워너크립터 랜섬웨어, 윈도우 취약점 통해 인터넷만 연결되어 있으면 감염 가능

이스트시큐리티(대표 정상원)는 자가 복제로 전염성 가진 네트워크 웜(Worm)의 특성을 지닌 워너크립터(WannaCry, Wanna Cryptor) 랜섬웨어가 빠르게 확산되고 있다며 주의할 것을 당부했다.

현재 전 세계를 강타하고 있는 워너크립터 랜섬웨어는 윈도 운영체제(OS)의 SMB 취약점을 활용한 공격 방식을 사용하며, 기존의 랜섬웨어와는 다르게 첨부 파일을 열지 않더라도 인터넷에 연결만 되어 있다면 사용자 PC나 서버를 감염시킬 수 있어 위협의 강도가 한층 높다.

특히 워너크립터 랜섬웨어는 악성코드가 스스로 자기 복제를 해 다른 시스템까지 감염시키는 네트워크 웜(Worm)의 특성도 가지고 있어, 감염될 경우 인터넷에 연결되어있고 보안에 취약한 PC를 무작위로 찾아내 감염 공격을 시도한다.

주요 외신에 따르면 이 랜섬웨어는 공격이 시작된 이번 주말에만 100여 개 국가 7만 5000대 이상의 PC를 감염시킨 것으로 집계되었으며, 이로 인해 유럽과 아시아의 주요 대기업, 대학교, 병원 등의 전산 네트워크가 마비되는 초유의 피해가 속속 보고되고 있다.

이스트시큐리티 시큐리티대응센터는 “이번 워너크립터 랜섬웨어는 감염시 나타나는 비트코인 결제 유도 화면에서 한글로 된 안내문을 사용하는 등 한국도 주요 공격 대상에 포함되어 있다”며, “기업뿐만 아니라 일반 사용자에게도 무차별적으로 확산되고 있기 때문에, PC에 저장된 중요 자료를 외부 저장 장치에 복사해 두는 등 랜섬웨어에 감염될 경우를 위한 대비를 시급히 진행해야 한다”고 권고했다.

실제로 이번 워너크립터 랜섬웨어 공격은 이스트시큐리티의 통합 백신 알약(ALYac)에서만 12일 942건, 13일 1,167건 이상 탐지하였고, 오늘 현재도 지속적으로 공격이 탐지되고 있는 등 국내에도 관련 보안 위협이 급속히 확산되고 있는 것으로 확인되었다.

현재 알약 백신은 긴급 보안 업데이트를 통해 워너크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.WannaCryptor’으로 탐지 후 차단하고 있으며, 행위기반 차단 기능을 통해 유사 변종 랜섬웨어가 유포될 경우도 대비해 준다.

또한 이스트시큐리티는 이번 랜섬웨어의 확산과 피해 방지를 위해 KISA 인텔리전스 네트워크를 통한 24시간 실시간 정보 공유 시스템을 가동하는 등 긴밀한 보안 대응 공조를 진행하고 있다.

워너크립터 랜섬웨어와 관련된 상세한 내용은 알약 블로그 포스팅에서 확인할 수 있다.