[랜섬웨어 습격]전례없는 대규모 피해 원인은

랜섬웨어 피해 방지 요령(한국인터넷진흥원)

세계적으로 랜섬웨어(Ransomware)가 기승을 부리며 여러나라에서 역대 최악의 피해를 양산하고 있다. 이번 랜섬웨어는 사용자 컴퓨터가 인터넷만 연결이 돼 있어도 감염이 가능한 신종 악성코드라 피해가 커지는 것으로 파악된다.

15일 유럽연합 경찰당국인 유로폴에 따르면 지금까지 워너크라이(WannaCry) 랜섬웨어 공격으로 전 세계 150개국의 컴퓨터 20만대가 피해를 입은 것으로 알려졌다. 영국과 러시아, 우크라이나, 인도, 대만 등이 가장 큰 피해를 입었다.

한국도 워너크라이 랜섬웨어 피해를 정부에 문의한 곳이 현재까지 총 8곳인 것으로 집계됐다. 인터넷진흥원(KISA)은 이중 직접 신고를 받은 5곳에 대해 사고 내용을 조사 중이다. 보안업계에 따르면 랜섬웨어에 감염된 국내 IP(인터넷 주소)는 4000여개에 달한다.

랜섬웨어는 인터넷을 사용하는 사람의 컴퓨터에 침입해 내부 문서나 주요 파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램을 뜻한다.

몸값을 뜻하는 랜섬(Ransom) 제품을 뜻하는 웨어(Ware)의 합성어로 컴퓨터 사용자의 문서를 인질로 잡고 돈을 요구한다고 해서 붙여진 이름이다.

보통 랜섬웨어가 실행 파일을 열어야 감염되는 것과 달리 워너크라이는 인터넷만 연결이 돼 있다면 자동으로 감염이 가능하다는 점이 피해를 양산한 원인으로 전해진다.

워너크라이 랜섬웨어는 악성코드가 스스로 자기 복제를 해 다른 시스템까지 감염시키는 네트워크 웜(Worm)의 특성도 갖고 있다.

한국어로 작성된 워너크라이 랜섬노트(출처=이스트시큐리티)

워너크라이에 감염되면 컴퓨터 내의 문서 파일과 압축파일, 데이터베이스 파일 등을 암호화해 사용할 수 없게 된다. 해커로 추정되는 공격자들은 파일을 푸는 대가로 비트코인으로 금전을 요구하는 내용의 다국어(한글 포함)로 작성된 협박 메시지(랜섬노트)를 띄운다.

암호화된 데이터를 복호화하는 대가로 300달러 가치의 비트코인을 요구한다. 3일 내에 몸값을 내지 않으면 배로 올리고, 7일이 지나면 파일을 모두 삭제한다고 경고한다.

워너크라이가 마이크로소프트(MS) 윈도우 운영체제(OS)의 취약점을 침투 경로로 택한 점도 급속한 확산에 한몫했다.

보안업계는 해커들이 미국국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구 '이터널 블루(Eternal Blue)'를 훔쳐 랜섬웨어를 제작한 것으로 보고 있다. NSA가 확보해 둔 윈도의 취약점을 활용해 침투 경로를 설계했다는 이야기다.

마이크로소프트와 기관, 기업, 개인들이 보안 패치 업데이트를 소홀히 한 점도 원인으로 꼽힌다. 윈도우 버전이 오래된 컴퓨터일수록 보안이 취약해 랜섬웨어가 침투하기 쉬웠던 것으로 알려졌다.

미래부창조과학부에 따르면 랜섬웨어 피해를 막기 위해서는 윈도우 보안패치가 안된 경우 컴퓨터 부팅 전 인터넷을 차단하고(랜선 연결 제거) SMB 포트를 차단한 후(프로토콜 비활성화) 인터넷에 연결해 윈도우 보안패치 및 백신의 업데이트를 진행해야 한다.

SMB 포트 차단 실행 방법은 ▲제어판→시스템 및 보안 ▲윈도 방화벽→고급설정 ▲인바운드 규칙→새규칙→포트→다음 ▲특정 로컬 포트→137-139, 445 입력→다음 ▲연결차단→다음 ▲도메인, 개인, 공용 체크 확인→다음 ▲이름설정→마침 순으로 실시하면 된다.

업계 관계자는 "랜섬웨어 피해를 막기 위해서는 무엇보다 예방이 중요하다"며 "정해진 절차에 따른 윈도우 업데이트와 백신 업데이트를 통해 피해를 예방해야 한다"고 말했다.

글자크기 설정