워너크라이/Wcry 랜섬웨어 대처 방법

게시일: 2017-05-15 l 작성자: Trend Micro

예상치 못한 랜섬웨어 공격이 전 세계적으로 퍼져 나가고 있습니다. 랜섬웨어는 ‘the WannaCry’ (워너크라이) 혹은 ‘WCry’ 라고 불립니다. (트렌드마이크로에서 RANSOM_WANA.A 또는 RANSOM_WCRY.I로 탐지) 트렌드마이크로는 지난 2017년 4월 처음 워너크라이가 출현한 이래부터 계속해서 추적해 왔습니다. Trend Micro™ XGen™ 시큐리티는 행동 분석과 하이파이 머신 러닝 기술을 사용해 사용자들을 워너크라이와 다른 위협으로부터 보호합니다. 지금부터 유례 없이 퍼져나가는 워너크라이 랜섬웨어에 대한 설명과 개인 사용자와 기업이 어떻게 대처 해야 하는지에 관해 설명해 드리겠습니다.

사건 개요

유럽 몇몇 회사들이 처음으로 신고한 워너크라이는 회사의 미션 크리티컬 윈도우 시스템을 잠그고 랜섬 노트 메시지를 보냅니다. 워너크라이는 현재 전 세계 수많은 기업에 영향을 미치며 가장 광범위하게 확산되는 랜섬웨어 중 하나가 되었습니다. 일부 피해 받은 기업들은 회사 IT 인프라를 오프라인으로 전환해야 했으며, 의료 업계의 피해 기업들은 수술을 지연시키고 환자들을 돌려보내야 하는 상황에 처했습니다.

그림 1. 워너크라이 랜섬 노트 메시지들 중 하나

감염 대상

워너크라이의 변종은 현저한 피해 흔적을 남기며 최신 업데이트가 되지 않은 윈도우 기반 시스템을 공격합니다. 트렌드마이크로의 초기 원격 측정 기준에 기초하여 유럽이 현재 가장 큰 피해 지역으로 밝혀졌습니다. 중동과 일본 그리고 아시아 지역의 몇몇 나라들 또한 상당한 감염율을 보이고 있습니다.

워너크라이 감염은 의료, 제조, 에너지 (석유 및 가스), 기술, 식음료, 교육, 미디어 및 커뮤니케이션, 정부기관 등을 포함한 다양한 기업을 공격하고 있습니다. 광범위하게 퍼지는 특성으로 보아 특정한 피해자나 산업을 겨냥한 것으로 보이지는 않습니다.

[참고자료: 워너크라이 랜섬웨어 기술 개요 보기]

워너크라이 공격 개요

워너크라이는 176개의 파일을 목표로 겨냥해 암호화 시킵니다. 몇 개의 파일은 데이터베이스, 멀티미디어, 아카이브 파일 그리고 MS 문서 (Office documents) 입니다. 27개의 언어를 지원하는 워너크라이의 랜섬 노트 메시지는 300 달러 가치의 비트코인을 지불하도록 요구하는 내용이 담겨있으며, 일정 기한이 지나면 금액을 올리겠다는 내용이 포함되어 있습니다. 또한 일주일 안에 금액을 지불하지 않을 시 감염된 파일들을 삭제해 버리겠다는 협박성 내용 또한 적혀있습니다.

워너크라이는 CVE-2017-0144 (서버 메시지 블락의 취약성)을 이용해 시스템을 감염시킵니다. 보안 취약점은 Shadow Brokers group – the “EternalBlue”에서 유축된 익스필로잇을 이용하여 악용됩니다. 마이크로소프트의 보안 대응 센터 (Microsofts’ Security Response Center – MSRC)팀은 지난 2017년 3월에 발표된 MS17-010을 통해 그 취약성을 다루었습니다.

워너크라이는 자체적으로 빨리 퍼져 나갈 수 있는 번식 기능을 갖추었습니다. Worm-like 행동을 통해 네트워크 전반에 걸쳐 분산되어 있어 사용자 상호 작용 없이도 연결된 시스템을 감염시킬 수 있습니다. 그러므로 네트워크 상의 한 명의 사용자가 전체 네트워크를 감염시키는 게이트 역할을 하게 됩니다. 워너크라이의 번식 능력은 SAMSAM (삼삼), HDDCryptor, Cerber 변종 등과 같은 다른 랜섬웨어들을 연상시키는데, 언급된 랜섬웨어들 또한 연결된 네트워크를 이용해 시스템과 서버들 감염시키는 방식을 사용합니다.

[참고자료: Shadow Brokers가 유출시킨 해킹 도구와 기업의 관점으로 보는 의미]

대처 방법

시스템 자애. 운영 중단, 평판 손상, 정상적인 비즈니스 기능을 수행할 수 없는 재정적 손실과 사고 대응 비용 및 뒷수습 비용까지 워너크라이 공격이 주는 실질적 피해는 굉장히 큽니다.

[인포그래픽: 다층화 보안을 통한 랜섬웨어 방어]

다음은 기업이 워너크라이와 같은 위협으로부터 시스템을 보호하기 위해 채택하고 구현할 수 있는 몇가지 솔루션과 모범 사례입니다.

