2017.05.15

“도메인 등록”으로 워너크라이 확산 속도 감소… 변종 나올 가능성 높아

Michael Kan | IDG News Service
지난 주말 전 세계에서 전례없이 빠르게 확산된 랜섬웨어 공격이 화제였다. 하지만 한 보안 연구원이 발견한 ‘킬 스위치(kill switch)’ 덕분에 공격 확산 속도가 경감되었다.

워너 디크립토(Wana Decryptor), 짧게는 워너크라이(WannaCry)라고도 부른 이 랜섬웨어는 전 세계적으로 PC를 감염시켰다. 미국 NSA(National Security Agency)가 PC를 염탐할 때 사용했던 윈도우 취약점을 노린 랜섬웨어다.

워너크라이는 PC의 데이터를 암호화하고 암호를 푸는 대가로 300달러를 비트코인으로 요구한다. 보안 전문가들은 현재 수만 건의 공격을 탐지했으며, 컴퓨터 웜처럼 LAN과 인터넷으로 퍼지는 것으로 확인했다.

하지만 보안 연구원들에 따르면, 이 랜섬웨어에는 공격을 중단하는 킬 스위치가 포함되어 있는 것으로 알려졌다. 워너크라이는 침투 후 해당 PC를 등록되지 않은 웹 도메인에 연결하는 데, 이 도메인에 연결하지 못하면 감염을 계속하고, 연결에 성공하면 공격을 중단한다.

맬웨어테크(MalwareTech)라는 필명의 보안 연구원은 이러한 원리를 파악, 해당 도메인을 등록해서 공격을 중단시켰다. 맬웨어테크의 원래 의도는 랜섬웨어의 뿌리를 추적하려는 것이었는데, 도메인을 등록해버림으로써 감염을 막는 효과를 냈다고 설명했다.

워너크라이 랜섬웨어의 랜섬 노트

보안업체 맬웨어바이츠(Malwarebytes)와 시스코의 탈로스(Talos) 보안 그룹 역시 맬웨어테크와 같은 정보를 발견했으며, 이 덕분에 랜섬웨어 감염 속도가 감소했다고 전했다.

하지만 맬웨어바이츠 연구원인 제롬 세구라는 이 킬 스위치가 워너크라이 공격을 완전히 중단시킬 수 있다고 이야기하기엔 이르다고 말했다. 그는 같은 킬 스위치 문제를 해결한 변종이 곧 나올 수 있다고 경고했다.

또한, 이 방법을 통해 이미 감염된 컴퓨터가 정상화되는 것은 아니다.

이 랜섬웨어 공격은 처음에 이메일 피싱 공격으로 확산됐다. 시스코의 탈로스 그룹에 따르면, 이 이메일 중 일부에는 송금 정보가 담긴 은행의 이메일 메시지로 가장했다. 이 이메일의 첨부파일을 연 피해자들은 랜섬웨어에 감염되었다.

워너크라이는 다른 전형적인 랜섬웨어와 다를 바 없다. PC를 감염시키면 컴퓨터 내의 모든 파일을 암호화하고, 암호를 풀기 위한 몸값을 요구한다.

다른 랜섬웨어와의 차이점은 워너크라이의 확산 속도가 매우 빠르다는 점이다. 보안 연구원들은 지난달 온라인에 유출된 NSA의 해킹 툴과 통합된 것으로 판단하고 있다.

이터널블루(EternalBlue)라는 이름의 이 해킹 툴은 패치되지 않은 구형 윈도우 PC를 하이재킹하기 쉽게 만들어주는 툴이다. 워너크라이는 첫 PC에 침투한 이후, 같은 로컬 네트워크에 있는 다른 기기로 퍼진다. 그 다음 인터넷을 통해 취약한 PC를 탐색한다.

세구라는 “마치 눈뭉치 같다. 몇 대만 감염시킨 후 다른 PC를 연결한다”라고 비유했다.

보안업체 어베스트(Avast)는 99개국에서 7만 5,000건의 공격을 탐지했으며, 그중에서도 러시아, 우크라이나, 대만 등이 가장 공격을 많이 받았다고 전했다. 영국의 NHS(National Health Service)는 워너크라이 공격을 받은 정부 기관 중 하나다.

