Tech & Programming/서버 & 보안

[Tip] 워너크라이(WannaCry) 랜섬웨어 예방 방법

소스코드 요리사 2017. 11. 29. 00:44

  2017년 5월 14일 워너크립터(WannaCryptor) 라는 랜섬웨어 공격이 이슈가 되고 있다.

전산실에 근무하는 나는 이전에 서버의 익명FTP 계정을 공격하여 랜섬웨어에 감염되어 오라클과 관련된 모든 파일이 암호화되어 낭패를 본적이 있어서 관련 기사를 보고 주말내내 긴장을 늦출 수가 없었다.

다행히 서버 및 사용자 PC도 감염된 사례가 없이 넘어갔다. 하지만, 월요일 출근하자마자 혹시 모를 감염에 대비하여 점검 및 예방책 메뉴얼을 만들어 배포한다고 정신이 없었다.


  이번 랜섬웨어에 대해서 조사하고, 예방 메뉴얼을 만들면서 내용들을 정리하여 포스트 하니, 많은 분들에게 예방하는 데 도움이 되었으면 좋겠다.


1. 랜섬웨어란?

  몸 값을 뜻하는 Ransom 과 제품을 뜻하는 Ware의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화하여 금전을 요구하는 프로그램을 말함.


2. 이번 랜섬웨어의 특징은 ??

  이번 랜섬웨어는 워너크립터(WannaCryptor)/워너크라이(WannaCry) 라고 불리는데, 2017년 2월에 처음 발견되었고, Windows SMB(Server Message Block) 취약점을 악용하여 공격한다. SMB는 윈도우 운영체제에서 폴더, 프린터 등을 공유하기 위해 사용되는 프로토콜이다. 이번 워너크립터/워너크라이 랜섬웨어는 웜(Worm)의 특성도 가지고 있어 네트워크를 타고 전파가 되기 때문에 같은 네트워크에 SMB 취약점이 있다면 모두 감염될 가능성이 있으니 특별히 주의해야한다.

  일단 감염되면 PC내 문서파일, 압축파일, DB파일, 가상머신 파일 등을 암호화하여 확장자를 .WNCRY 으로 변경하고, 복호화 명목으로 300달러 이상 가치의 비트코인을 요구한다.

이번 워너크라이 랜섬웨어에 감염된 경우에 나타나는 창


3. 랜섬웨어에 걸렸다면??

  일단 다른 PC들의 감염을 막기 위해 랜섬웨어에 걸린 PC를 네트워크에서 분리해야한다. 그리고, 백신으로 같은 네트워크에 있던 PC들을 체크한다.

  그리고, 랜섬웨어에 걸린 PC는 포맷하는 것이 가장 최선의 방법이다. 인터넷에서 찾아보면 잘 알려진 랜섬웨어의 확장자의 경우에는 복호화하는 서비스를 제공하는 백신업체들이 있으나, 랜섬웨어의 변종이 워낙 많고 암호화 기법도 다양해서 복호화 할 수없는 것이 대부분이다.  따라서, 가슴 아프지만 깔끔하게 포맷하는 것이 가장 좋은 방법이다.


4. 이번 워너크라이 랜섬웨어를 예방하기 위해서는??

1) MS17-010 보안업데이트 진행

   이번 워너크라이/워너크립트 랜섬웨어도 3월 MS 에서 윈도우 자동업데이트를 통해 업데이트를 진행하였다. 따라서, 윈도우 자동업데이트 또는 아래 링크를 통해 MS17-010 보안 업데이트를 적용한다.


*. 공지 MS17-010 – 긴급 Microsoft Windows SMB 서버용 보안 업데이트(4013389)

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx



*. MS17-010 취약점 패치 중 MS에서 지원중단한 OS에 대해서 별도로 제공한 패치


[Windows Server 2003 SP2 x64]

https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55244


[Windows Server 2003 SP2 x86]

https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55248


[Windows XP SP2 x64]

https://www.microsoft.com/en-us/download/confirmation.aspx?id=55250


[Windows XP SP3 x86]

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-kor_b2a6516e2fd541c75ebb4bcaeb15e91846ac90c5.exe


[Windows XP Embedded SP3 x86]

https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55247


[Windows 8 x86]

https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55246


[Windows 8 x64]

https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55249



2) 위 MS17-010 업데이트를 할 수없다면, ‘Microsoft SMBv1 사용 안함' 으로 설정하거나 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트를 차단.


*. SMBv1 사용 안 함

[Windows Vista 이상]

Microsoft 기술 자료 문서 2696547을 참조하십시오.


[Windows 8.1 또는 Windows Server 2012 R2 이상]

-. 클라이언트 운영 체제:

1. 제어판을 열고 프로그램을 클릭한 후 Windows 기능 사용/사용 안 함을 클릭.

2. Windows 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫음.

3. 시스템을 다시 시작합니다.


-. 서버 운영 체제:

1. 서버 관리자를 열고 관리 메뉴를 클릭한 후 역할 및 기능 제거를 선택합니다.

2. 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 해제하고 확인을 클릭해 창을 닫습니다.

3. 시스템을 다시 시작합니다.


*. 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트를 차단

KISA 보호나라의 랜섬웨어 예방요령 참조 :

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723


3) 최신 윈도우 업데이트를 유지하기 위해서 업데이트 설정을 자동으로 설정

  랜섬웨어를 예방하기 위해서는 OS 취약점에 대한 업데이트를 지속적으로 최신으로 하는 것이 중요하다. 따라서 업데이트 설정을 자동으로 설정해두어 최신 업데이트가 빠르게 되도록 해야한다.


*. 윈도우 7



*. 윈도우 10



4) 백신 설치

  알약, V3, 카스퍼스키 등 백신을 설치하여 지속적인 시스템 감시를 하고, 주기적인 검사를 통해 랜섬웨어를 조기 예방 할 수 있다. 또한 이러한 백신 프로그램들을 통해 보안뉴스나 정보들을 볼 수도 있어 꼭 PC에 백신을 설치하는 것이 좋다.


5) 보안에 도움이 되는 사이트

-. 알약공식블로그 : http://blog.alyac.co.kr/1093

-. KISA 보호나라 : https://www.boho.or.kr/main.do