본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

급속히 확산되고 있는 워너크라이(WannaCry) 랜섬웨어 주의!

보안공지 2017-05-14

안녕하세요. 이스트시큐리티 입니다.


워너크라이(WannaCry) 랜섬웨어는 미국, 영국, 중국 그리고 한국 등을 포함한 74개 국가에서 유포되고 있습니다. 공격자는 윈도 시스템에서 기본적으로 오픈되어 있도록 설정된 445 포트를 주로 악용하여, 기업 및 학교 내부망에 침투하는 것으로 보입니다.


특히 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적입니다. 이는 웜 바이러스의 특성을 함께 지니고 있는, 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있습니다.


워너크라이(WannaCry) 랜섬웨어는 한국어를 포함해 다양한 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 300달러 혹은 변종에 따라 다양한 가격의 비트코인을 요구합니다.


워너크라이(WannaCry) 랜섬웨어가 악용하는 취약점은 Microsoft Windows SMB 원격 임의코드실행취약점 (MS17-010)으로, SMB version1 서버에 존재하는 취약점을 악용합니다. 공격자는 원격에서 특수하게 제작된 패킷을 통해 해당 취약점을 악용하여 임의의 코드를 실행합니다.


해당 취약점에는 다음과 같은 CVE가 포함되어 있습니다.


CVE-2017-0143

CVE-2017-0144

CVE-2017-0145

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148


또한 이 취약점에 영향을 받는 Windows OS 버전은 다음과 같습니다.

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 and Windows Server 2012 R2

Windows RT 8.1

Windows 10

Windows Server 2016

Windows Server Core installation option


MS에서는 해당 SMB 취약점에 대해 이미 지난 3월 14일에 패치를 진행했습니다. 그러나 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 워너크라이(WannaCry) 랜섬웨어 감염 위협에 노출되어 있습니다. 이스트시큐리티 알약 블로그에서는 지난 2월부터 꾸준히 SMB Exploit에 대해 경고 드리며, 최신패치를 적용할 것을 강력하게 권고한 바 있습니다.


이스트시큐리티는 워너크라이(WannaCry) 랜섬웨어 위협에 효과적으로 대응하고자, W알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 사용자 여러분들 께서는 알약 워너크라이(WannaCry) 예방 조치툴을 내려받아 조치를 취해주시기 바랍니다. 


또한 알약, 알약 PMS를 통해서도 윈도우 보안업데이트가 가능하오니 참고부탁드립니다. 


더 자세한 내용은 알약 블로그에서 확인하실 수 있습니다. 

현재 알약에서는 워너크라이(WannaCry) 랜섬웨어 및 추가 발견된 변종들에 대해 
Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176 등으로 지속적으로 업데이트를 진행하고 있습니다.

또한, 알약 랜섬웨어 차단기능을 통한 행위기반 탐지로 워너크라이(WannaCry) 랜섬웨어를 효과적으로 방어하고 있습니다. 

그러나 이미 워너크라이(WannaCry) 변종이 150개 가까이 발생한 상황이고 이후에도 변종은 계속 생성될 것으로 보이기 때문에 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수적입니다. 

현재까지 패치를 진행하지 않은 사용자, 기업 및 기관은 신속히 패치를 진행해주시길 간곡히 당부 드립니다. 

감사합니다.