PC켜기 전 네트워크 단절, 파일공유 해제해야
미래창조과학부는 랜섬웨어 확산 및 변종 풀현에 대비해 5월14일 오후 6시를 기해 국가 사이버위기 경보를 '관심'에서 '주의'로 한 단계 올렸다.
"지난 주말부터 세계적으로 확산한 랜섬웨어 공격 및 북한의 미사일 발사에 뒤이은 사이버 공격 등 사이버 위협 고조에 대응하기 위한 것"이라고 미래부는 설명했다.한국인터넷진흥원(KISA)에 따르면 5월13일부터 14일 오후 6시 20분까지 국내 기업 7곳이 관련 문의를 해왔고, 이 가운데 4곳은 정식으로 피해 신고를 하고, 기술 지원을 받기로 했다.
이와 별도로 민간 보안업체와 데이터 복구업체 등을 통해 접수되는 피해 사례도 상당한 것으로 파악된다.해외에 지사나 본사를 둔 국내 기업과 네트워크와 연결된 결제단말기와 광고판 등을 사용하는 상가들이 주요 타깃이 되고 있다.
보안업계에 따르면 랜섬웨어에 감염된 국내 IP(인터넷주소)는 4천여개로 알려졌다.랜섬웨어는 중요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성 프로그램이다. 감염된 IP로 접속하면 중요파일이 암호화되는 피해를 볼 수 있다.
보안업체 이스트시큐리티의 통합 백신 '알약'이 탐지한 공격 건수도 12일 942건, 13일 1천167건으로 이틀간 2천 건을 넘었다.대부분의 기업과 공공기관이 근무를 시작하는 월요일(15일)에는 피해 기업이 늘 것으로 우려된다.
정부의 사이버위기 경보 단계는 '정상'·'관심'·'주의'·'경계'·'심각' 등 총 5단계로 구분된다.정부는 현재 △주요 기반시설·기업 보안관제 강화 △랜섬웨어 관련 대국민 행동요령 등 보안수칙 준수 홍보 △악성코드 유포행위 긴급 차단 및 피해 복구 지원 등으로 사이버 공격에 대응하고 있으며 유관기관과 협력해 모니터링을 강화하고 비상대응팀을 운영하고 있다.
미래부는 기관·기업들에 "근무가 시작되는 15일부터 사이버 공격 피해가 늘어날 우려가 있으므로 보안이 취약한 부분을 점검, 보안강화 조치를 해야 하고 피해가 발생할 경우 즉시 관계기관에 신고해야 한다"고 요청했다.보건복지부도 각 협회에 공문을 보내 ‘사상최대 랜섬웨어 공격에 따른 보건복지분야 사이버 보안관리 강화’를 요청했다.
◆워너크라이 랜섬웨어란
마이크로 윈도의 SMB 원격코드 실행 취약점을 악용해 랜섬웨어 악성코드를 유포한다. 이메이 첨부파일 또는 오염된 웹페이지 접속을 통해 유포도는 대다수 랜섬웨어와는 달리 인터넷 네트워크 접속만 해도 감염된다. 다양한 문서파일, 압축파일, 유 파일, 가상머신 파일 등을 암호화 한다. 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트를 지원한다. PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔해 랜섬웨어 악성코드를 확산시키는 특징을 보이므로 감염과 동시에 공격에 악용된다. 영향을 받는 시스템으로는 Windows 7, Windows RT 8.1, Windows 8.1, Windows 10, Windows server 2008 R2 SP1 SP2, Windows Server 2012 R2, Windows Server 2016 등이다.
◆대응방법
PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능을 해제하고, 네트워크 연결 후 백신의 최신 업데이트 적용 및 악성코드 감염 여부를 검사해야 한다.
윈도 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트를 수행한다. 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용을 권고하고 있다.
윈도 7과 10을 비롯한 윈도 비스타 이상 버전은 '제어판' 메뉴에서 '윈도 업데이트'를 실행하고, 윈도 XP·윈도 8 등 MS가 보안 지원을 중단한 옛 버전은 MS 업데이트 카탈로그 사이트(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에서 자신의 운영체제에 맞는 업데이트 파일을 수동으로 설치한다. 윈도 버전 확인은 '제어판' 내 시스템 메뉴에서 할 수 있다. 가급적 옛 버전은 추가 위험을 막기 위해 최신 운영체제로 업그레이드 하는 게 좋다.
출처가 불분명한 이메일 및 불건전 홈페이지를 통한 감염 피해를 입지 않도록 주의한다.
이상 징후 포착, 침해사고 발생시 보건복지사이버안전센터 및 안국인터넷진흥원 인터넷 침해대응센터로 즉시 신고해야 한다.
◆피해사례
랜섬웨어에 감염돼 파일이 암호화되면 안타깝게도 사실상 복구가 어렵다. 데이터를 복구해준다는 민간 업체들이 많지만, 직접 복구하기보다는 해커가 요구하는 대로 비트코인(가상화폐)을 지불하고, 암호를 푸는 키(key)를 사서 복구하는 방식이 대부분이다. 이 과정에서 과도한 수수료를 요구하는 경우도 많다.
워너크라이 랜섬웨어는 초반 300달러(약 34만원) 상당의 비트코인을 요구하고, 사흘 내 지불하지 않으면 요구액을 600달러(약 68만원)로 올린다.
해커에게 돈을 지불한다고 하더라도 파일을 복구해준다고 장담하기 어렵다.
이 때문에 이번 공격으로 실제 해커에게 지불된 파일 '몸값'은 수만달러에 불과한 것으로 보안업계는 보고 있다.
파일 복구가 어렵다 보니 가장 흔한 해결책은 컴퓨터를 초기화(포맷)하고, 프로그램을 다시 설치하는 것이다. 이 때문에 중요한 자료는 백업이 필수다. 중요한 파일은 수시로 백업하되 컴퓨터와 물리적으로 분리된 별도의 외장 하드나 USB, 클라우드에 이중 혹은 삼중으로 저장해야 한다. 감염이 의심된다면 즉각 USB와 외장하드 등 외부 저장장치와 연결을 해제해야 한다. 외부 장치에 있는 파일들까지 암호화될 수 있기 때문이다. 클라우드를 이용할 경우에는 실시간으로 동기화되는 설정을 해제해야 한다.
◆위험징후 탐지 및 침해사고 발생시 신고체계
위험징후 탐지 및 대응 문의는 한국인터넷침해대응센터 콜센터(118)이며, 침해사고 발생시 보건복지사이버안전센터 긴급대응팀(02-3146-8324, 8326), 한국인터넷침해대응센터 콜센터(118)로 신고하면 된다.
