본문으로 바로가기

안녕하세요, SATAz입니다.

이번 포스팅은 2017년 상반기에 발생한 보안 이슈 중에서도, 워너크라이 랜섬웨어에 대해서 알려드리려고 합니다.


유행성 감염병, 랜섬웨어 워너크라이(워너크립토)의 습격 - 2017년 5월


 워너크라이는 2017년 5월 12일부터 세계적인 대규모 사이버 공격으로 널리 배포된 랜섬웨어입니다. 

이 날 전 세계 99개국 컴퓨터 12만대 이상을 감염시켰는데, 의외로 대한민국에서는 조치가 빨라서 그런지 피해가 적었던 사건입니다. 


1. 워너크라이의 특징

 워너크라이 랜섬웨어도 다른 랜섬웨어와 같이 Windows구동에 필요한 파일들을 제외하고, 모든 파일들을 암호화시킵니다. 그리고 사용자에게 돈을 입금할 것을 요구하죠. 금액은 보통 1개의 Server 또는 PC당, 300$(한화 가치 약 30만원) 수준의 비트코인을 요구했습니다.


 워너크라이 랜섬웨어의 독특한 특징이라고 하면, SMB(Server Message Blok) 취약점을 통해 같은 네트워크에 연결되어있는 다른 컴퓨터들로 전염이 된다는 점입니다.


  보통 랜섬웨어의 경우에는, 1)가짜 e-mail을 보내서 랜섬웨어 프로그램을 다운로드 및 실행하게 만든다던가, 2)특정 악성코드 유포 사이트에 접속을 하면 자동으로 랜섬웨어를 다운로드 및 실행을 하도록 만든다던가 합니다. 하지만 워너크라이 컴퓨터가 부팅되고 네트워크가 연결된 것 자체만으로도 전염이 가능하여 엄청나게 위험하죠.




2. 워너크라이의 첫 대처는 상당히 빨랐다. - '우연한' 킬 스위치의 빠른 발견

 워너크라이의 영향은 초반부터 상당했을 것으로 예상되었습니다. 물론 숫자만 보았을 때에 '12만'은 많은 숫자이지만, 전 세계 전산망을 기준으로 보았을 때에는 피해수준이 그렇게 크지 않았다고 생각합니다.


후문으로, <<멀웨어테크>>의 보안전문가가 10$ 정도의 돈을 들여서 피해를 최소화했다는 이야기가 있습니다.

워너크라이 공격 이틀 째인 2017년 5월 13일, @malwaretechblog 라는 트위터 계정을 사용하는 보안전문가가, 미국 보안업체들의 도움을 받아서 이상한 도메인을 발견했습니다. 그리고 호기심에, 10$ 정도를 주고서 그 도메인을 정식으로 등록했다고 합니다.


그랬더니 워너크라이의 공격이 멈췄다... 라고 합니다. 


13일 보안업계에 따르면 '@malwaretechblog'라는 트위터 계정을 쓰는 한 사이버보안 전문가가 미국 보안업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 워너크라이 랜섬웨어의 킬 스위치를 발견했다.

이 전문가는 악성 코드를 분석한 결과 이 코드가 매우 길다란 특정 도메인 이름(글자로 된 인터넷 주소)에 접속을 시도한다는 사실을 발견했다. 

이 전문가는 당초 워너크라이 랜섬웨어의 확산에 관한 정보를 분석하기 위해 시험삼아 이 도메인명을 등록했으나, 당초 기대보다 더 큰 '보답'을 받았다.

랜섬웨어 제작자는 원하는 경우 확산을 중단할 수 있도록 도메인 이름으로 된 킬 스위치를 넣어 악성코드를 설계한 것으로 추정된다.

문제의 도메인 이름을 등록한 보안전문가는 미국 정보기술 매체 '더 데일리 비스트'와의 인터뷰에서 "(도메인 이름이) 등록돼 있지 않은 것을 보고 '내가 등록해야겠다'는 생각을 했다"며 "(로스앤젤레스의 서버에 도메인을 등록하자마자) 즉각 초당 5000∼6000건의 접속이 이뤄지는 것을 봤다"고 설명했다.

