워너크립터

워너크립터(WannaCryptor)는 2017년 2월 처음 발견된 랜섬웨어다. 타 랜섬웨어에서 보이지 않는 특징이 두 가지 있다. 2017년 5월에 '워너크라이(WannaCry) 사태'가 전세계를 휩쓸었다.

특징[편집 | 원본 편집]

• 시한부 : 최초 감염 후 3일 이내 몸값을 지불하지 않으면 몸값이 2배로 오르며, 7일 뒤에는 파일을 복구할 수 없다.(라고 주장한다.)
• 킬 스위치 : 유포 시점에는 존재하지 않는 특정 도메인을 생성하여 웹 서비스를 올려두면 랜섬웨어가 작동을 멈춘다. 대량 유포 초기에 화이트해커에 의해 발견되어 킬 스위치가 작동했으나, 킬 스위치가 먹히지 않는 변종이 나왔다.
• 자가 번식 : 과거의 랜섬웨어는 공격자가 보안이 취약한 사이트에 랜섬웨어를 올려두고 희생자가 접속하기를 기다렸지만, 워너크립터는 윈도우의 보안 취약점을 통해 스스로를 배포한다. 과거의 컴퓨터 바이러스, 웜과 유사한 방식을 띠면서 랜섬웨어의 파괴력을 가지고 있다.

피해 및 복구[편집 | 원본 편집]

보안에 신경쓰지 않는 사람들과 업데이트 주기가 느릴 수밖에 없는 임베디드 기기들이 큰 피해를 입어, 150개국 20만 대 장비가 감염된 것으로 추산되고 있다.^[1] 대표적으로 영국에서 XP 연장 지원을 받고 있는 국가건강서비스(NHS) 네트워크가 공격받아 의료 서비스가 마비되었으며, 그외 많은 국가에서 내부 네트워크가 공격받아 업무가 중단되는 사태가 벌어지고 있다. 특히 임베디드 기기 중 대중에 노출되는 광고판 컴퓨터 등이 감염되면서 공포가 확산되고 있다.

한국에서는 ISP 특유의 포트 차단으로 인해 맹위를 떨치진 못하고 있으나, 감염 경로인 SMB를 사용할 수밖에 없는 기업 네트워크를 중심으로 번지고 있다. 주말이었던 12일~14일 간 5개 기업이 피해를 입었으며, 본격적으로 업무가 가동되는 월요일(15일)이 되자 3개 기업이 추가로 피해를 보고했다.^[2]

피해입은 유저들을 위해 개발자들이 노력중이며, 복호화가 가능한 툴이 등장했다. 이들은 메모리에서 랜섬웨어가 쓰고 반환했으나 아직 다른 곳에 쓰이지 않은 공간에 복호화키가 남는다는 헛점을 공략해 랜섬웨어를 해독하는 툴이다. Windows XP, 7 등 최신 운영체제에 비해 보안이 허술한 운영체제에서 랜섬웨어 최초 감염 후 재부팅, 다른 프로그램 실행 등 메모리가 초기화되거나 덮어씌워지는 작업을 안 한 상태에서 툴을 실행시켜야 해 상당히 까다로운 조건을 가지고 있다.

• XP용 복호화 툴 : aguinet, Wannacry in-memory key recovery for WinXP
• 7용 복호화 툴 : gentilkiwi, wanakiwi

예방[편집 | 원본 편집]

워너크립터에 쓰인 Samba 서비스(SMB, 파일 및 프린터 공유) 취약점은 윈도우 XP부터 윈도우 10(~레드스톤)까지 영향을 받는다.^[3] 17년 3월에 마이크로소프트에서 윈도우 비스타 이상 운영체제에 보안패치를 배포하여 무력화된 상태이며, 비스타 이전 버전은 5월 13일에 보안패치가 배포되었다.^[4]

또한 자가 배포 루트를 차단하기 위해 SMB 서비스에 쓰이는 포트를 방화벽에서 막고, SMB 서비스를 종료하도록 권고하고 있다.^[5] 다만 대한민국에서는 대부분의 ISP가 주택 등에 공급하는 일반 인터넷에 Samba 서비스를 허용하지 않기 때문에 랜섬웨어 자가 배포 루트가 봉쇄되어 있어, 일반인이라면 일부러 감염되지 않는 이상 피해를 입지 않는다.

보안패치 제공이 늦은 Windows XP, 서버 2003 등을 사용하면서 내부 네트워크를 통해 SMB 파일 공유를 이용한다면 최신 보안패치 적용, SMBv1(또는 파일/프린터 공유) 서비스 영구 종료 등이 권장된다.

외부 링크[편집 | 원본 편집]

• SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어, ASEC Threat Research & Response blog, 2016.05.14.

각주