  • 랜섬웨어는 SMB 서버의 취약점을 활용합니다. 패치는 이러한 보안 결함을 악용하는 공격으로부터 방어하기위해 매우 중요한 역할을 합니다. 패치는 윈도우 시스템에서 사용가능 하며 마이크로소프트에서 더 이상 지원되지 않는 항목 또한 포함됩니다. 만약 패치를 적용할 수 없는 경우에는 가상 패치를 사용하면 위협 요소를 완화할 수 있습니다.
  • 방화벽과 탐지 및 침입 방지 시스템 구축으로 워너크라이의 확산을 줄일 수 있습니다. 네트워크에서 공격을 사전에 모니터링할 수 있는 보안 시스템 역시 이러한 위협 요소를 방지하는 데 도움이 됩니다.
  • 확산을 위해 익스플로잇을 사용하는 것 외에도, 워너크라이는 스팸메일 또한 사용하는 것으로 알려져 있습니다. 익스플로잇을 가지고 있는 스팸 메일에 빨간 플래그로 표시하는 것도 도움이 됩니다. IT와 시스템 관리자는 이메일을 기반으로한 멀웨어로부터 엔드포인트를 보호하기 위해 보안 메커니즘을 구축해야 합니다.
  • 워너크라이는 암호화 루틴을 수행하기 위해 시스템에 악성 구성 요소를 설치합니다. 화이트리스트를 기반으로 한 어플리케이션 컨트롤이 원치 않는 응용 프로그램이 실행되지 않도록 방지할 수 있습니다. 행동 모니터링은 비정상적 변경을 차단할 수 있습니다. 랜섬웨어는 시스템 감염을 위해 여러가지 기법을 사용합니다. 그러므로 사용자들 또한 시스템을 보호하기 위해 동일한 방법으로써 여러가지 보안 대책을 사용해야 합니다.
  • 워너크라이는 로컬 시스템과 네트워크 공유에 저장된 파일들을 암호화합니다. 데이터 분류를 사용하면 중요한 데이터를 보호할 수 있고 공격으로부터 발생하는 손해를 줄일 수 있습니다.
  • 네트워크 분할을 통해 이러한 위협이 내부적으로 확산되는 것을 방지할 수 있습니다. 올바른 네트워크 설계를 통해 이러한 감염의 확신을 방지하고 조직에 미치는 영향을 줄일 수 있습니다.
  • 시스템에서 필요 없는 SMB 프로토콜을 중단 하십시오. 불필요한 서비스를 실행하면 해커가 공격할 취약점이 더 많이 생깁니다.

그림 2. 트렌드마이크로의 XGen 시큐리티가 워너크라이 랜섬웨어를 탐지하고 감염 과정을 차단

트렌드마이크로 랜섬웨어 솔루션

기업들은 랜섬웨어와 같은 위협 요소를 완화하기 위해 다층화 방식을 사용해야 합니다. Trend Micro™ Deep Discovery™ Email InspectorInterScan™ Web Security 같은 이메일 및 웹게이트웨이 솔루션을 사용하면 랜섬웨어 공격을 방지할 수 있습니다. 또한 Trend Micro Smart Protection Suites 는 하이파이 머신 러닝, 행동 모니터링, 어플리케이션 컨트롤, 취약점 보호 등의 기능을 제공하여 위협의 영향을 최소화 합니다. Trend Micro Deep Discovery Inspector 는 네트워크상의 랜섬웨어를 탐지, 차단하고 동시에 Trend Micro Deep Security™ 는 물리적, 가상적, 클라우드 서버 전반에 걸쳐 랜섬웨어가 기업의 서버에 도달하는 것을 막아 줍니다.

소기업의 경우 Trend Micro Worry-Free Services Advanced 를 이용하면 호스트 이메일 보안을 통해 클라우드 기반의 이메일 게이트웨이 보안을 제공받을 수 있습니다. 엔드포인트 보안 기능 또한 행동 모니터링, 실시간 웹 레퓨테이션 등의 기능을 갖추어 랜섬웨어를 탐지 하고 차단 시킵니다.

개인 사용자의 경우, Trend Micro Security 10을 사용해 위협 요소와 관련된 악성 웹사이트, 이메일 및 파일을 차단하여 강력한 보호 기능을 제공 받을 수 있습니다.

사용자들은 Screen-locker 랜섬웨어를 감지하고 제거하기 위해 고안된 Trend Micro Lock Screen Ransomware Tool 과 같은 무료 도구를 이용 할 수 있습니다. 또한 Trend Micro Crypto-Ransomware File Devryptor Tool은 돈을 지불하지 않거나 암호 해독키를 사용하지 않고도 랜섬웨어에 감염된 파일들을 해독 할 수 있는 무료 도구 입니다.

트렌드마이크로의 솔루션에 대한 더 많은 정보를 여기를 클릭, 확인 하시기 바랍니다.


원문: WannaCry/WCRY Ransomware: How to Defend against it