워너크라이 문의 6건…3곳에 대해 피해 조사 중
컴퓨터 켜기 전 인터넷 연결 끊고 SMB 설정 해제해야
[아시아경제 한진주 기자] 국내에서도 '워너크라이(Wannacry)' 랜섬웨어가 확산되면서 피해를 신고한 기업·기관이 3곳으로 늘어났다.
14일 인터넷진흥원에 따르면 워너크라이 랜섬웨어 피해를 문의한 국내 기업·기관이 총 6곳인 것으로 집계됐다. 인터넷진흥원은 이중 직접 신고를 받은 3곳에 대해 사고 내용을 조사중이다.
해외에서 워너크라이 랜섬웨어 전파를 중단할 수 있는 방법(킬 스위치)을 제거한 변종 웜이 발견돼 또 다른 랜섬웨어가 전파될 가능성도 높은 상황이다.
워너크라이 랜섬웨어는 윈도가 설치된 PC와 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드)이다. PC나 서버가 감염되면 접근 가능한 임의의 IP를 스캔해서 랜섬웨어 악성코드를 확산시킨다. 윈도 운영체제 SMBv2원격코드 실행 취약점 패치가 적용되지 않은 보안이 취약한 PC로 전파되고 있다.
감염되면 PC내 문서 파일과 압축파일, DB파일 등을 암호화해 사용할 수 없게 된다. 공격자들은 파일을 푸는 대가로 비트코인으로 금전을 요구하는 내용의 다국어(한글 포함)로 작성된 협박 메시지(랜섬노트)를 띄운다. 암호화된 데이터를 복호화하는 대가로 300달러 가치의 비트코인을 요구한다.
이번 랜섬웨어는 윈도의 취약점을 활용해 파일 공유 네트워크인 SMB 프로토콜을 통해 감염되고 있다. 피해가 전 세계적으로 확산되자 마이크로소프트는 이례적으로 구형 운영체제인 윈도XP와 윈도 서버 2003, 윈도 8용 패치를 제공했다.
감염을 막기 위해서는 컴퓨터를 켜기 전에 랜선을 뽑는 등 인터넷 연결을 차단해야 한다. 그 다음 윈도의 '설정' 메뉴에서 SMB 설정을 해제한 후 윈도 업데이트를 실시해야 한다.
SMB 파일 공유 설정을 해제하는 방법은 다음과 같다. 윈도 비스타 이하 버전을 사용하는 경우, 윈도 7 이상 운영체제로 버전을 업그레이드한 후 최신 보안패치를 적용해야 한다. 윈도 최신 보안패치가 불가능한 경우, 네트워크 방화벽과 윈도 방화벽을 이용해서 SMB 관련 포트(137(UDP), 138(UDP), 139(TCP), 445(TCP))를 차단하고, 운영체제 내 설정을 이용해 모든 버전의 SMB 프로토콜을 비활성화 해야 한다.
윈도우8.1 이상 PC에서는 '제어판-프로그램-윈도 기능 설정 또는 해제-SMB1.0/CIFS 파일 공유 지원 체크해제' 후 시스템을 재시작해야 한다.
윈도 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)는 최신 업데이트를 수행해야 한다. 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 최신 패치를 적용해야 한다. 자동 업데이트를 통해 업데이트를 하거나, 수동으로 설치해야 할 경우 'Windows Update' 카탈로그에서 사용 중인 운영체제 버전에 맞는 업데이트 파일을 수동으로 설치해야 한다.
보다 자세한 사항은 보호나라(www.boho.or.kr) 보안공지에서 확인할 수 있으며, 피해가 의심되는 경우 118상담센터(국번없이 118)로 문의하면 된다.
인터넷진흥원 관계자는 "랜섬웨어 피해를 막기 위해서는 무엇보다 예방이 중요하다"며 "내일 출근할 때 컴퓨터를 바로 켜지말고 랜선을 뽑고 컴퓨터를 켠 다음에 윈도우 보안설정에 들어가서 SMB 설정을 해제한 후 윈도 보안 업데이트를 실시해야 한다"고 말했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>