그는 "도메인 이름을 등록할 당시에는 이렇게 하면 확산이 중단될 것이라는 사실을 몰랐고, 그런 면에서는 우연히 발견한 것이라고 할 수 있다"고 설명했다.


- 출처 : http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0800&key=20170513.99002184515 / 국제신문 "워나크라이 램섬웨어 일단 안정...킬 스위치 작동에 단돈 '1만2000원'"




그 도메인의 정채는 바로 이것입니다.

도메인 :  iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com






3. 그 도메인은 킬 스위치로 설계한 것이 아닐 수도 있다?

 워너크라이의 킬 스위치를 작동시킨 <<멀웨어테크>>의 보안전문가는, 위의 특정 도메인이 킬 스위치 용도로 설계된 것이 아닌 것 같다고 밝혔습니다. 샌드박스[각주:1] 등의 보안 솔루션 환경에서는, 어떤 프로그램에서 접속을 시도하는 특정 도메인이 '정상적인 것 처럼' 보인다면, 그 도메인을 가상의 호스트와 연결시켜서 한번 작동을 시켜봅니다. 


 가상의 호스트와 연결을 시켰기 때문에 "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" 도메인의 접속이 성공했다고 랜섬웨어는 인식할 것입니다. 

그러면 워너크라이는, "내가 분석당하겠구나" 싶어서 랜섬웨어 동작을 멈춰버립니다.


즉, 랜섬웨어 제작자가 보안솔루션을 통해서 자신이 분석되는 것을 피하기 위해서 이렇게 설계했다는 결론에 도달할 수 있습니다.


“가상 기기 내에서 프로그램이 돌아가는 걸 막기 위한 여러 가지 장치 중 킬 스위치는 가장 투박한 방법입니다. 하지만 사용되는 방법이죠. 사실 파이어아이의 솔루션들 중에도 이런 방법을 활용한 것들이 있습니다. 멀웨어가 어떻게 작동하는지 먼저 보기 위해 가상의 도메인을 만들어 관찰하는 방법인데요, 가상 기기에서 프로그램이 헛돌아가는 걸 방지해줍니다.”

“실제로는 등록되어 있지 않은 도메인이지만, 샌드박스 환경에서는 등록 사실을 일일이 확인하지 않는 경우가 있습니다. 정상 도메인처럼 생겼으니까 멀웨어를 그냥 통과시켜 버리는 겁니다. 멀웨어가 이런 응답을 탐지하면, 공격자들 입장에서는 ‘샌드박스[각주:2] 환경이구나’라고 알 수 있게 되는 것이죠. 그러면 랜섬웨어가 동작을 멈춥니다. 분석 당하지 않기 위해서요.” 멀웨어테크가 그 도메인을 실제 존재하는 것으로 만듦으로서 멀웨어 입장에서는 세상 모든 시스템이 샌드박스처럼 보이게 된 것이다. 

- 출처 : http://www.boannews.com/media/view.asp?idx=54809 / 보안뉴스 "워너크라이 킬 스위치, 사실 분석 방해 장치였을까?"



4. 공격은 아직 끝나지 않았다. - 계속된 변종의 출현

 워너크라이는 공격이 한번 있었다고 멈추지 않았습니다. 처음 나타났을 때에는 그나마 킬 스위치라도 있었지... 최근 발견되는 워너크라이 같은 경우에는 킬스위치 마저 없습니다.


실시간 피해규모는 https://intel.malwaretech.com/botnet/wcrypt 에서 확인 가능합니다.

위의 URL을 들어가보니 Back Soon이라고 나타나는군요... 서비스를 일시 중지한 것 같습니다.



5. 랜섬웨어를 예방 및 대비하자.

랜섬웨어의 대비방안은 대략적으로 이렇습니다.


 1) 백신을 사용하자.

