윈도 PC·서버 대상으로 감염시키는 네트워크 웜 랜섬웨어 '워너크라이'
대학병원·음식점 카드결제 단말기 등 감염…월요일부터 더 늘어날 듯
네트워크 연결 끊고 파일 공유 기능부터 해제해야
[아시아경제 한진주 기자] 국내에서도 '워너크라이(WannaCry)' 랜섬웨어 피해가 확산되고 있다. 기업과 기관들의 정상 업무가 시작되는 월요일부터 감염 피해가 기하급수적으로 늘어날 것으로 예상된다.
13일 보안업계에 따르면 국내의 한 음식점 카드 결제 단말기 PC 등이 워너크라이에 감염된 것으로 알려졌다. 국내 한 대학병원에서도 신고가 접수됐고, 이번 사고와 관련 여부를 확인하고 있다.
워너크라이 랜섬웨어는 윈도가 설치된 PC와 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드)이다. PC나 서버가 감염되면 접근 가능한 임의의 IP를 스캔해서 랜섬웨어 악성코드를 확산시킨다.
윈도 운영체제 SMBv2원격코드 실행 취약점 패치가 적용되지 않은 보안이 취약한 PC로 전파되고 있다. 감염되면 PC내 문서 파일과 압축파일, DB파일 등을 암호화해 사용할 수 없게 된다. 공격자들은 감염된 파일을 푸는 대가로 비트코인으로 금전을 요구하는 내용의 다국어(한글 포함)로 작성된 협박 메시지(랜섬노트)를 띄운다. 암호화된 데이터를 복호화하는 대가로 300달러 가치의 비트코인을 요구한다.
보안업체 어베스트에 따르면 현재 피해가 집계된 국가는 100개국에 달하며, 피해 사례가 7만5000건을 넘어섰다. 영국의 최대 자동차 생산공장인 닛산 선덜랜드 공장도 타격을 입어 가동이 중단된 것으로 알려졌다. 추가 피해가 늘어나고 있어 피해 규모는 더욱 늘어날 것으로 보인다.한국과 중국, 일본에서도 피해사례가 잇따라 접수되고 있다.
최상명 하우리 CERT실장은 "한국은 주말로 접어들어 기업과 기관 PC가 꺼져있어 피해가 적지만 월요일부터 피해가 엄청나게 증가할 것으로 예상된다"며 "글로벌 분석가들이 SMB 네트워크 웜을 멈출 수 있는 방법을 찾아서 급속 확산되던 감염 속도가 느려지고 있지만 또 다른 웜이 나타난다면 다시 악화될 수 있다"고 설명했다.
인터넷진흥원은 랜섬웨어 피해를 예방하기 위해서는 가장 먼저 PC를 켜기 전에 네트워크를 단절한 후, 파일공유 기능을 해제해야한다고 설명했다. 윈도우8.1 이상 PC에서는 '제어판-프로그램-윈도 기능 설정 또는 해제-SMB1.0/CIFS 파일 공유 지원 체크해제' 후 시스템을 재시작해야 한다.
네트워크 연결 후에는 백신 최신 업데이트를 적용하고, 악성코드 감염여부를 검사해야 한다. 또한 윈도 XP, 7, 8, 10을 이용하는 PC나 서버(2003, 2008 등)에 대해 최신 보안 업데이트를 적용해야 한다. 인터넷에 오픈된 윈도우 PC나 서버는 최신 패치를 적용하는 것이 좋다.
인터넷진흥원 관계자는 "월요일 이후 컴퓨터를 켰을 때 추가 피해가 발생할 가능성에 대해 예의주시하고 있으며 감염경로나 확산 여부를 분석중"이라며 "컴퓨터를 켜기 전 조치해야 할 부분에 대해서는 추가로 보호나라를 통해 공지할 예정"이라고 말했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>