v2 원격코드 실행 취약점”이며 Windows 제조사인 마이크로소프트에 의해 MS17-010 취약점으로 불린다. 2017년 들어 10번째로 발견된 치약점이라는 의미로 보인다. 이 취약점을 쉽게 설명하면 해커가 파일공유서비스가 실행 중인 윈도PC 혹은 서버의 윈도에 로그온 하지 않고도(즉, 비밀번호를 모르는 상태에서도) 원격에서 명령을 실행시킬 수 있다는 것이다.
워너크라이 랜섬웨어 감염 예방법
워너크라이 랜섬웨어도 랜섬웨어다. 때문에 앞의 포스트에서 설명한 방법에 의해 예방이 가능하다. (보러가기) 그리고 한가지 더 조치를 취하면 보다 더 안전하다고 할 수 있다. 취약점이 있는 SMB 서비스를 비활성화 시키는 것이다. 하지만 파일공유서비스를 계속 이용해야 한다면 이 방법은 사용할 수 없다.
먼저 제어판에서 프로그램 제거 또는 변경 화면을 실행시키고 Windows 기능 켜기/끄기를 선택한다.
Windows 기능 켜기/끄기를 실행하면 아래 처럼 작은 창이 실행되는데 “SMB 1.0/CIFS 파일 공유 지원”에 체크를 없애준다.
다만 이 방법은 워너크라이의 내부 전파를 막기 위한 것이라고 보면 된다.
만약 사용 중인 컴퓨터에서 파일 공유 서비스를 사용해야만 한다면 다음의 윈도 보안업데이트를 적용하면 된다.
Windows Patch – KB4012212
마이크로소프트의 윈도는 문제도 많지만 그에 반해 패치도 참 많이 내놓는다. 이번 취약점도 3월 달에 다시 패치를 내놓았다. 또한 이 패치 말고도 MS17-10 취약점을 없앨 수 있는 여러 패치가 있다. 패치번호가 다른 블로그나 보안사이트와 다르다 하더라도 의심하지 말길 바란다.
Windows 7 용 패치다. Windows 8 이상은 Windows 제어판에서 업데이트를 실행하면 된다.
URL은 다음과 같다. http://www.catalog.update.microsoft.com/search.aspx?q=4012212