특히 이번 랜섬웨어가 병원을 주요 타깃으로 하고 있으며, 국내에서도 대학병원 한 곳이 감염된 것으로 추정되고 있다. 영국에서는 런던을 비롯해 많은 지역의 국민보건서비스(NHS) 산하 병원 40여개소가 공격을 받아 시스템이 중단돼 진료에 차질을 빚은 것으로 알려졌다.

13일 보호나라(boho.or.kr)는 SMB 취약점을 이용한 랜섬웨어 공격 주의를 권고했다.  Microsoft Windows의 SMBv2 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용해 랜섬웨어 악성코드를 유포하고, 패치 미적용 시스템 취약점을 공격해 랜섬웨어 악성코드(WannaCry) 감염시킨다는 것이다. 

랜섬웨어 악성코드(WannaCry)는 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화하고, 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원 등의 특징이 있다고 설명했다.

해결을 위해서는 MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전 업그레이드 및 최신 보안패치 적용이 필요하다고 밝혔다.

또 Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토해 ▲네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단 ▲운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화 ▲(Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경 ▲(Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화 등이 필요하다고 설명했다.

 

이번에 랜섬웨어는 문서파일과 압축파일 등 다양한 파일을 암호화하며, 한국어를 포함한 다국어로 협박 메시지(랜섬노트)를 통해 암호화된 파일을 푸는 대가로 300∼600달러 상당의 비트코인(가상화폐)을 요구하고 있다.

보통의 이메일 첨부파일을 통해 유포되는 경우와 달리 인터넷에 접속만 해도 감염되는 방식이어서 많은 피해가 우려된다.

국내의 경우 다행히 주말로 인해 큰 피해가 접수된 것은 없는 상황이지만 보완 대비 없이 월요일 업무를 개시할 경우 감염피해가 증가할 가능성도 있다.

안랩(AhnLab)에 따르면 랜섬웨어의 유포 및 감염 방식이 날로 고도화됨에 따라 악성 스크립트를 이용해 사용자가 인식하지 못한 상태에서 백그라운드로 동작하는 랜섬웨어가 늘고 있는데 스크립트는 소스 파일만 수정해도 새로운 변종 제작이 가능하기 때문에 랜섬웨어 제작자들이 선호하는 방식이다.

최근에는 사용자 계정 컨트롤(User Account Control, UAC) 창을 이용해 시스템 권한을 획득하거나 사용자가 UAC 창의 버튼을 클릭하면 악성 행위가 촉발(trigger)되는 방식의 랜섬웨어도 늘고 있다. 

문서파일의 경우 평문을 공개키(Public Key)를 이용해 암호화하면 암호문이 생성되고,. 이 암호문에 개인키(Private Key)를 이용하면 다시 평문으로 복구된다. 즉, 암호화된 정보를 정상적인 정보로 복구하기 위해서는 개인키가 반드시 필요하다. 

특히 중요 정보일수록 암호를 통해  제한된 인원만 접근할 수 있도록 하는데 정당한 접근 권한이 없는 사람에 의해 암호화가 되면서 정작 정당한 접근 권한을 가지고 있는 사람은 해당 정보를 이용할 수 없는 문제가 발생한다. 

또 해당 정보를 이용하기 위해 암호를 풀 수 있는 정보, 즉 개인키를 돈을 지불하고 구입하라고 종용한다. PC마다 요구하는 금액이 달라 적게는 500달러에서 많게는 2000 달러 이상의 금액을 비트코인으로 요구한다.

이러한 프로그램은 악성코드로 분류하는데 동작 방식이 인질을 납치하는 것과 비슷해 랜섬웨어(Ransomware = Ransom + Software)라고 명명됐다.

현재 랜섬웨어 피해로 인한 파일복구는 사실상 불가능한 상황이다. 물론 랜섬웨어 배포자가 요구한 돈을 지불한다고 해도 파일을 복구해 줄지는 미지수다.

파일복구업체 관계자는 “랜섬웨어로 인해 컴퓨터에 뜬 화면대로 돈을 지불한다고 해도 암호화된 파일을 풀어 줄지는 의문”이라며, “(복구업체에 맡길 경우) 보통 복구에 100여만원을 받는데 100% 복구는 쉽지 않다”고 말했다.

 

데이터가 백업돼 있다면 랜섬웨어는 피해는 컴퓨터를 포맷하고 다시 프로그램을 설치하는 정도이기 때문에 무엇보다 중요한 자료는 백업을 해 두는 것이 중요하다.

또 랜섬웨어 감염이 의심되실 경우 즉시 공유폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제해야 한다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있어 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다.