뉴스 보안
포티넷, 새로운 변종 랜섬웨어 '워너크라이(WCry)' 대비책 제시
남일희 기자  |  sun@cdnews.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.05.15  19:25:40
트위터 페이스북 미투데이 싸이월드 공감 네이버 구글 msn

[통신일보 = 남일희 기자] 포티넷코리아(지사장 조현제)가 국내에서도 대규모 피해가 우려되고 있는 워너크라이(WCry) 랜섬웨어에 대한 대비책을 제시했다.

랜섬웨어는 가정 사용자에서부터 의료 시스템, 기업 네트워크에 이르기까지 모든 컴퓨터 사용자들을 대상으로 가장 빠르게 성장하는 멀웨어 위협이 되었다. 추적 분석에 따르면, 2016 년 1월 1일 이후로 평균 4,000 건 이상의 랜섬웨어 공격이 매일 발생했다.

포티넷의 연구 기관인 포티가드 랩에서는 5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신사업자들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히, 24 개 이상의 언어로 금전을 요구하는 점이 특징이다.
 

 
 
 

지난 4월 14일, 포티넷이 발표한 ‘글로벌 보안 위협 전망 보고서’에 의하면, 글로벌 보안위협은 지역별 그룹에 따라 약간의 차이는 있으나, 전반적인 패턴이나 흐름은 거의 비슷하다는 사실을 밝혀냈다. 한 지역에서 유달리 출현율이 높은 봇넷은 다른 지역에서도 비슷한 수준으로 분포되어 있다.

조현제 포티넷코리아 대표는 “고객 시스템의 보안은 포티넷에게 무엇보다도 가장 중요하다. 포티넷은 악성 행동에 대응하기 위해 상황을 적극적으로 모니터링하고 있으며, 새로운 사항이 발견되는 즉시 업데이트하여 피해를 최소화하고 적절한 예방 조치가 이뤄질 수 있도록 최선을 다하겠다”라고 말했다.

포티넷은 포티넷 제품을 사용 중인 고객의 시스템 보호를 위하여 즉시 AV 와 IPS 시그니처를 업데이트 및 배포하여 이를 차단하였고, 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해서 포티넷 웹 필터링(Fortinet Web filtering) 서비스에서 해당 랜섬웨어에 대한 명령 및 제어 서버(command-and-control servers)와의 통신을 차단했다.

이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려진다. 지난 달, 쉐도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격하여 확산되기 시작했다.

ETERNALBLUE는 마이크로소프트(Microsoft) SMBv1(Server Message Block 1.0) 프로토콜의 취약점을 악용한다.

# 아래의 마이크로소프트(Microsoft) 제품이 영향을 받는다
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8.1
• Windows Server 2012 and Windows Server 2012 R2
• Windows RT 8.1
• Windows 10
• Windows Server 2016
• Windows Server Core installation option

다음과 같은 실행이 필요하다
사용 중인 모든 윈도우 시스템에 마이크로소프트(Microsoft) 최신 패치를 적용해야 한다.

멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering) 및 AV 검사 엔진(AV inspection engine)을 활성화시켜 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단해야 한다.

그룹 정책을 이용하여 WNCRY 확장자의 실행을 차단해야 한다.

UDP 137/138, TCP 139/445 통신을 격리시킨다.

# 아래와 같은 예방 조치를 권고한다
사용 중인 모든 기기들의 OS, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정한다. 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다.

방화벽에서 IPS, AV, 웹 필터(Web Filter)를 활성화시키고 최신 버전으로 유지해야 한다.

주기적으로 백업을 수행해야 한다. 백업된 정보들은 무결성을 검증, 암호화하여 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인해야 한다.

모든 송수신 되는 이메일을 스캔하여 보안 위협이나 실행파일들이 사용자들에 전달되는지 확인해야 한다.
안티-바이러스(anti-virus) 및 안티-멀웨어(anti-malware) 프로그램이 주기적으로 자동 실행되도록 설정해야 한다.

이메일을 통해 전달되는 파일은 매크로 스크립트를 비활성화해야 한다. 첨부된 오피스 파일들은 뷰어를 통해 확인하는 것이 바람직하다.

보안침해에 대한 업무대응전략을 수립하고 업무 보안취약점에 대한 정기적인 평가를 수행해야 한다.

랜섬웨어에 감염된 경우, 아래와 같은 조치를 권고한다
추가 감염 및 확산을 방지하기 위해 즉시 감염된 디바이스를 네트워크로 분리하여 격리해야 한다.

네트워크 전체가 감염된 경우, 즉시 모든 디바이스를 네트워크로부터 분리해야 한다. 완전히 망가지지 않은 감염된 디바이스는 전원을 끈다. 이를 통해 복구할 수 있는 시간을 벌 수 있고, 상황이 악화되는 것을 방지할 수도 있다.

사용자 PC에서 감염이 감지된 경우, 이에 대한 백업시스템은 즉시 네트워크에서 분리하고 백업된 자료가 감염되었는지 확인한다.

랜섬웨어 감염을 알리고 지원을 받기 위해 즉시 법무팀과 같은 법률관련 부서와 논의한다. 

[통신일보 = 남일희 기자 / sun@cdnews.co.kr]

     관련기사
· VMware, 美 델EMC월드展서 IoT 인프라관리솔루션 공개
· 패스트플러스, 나노광촉매 공기청정기 ‘에어가디언 KL-20’ 출시
· 네이처케어, 면역력 강화 ‘로얄 프로폴리스 Zn’ 12월 한정 출시
· 콤비타 '프로폴리스 치약'... 안심치약 입소문 타고 매출 2배 껑충
· 넷기어, 10기가비트 지원 데스크톱형 NAS 2종 출시
남일희 기자의 다른기사 보기  
기사제보 및 보도자료[news@cdnews.co.kr]
저작권자 ⓒ통신일보 | 무단전재 및 재배포금지 | 저작권 문의

알면 돈되는 새 제도
통신일보 2030뉴스 사이트맵
  • 쇼핑
    IT·생활가전
    웰빙·뷰티
    생활·사무용품
통신제국 | 회사소개기사제보제휴문의이용약관개인정보취급방침청소년보호정책이메일무단수집거부
제호 통신일보 · 발행인-편집인 이영림 · 등록번호 서울-아00840 · 등록-발행일 2009년 4월 17일 · 본사 서울특별시 서대문구 북아현로 25길 5, 501호
취재본부 경기도 과천시 별양상가1로 18, 과천오피스텔 916호 · 대표전화 02-3447-6100 · 사업자:123-22-49273 · 청소년보호책임자 남일희
통신일보의 모든 기사와 컨텐츠는 저작권법의 보호를 받습니다. 무단 전제, 복사, 배포 등을 금지합니다.
통신제국 Copyright All rights reserved.