 제 주변에도 랜섬웨어를 당한 사람이 있습니다. 역시나 백신이 없는 상태였습니다. 백신좀 돈주고 사서 쓰세요...

백신을 사용하시면 바이러스가 발견된 뒤에, 웬만해서는 1일 이내에 패턴이 업데이트됩니다. 물론 세상에 없던 처음 출시된 악성코드가 감염이 되는 것은 막을 순 없겠지만, 그럴 확률은 현저하다고 볼 수 있겠습니다.

 부디 체험판 기간이 끝났다고 그대로 두지 마시고, 정식으로 백신 계약해서 사용하세요. 백신 사용은 모든 바이러스, 악성코드 등으로부터 예방하는 가장 기본적인 방법입니다.


 2) 데이터를 주기적으로 백업하자.

 데이터를 백업은 매우 중요합니다. 데이터 백업은 랜섬웨어뿐만 아니라 시스템이 복원 불가능한 상태에서도 매우 유용합니다. 

백업 하는 방법은,

  가) TrueImage 라는 솔루션을 이용해서, 시스템을 특정 시간에 스냅샷 찍어두는 방법도 있으며, 

  나) 증분 백업(CDP 솔루션)을 받는 방법이 있습니다.

  다) 그냥 중요한 파일들만 따로 백업 받는 방법도 있겠습니다.


  3) 백업받은 데이터는 다른 시스템, 다른 망에서 보관하자.

데이터를 백업받았는데, 백업받은 데이터마저 랜섬웨어에 의해 암호화되어버리면 의미가 없겠죠....

따라서 백업데이터는 다른 망, 별도의 시스템에 따로 저장해두셔야 합니다. 이 것 때문에, 어떤 호스팅업체에서는 난리가 났었죠....

 

  4) 윈도우 업데이트는 바로바로 해주자.

 매출과 관련된 서버의 윈도우 업데이트를 진행하는 것이 사실상 힘들다는 것은 알고있습니다. 아니... 힘들다기보다는 '귀찮다'에 가깝겠죠... 업데이트는 괜히 발생하는 것이 아닙니다. 일이 복잡해지더라도, 윈도우 업데이트는 그날그날 해주셔야 합니다. 업데이트를 하지 않으면, 그 취약점은 그대로 남아있다고 보셔야 합니다.


 물론... 개인 PC 사용자의 경우는, 업데이트를 바로바로 해주시는 것이 필수라고 생각합니다.


  5) 웬만해서는 SMB 서비스는 사용하지 말자.

 이 것도 역시... 귀찮은 것이 한 몫 잡고 있다고 생각합니다. 제가 고객들과 만났을 때에, 의외로 많은 서버 관리자들이 SMB 서비스를 이용하고 있습니다. "뭐, 나는 SMB 안쓰고 있으니까 상관 없겠지"라고 생각하시는 당신!! 어쩌면 당신도 SMB를 사용하고 있을지도 모릅니다.


1) SAMBA ( 리눅스 <-> 윈도우간에 파일 공유를 해주는 프로그램, SMB/CIFS 프로토콜 사용)

 - 내 컴퓨터의 윈도우 폴더에, 특정 파일을 드래그만으로도 리눅스에 파일을 붙여넣기 할 수 있다면!!! 그 분은 SMB 프로토콜을 사용할 가능성이 높습니다. (이러한 솔루션은 FTP를 이용한 프로그램일 수 있지만, 대부분이 SMB를 사용합니다.)

 - 윈도우 서버와 리눅스 서버간의 파일 공유를 위해 연동하고 있다면!!! 반드시 SMB 프로토콜을 사용하지는 않는지 확인하셔야 합니다.

 - 참고로 SAMBA는 리눅스 서버에 설치되는 패키지입니다.


 2) 파일공유서비스 (윈도우들 끼리 파일을 굥유하기 위해 사용되는 기능)



  1. 샌드박스(sandbox)란 외부로부터 들어온 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태이다. [본문으로]
  2. 샌드박스(sandbox)란 외부로부터 들어온 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태이다. [본문으로]

댓글을 달아 주세요