포티넷코리아(지사장 조현제, www.fortinet.com/kr)는 국내에서도 대규모 피해가 우려되고 있는 워너크라이(WCry) 랜섬웨어에 대한 대비책을 제시했다.

랜섬웨어는 가정 사용자에서부터 의료 시스템, 기업 네트워크에 이르기까지 모든 컴퓨터 사용자들을 대상으로 가장 빠르게 성장하는 멀웨어 위협이 되었다. 추적 분석에 따르면, 2016 년 1 월 1 일 이후로 평균 4,000 건 이상의 랜섬웨어 공격이 매일 발생했다.

포티넷의 연구 기관인 포티가드 랩에서는 5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신사업자들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히, 24 개 이상의 언어로 금전을 요구하는 점이 특징이다.

포티넷은 포티넷 제품을 사용 중인 고객의 시스템 보호를 위하여 즉시 AV 와 IPS 시그니처를 업데이트 및 배포하여 이를 차단하였고, 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해서 포티넷 웹 필터링(Fortinet Web filtering) 서비스에서 해당 랜섬웨어에 대한 명령 및 제어 서버(command-and-control servers)와의 통신을 차단했다.

이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려진다. 지난 달, 쉐도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격하여 확산되기 시작했다. ETERNALBLUE는 마이크로소프트(Microsoft) SMBv1(Server Message Block 1.0) 프로토콜의 취약점을 악용한다.

아래와 같은 예방 조치를 권고한다.

사용 중인 모든 기기들의 OS, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정한다. 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다.

방화벽에서 IPS, AV, 웹 필터(Web Filter)를 활성화시키고 최신 버전으로 유지해야 한다. 주기적으로 백업을 수행해야 한다. 백업된 정보들은 무결성을 검증, 암호화하여 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인해야 한다.  

모든 송수신 되는 이메일을 스캔하여 보안 위협이나 실행파일들이 사용자들에 전달되는지 확인해야 한다. 안티-바이러스(anti-virus) 및 안티-멀웨어(anti-malware) 프로그램이 주기적으로 자동 실행되도록 설정해야 한다.  

이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화해야 한다. 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다.  

보안침해에 대한 업무대응전략을 수립하고 업무 보안취약점에 대한 정기적인 평가를 수행해야 한다.

랜섬웨어에 감염된 경우, 아래와 같은 조치를 권고한다.

추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리하여 격리해야 한다. 네트워크 전체가 감염된 경우, 즉시 모든 디바이스를 네트워크로부터 분리해야 한다.완전히 망가지지 않은 감염된 디바이스는 전원을 끈다. 이를 통해 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지할 수도 있다.

사용자 PC에서 감염이 감지된 경우, 이에 대한 백업시스템은 즉시 네트워크에서 분리하고 백업된 자료가 감염되었는지 확인한다. 랜섬웨어 감염을 알리고 지원을 받기 위해 즉시 법무팀과 같은 법률관련 부서와 논의한다.

김원영 기자 goora@noteforum.co.kr

[디지털 모바일 IT 전문 정보 - 노트포럼]
Copyrights ⓒ 노트포럼, 무단전재 및 재배포 금지