워너크라이 랜섬웨어가 국내 대기업, 대학병원, 대규모 극장 등에서 피해를 일으키고 있으나, 다행히 해외에 비해서는 피해 규모가 크지 않은 것으로 분석된다.
한국인터넷진흥원에 신고된 감염 의심 건수는 13건, 신고 건수는 9건이었다. 13일부터 15일 5시 기준으로 랜섬웨어 문의는 2931건에 이른다. 월요일 아침 ‘랜섬웨어 대란’이 일어날 것을 우려했으나, 관계기관의 신속한 대응과 대국민 캠페인을 통해 피해를 예방할 수 있었던 것으로 평가된다.
그러나 보안 전문가들은 워너크라이 변종이 빠르게 전파되고 있는 만큼, 이번주 내 대규모 공격이 발생할 가능성이 많다고 경고한다. 오래된 MS OS와 보안패치 안된 시스템을 통해 전파되는 만큼, 패치 업데이트를 하지 않는 시스템 등에서 피해가 발생할 우려가 큰 것으로 보인다.
해외에서는 르노, 히타치, 닛산, 러시아 내무부, 텔레포니카, 페덱스 등 세계적인 기업들이 피해를 입었으며, 중국은 교육기관 15%가 공격을 받는 등 전 세계 150여개 국가, 20만여대 PC가 피해를 입은 것으로 나타난다.
지금까지 랜섬웨어는 악성링크가 숨어있는 웹사이트에 방문하거나, 악성파일을 열어봤을 때 피해를 입었지만, 워너크라이는 인터넷에 연결된 시스템 중 MS OS SMB 취약점이 있는 시스템으로 스스로 퍼져나가는 웜 바이러스이기 때문에 특히 더 위험하다.
최상명 하우리 실장은 “영국 멀웨어테크가 보유한 워너크라이 도메인에서 확인된 국내 감염 PC는 4180개에 이른다. 이는 킬스위치로 인해 전파가 중단된 것이며 피해가 발생하지 않은 것일 뿐, 감염되지 않은 것은 아니다”라고 밝혔다. 실제 피해가 발생하지 않았다고 해서 안심할 상황은 아니라는 것이다.
KISA·보안업계 발빠른 대응으로 피해 확산 막아
한편 KISA와 보안업체들은 워너크라이 피해 확산 방지를 위해 긴밀하게 협조하며 대응하고 있다. KISA는 보호나라 홈페이지 또는 118 상담센터(국번없이 118 또는 110)에서 워너크라이 피해 신고를 접수받고 있다.
이스트시큐리티는 워너크라이 랜섬웨어 감염을 예방해주는 ‘알약 워너크라이 예방 조치툴’을 개발해 무료로 배포하고 있다. 사용자 PC에 워너크라이 랜섬웨어가 악용하는 윈도OS 취약점이 존재하는지를 확인하고, 만약 취약점이 발견된다면 공격을 위해 사용하는 특정 프로토콜 포트 등을 비활성화해 랜섬웨어 감염 경로를 차단한다.
사용자는 해당 프로그램을 내려받고 ‘점검시작’ 버튼을 클릭하면, 간단히 워너크라이 랜섬웨어가 악용하는 취약점 존재 여부를 확인하고 긴급 조치를 취할 수 있다.
김준섭 이스트시큐리티 부사장은 “현재 배포하는 예방툴은 보안 업데이트를 진행하기 전 단계의 임시방편으로, 윈도우 업데이트가 성공적으로 완료되면 다시 한 번 예방 조치툴을 실행해 임시로 차단되었던 포트와 프로토콜을 활성화해야지만 정상적인 PC 사용이 가능하다”며 “또한 예방툴을 사용하더라도 알려지지 않은 변종 랜섬웨어가 유포될 수 있기 때문에, 반드시 최신 업데이트가 적용된 신뢰할 수 있는 백신도 병행해서 사용해야 한다”고 당부했다.
랜섬웨어 방어 전용 솔루션 ‘앱체크’를 개발하는 체크멀은 워너크라이 피해 예방을 위해 개인 사용자용 무료버전을 제공하고 있으며, 기업·공공 사용자를 위한 ‘앱체크프로’ ‘앱체크프로 포 윈도우 서버’, 중앙관리 솔루션을 한달간 무료로 공급한다고 밝혔다.
김정훈 체크멀 대표는 “실시간으로 워너크라이 랜섬웨어 변종이 추가로 생성되는 상황이기 때문에 시그니처 대응 방식 대응이나 단순 행위기반 대응 기술로는 대응에 한계가 있어, 시그니처 없이도 랜섬웨어 대응이 가능한 정교한 상황인식과 같은 랜섬웨어 전문 솔루션 사용과 예방은 필수적”이라며 “랜섬웨어 피해 예방 및 확산 방지 캠페인 차원에서 랜섬웨어에 의한 피해를 줄이는 계기가 되기를 바란다”고 밝혔다.
