포티넷, 워너크라이(WCry) 랜섬웨어에 대한 대비책 제시

[테크월드=정환용 기자] 포티넷코리아는 국내에서도 대규모 피해가 우려되고 있는 워너크라이(WCry) 랜섬웨어에 대한 대비책을 제시했다.

랜섬웨어는 가정 사용자에서부터 의료 시스템, 기업 네트워크에 이르기까지 모든 컴퓨터 사용자들을 대상으로 가장 빠르게 성장하는 멀웨어 위협이 됐다. 추적 분석에 따르면, 2016 년 1월 1일 이후로 평균 4000건 이상의 랜섬웨어 공격이 매일 발생했다.

포티넷의 연구 기관인 포티가드 랩에서는 5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리와 스페인 통신사업자들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히 24개 이상의 언어로 금전을 요구하는 점이 특징이다.

지난 4월 14일 포티넷이 발표한 ‘글로벌 보안 위협 전망 보고서’에 의하면, 글로벌 보안위협은 지역별 그룹에 따라 약간의 차이는 있으나, 전반적인 패턴이나 흐름은 거의 비슷하다는 사실을 밝혀냈다. 한 지역에서 유달리 출현 비율이 높은 봇넷은 다른 지역에서도 비슷한 수준으로 분포돼 있다.

포티넷은 포티넷 제품을 사용 중인 고객의 시스템 보호를 위해 즉시 AV와 IPS 시그니처를 업데이트·배포해 이를 차단했다. 더불어 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해 포티넷 웹 필터링(Fortinet Web filtering) 서비스에서 해당 랜섬웨어에 대한 명령·제어 서버(command-and-control servers)와의 통신을 차단했다.

이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려진다. 지난 달 쉐도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격해 확산되기 시작했다. ETERNALBLUE는 마이크로소프트(Microsoft) SMBv1(Server Message Block 1.0) 프로토콜의 취약점을 악용한다.
 
아래의 마이크로소프트(Microsoft) 제품이 영향을 받는다.
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8.1
• Windows Server 2012 and Windows Server 2012 R2
• Windows RT 8.1
• Windows 10
• Windows Server 2016
• Windows Server Core installation option
 
이를 방지하기 위해 사용 중인 모든 윈도우 시스템에 마이크로소프트 최신 패치를 적용해야 한다. 더불어 멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering)과 AV 검사 엔진(AV inspection engine)을 활성화시켜 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단해야 한다. 그룹 정책을 이용해 WNCRY 확장자의 실행을 차단하고, UDP 137/138, TCP 139/445 통신을 격리시킬 필요도 있다.

포티넷은 멀웨어 방지를 위해 아래와 같은 예방 조치를 권고하고 있다.
▲사용 중인 모든 기기들의 운영체제, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정한다. 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다.
▲방화벽에서 IPS, AV, 웹 필터(Web Filter)를 활성화시키고 최신 버전으로 유지해야 한다.
▲주기적으로 백업을 수행한다. 백업된 정보들은 무결성을 검증, 암호화해 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인해야 한다. 
▲모든 송수신 되는 이메일을 스캔해 보안 위협이나 실행파일들이 사용자들에 전달되는지 확인한다.
▲안티바이러스(anti-virus) 및 안티멀웨어(anti-malware) 프로그램이 주기적으로 자동 실행되도록 설정해야 한다.
▲이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화해야 한다. 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다. 
▲보안침해에 대한 업무대응전략을 수립하고 업무 보안취약점에 대한 정기적인 평가를 수행한다.
 
랜섬웨어에 감염된 경우, 아래와 같은 조치를 권고한다.
▲추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리·격리한다. 
▲네트워크 전체가 감염된 경우, 즉시 모든 디바이스를 네트워크로부터 분리한다.
▲완전히 망가지지 않은 감염된 디바이스는 전원을 끈다. 이를 통해 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지할 수도 있다.
▲사용자 PC에서 감염이 감지된 경우, 이에 대한 백업시스템은 즉시 네트워크에서 분리하고 백업된 자료가 감염되었는지 확인한다.
▲랜섬웨어 감염을 알리고 지원을 받기 위해 법무팀과 같은 법률관련 부서와 논의한다.

포티넷코리아의 조현제 대표는 “고객 시스템의 보안은 포티넷에게 무엇보다도 가장 중요하다. 포티넷은 악성 행동에 대응하기 위해 상황을 적극적으로 모니터링하고 있으며, 새로운 사항이 발견되는 즉시 업데이트해 피해를 최소화하고 적절한 예방 조치가 이뤄질 수 있도록 최선을 다하겠다”고 말했다.