전세계적으로 SMB(Server Msessage Block) 취약점을 악용한 랜섬웨어가 유포되고 있어 주의가 필요된다. 12일부터 전세계 동시다발적으로 워너크라이(WannaCry)라는 이름의 랜섬웨어가 유포되어 각종 공공기관과 대학병원 등이 마비되는 현상이 나타나고 있다. 멀웨어테크닷컴에 따르면 전세계적으로 12만대 이상이 감염된 것으로 확인되고 있다.
- 워나크라이(WannaCry)는?
워너크라이는 윈도우의 SMB(Server Msessage Block) 취약점을 악용하고 있는 것으로 알려져있다. SMB란 윈도우 운영체제에서 폴더 및 파일 등을 공유할 때 사용하기 위한 메시지 형식으로, 이미 마이크로소프트에서는 2017년 3월 14일자로 긴급보안패치를 시행한 바가 있다. 하지만 보안패치가 미흡한 일부 공공기관과 아직까지 구형 운영체제(XP)를 사용중인 병원, 소규모 상점 등은 취약할 수 밖에 없어 피해가 커지고 있는 상황.
하지만 13일자로 워나크라이(WannaCry)의 유포가 주춤하고 있다. 그 이유는 @malwaretechblog 라는 트위터계정을 사용중인 한 전문가가 랜섬웨어의 유포를 멈추는 기능을 발견하고나서다. 워나크라이 랜섬웨어는 주기적으로 특정 도메인에 연결을 하고 있었는데, 전문가는 랜섬웨어가 왜 특정 도메인주소와 교신을 하는지 궁금했고 알아본결과 그 도메인주소는 등록되지 않은 상태였다. 그래서 전문가는 약 10달러를 주고 도메인을 소유한 뒤 로스앤젤레스의 한 서버와 연결시키자 워나크라이의 랜섬웨어의 유포가 멈춘것이다. 쉽게 설명하자면 워나크라이 랜섬웨어 바이러스는 ABC.com라는 주소와 계속 통신을해서 ABC.com이 활성화되면 유포가 중지되고 비활성화상태에서는 계속 유포되도록 프로그램이 설정되어 있었던 것이다.
- 배후는 누구?
이번 사태의 배후로 Shadow Broker 라는 해커조직이 의심받고 있다. Shadow Broker은 불과 며칠전 NSA가 사용하던 해킹툴을 폭로하겠다며 이번 랜섬웨어와 같은 취약점을 사용한 Microsoft Windows OS Exploit 도구를 공개한 바 있다.
예방법은?
지금 즉시 윈도우 업데이트를 하는것이 좋다. 이미 마이크로소프트에서는 3월 14일에 긴급 보안패치를 내놓은 바 있다.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
또한 사태가 긴급한만큼 마이크로스프트에서도 이례적으로 지원이 중단 된 윈도우XP에 대한 보안패치를 공개했다.
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral
'정보기술 > 컴퓨터' 카테고리의 다른 글
| esrv.exe 0xc0000142 응용프로그램 오류 해결법 (0) | 2017.05.20 |
|---|---|
| Display Driver Uninstaller DDU 다운로드 및 사용법 (0) | 2017.05.18 |
| NSpeedMeter.exe의 정체는? (0) | 2017.04.05 |
| 윈도우10에서 하츠오브아이언2 DHR 실행방법 (1) | 2017.03.21 |
| 시스템 예약 파티션 숨기는 방법 / 시스템 예약 드라이브 삭제 (0) | 2017.02.23 |