워너크라이는 영어, 중국어, 스페인어는 물론, 한국어로도 랜섬 노트가 나타난다.

세구라는 워너크라이에 감염된 후 파일 암호를 해독하기 위해 몸값을 지불하면 안되고, 보안 연구원들이 해독키를 만들 때까지 며칠 기다리는 것이 좋다고 조언했다.

한편, 마이크로소프트는 이 랜섬웨어로부터 사용자들을 보호할 패치를 배포했다. editor@itworld.co.kr


2017.05.15

“도메인 등록”으로 워너크라이 확산 속도 감소… 변종 나올 가능성 높아

Michael Kan | IDG News Service
지난 주말 전 세계에서 전례없이 빠르게 확산된 랜섬웨어 공격이 화제였다. 하지만 한 보안 연구원이 발견한 ‘킬 스위치(kill switch)’ 덕분에 공격 확산 속도가 경감되었다.

워너 디크립토(Wana Decryptor), 짧게는 워너크라이(WannaCry)라고도 부른 이 랜섬웨어는 전 세계적으로 PC를 감염시켰다. 미국 NSA(National Security Agency)가 PC를 염탐할 때 사용했던 윈도우 취약점을 노린 랜섬웨어다.

워너크라이는 PC의 데이터를 암호화하고 암호를 푸는 대가로 300달러를 비트코인으로 요구한다. 보안 전문가들은 현재 수만 건의 공격을 탐지했으며, 컴퓨터 웜처럼 LAN과 인터넷으로 퍼지는 것으로 확인했다.

하지만 보안 연구원들에 따르면, 이 랜섬웨어에는 공격을 중단하는 킬 스위치가 포함되어 있는 것으로 알려졌다. 워너크라이는 침투 후 해당 PC를 등록되지 않은 웹 도메인에 연결하는 데, 이 도메인에 연결하지 못하면 감염을 계속하고, 연결에 성공하면 공격을 중단한다.

맬웨어테크(MalwareTech)라는 필명의 보안 연구원은 이러한 원리를 파악, 해당 도메인을 등록해서 공격을 중단시켰다. 맬웨어테크의 원래 의도는 랜섬웨어의 뿌리를 추적하려는 것이었는데, 도메인을 등록해버림으로써 감염을 막는 효과를 냈다고 설명했다.

워너크라이 랜섬웨어의 랜섬 노트

보안업체 맬웨어바이츠(Malwarebytes)와 시스코의 탈로스(Talos) 보안 그룹 역시 맬웨어테크와 같은 정보를 발견했으며, 이 덕분에 랜섬웨어 감염 속도가 감소했다고 전했다.

하지만 맬웨어바이츠 연구원인 제롬 세구라는 이 킬 스위치가 워너크라이 공격을 완전히 중단시킬 수 있다고 이야기하기엔 이르다고 말했다. 그는 같은 킬 스위치 문제를 해결한 변종이 곧 나올 수 있다고 경고했다.

또한, 이 방법을 통해 이미 감염된 컴퓨터가 정상화되는 것은 아니다.

이 랜섬웨어 공격은 처음에 이메일 피싱 공격으로 확산됐다. 시스코의 탈로스 그룹에 따르면, 이 이메일 중 일부에는 송금 정보가 담긴 은행의 이메일 메시지로 가장했다. 이 이메일의 첨부파일을 연 피해자들은 랜섬웨어에 감염되었다.

워너크라이는 다른 전형적인 랜섬웨어와 다를 바 없다. PC를 감염시키면 컴퓨터 내의 모든 파일을 암호화하고, 암호를 풀기 위한 몸값을 요구한다.

다른 랜섬웨어와의 차이점은 워너크라이의 확산 속도가 매우 빠르다는 점이다. 보안 연구원들은 지난달 온라인에 유출된 NSA의 해킹 툴과 통합된 것으로 판단하고 있다.

이터널블루(EternalBlue)라는 이름의 이 해킹 툴은 패치되지 않은 구형 윈도우 PC를 하이재킹하기 쉽게 만들어주는 툴이다. 워너크라이는 첫 PC에 침투한 이후, 같은 로컬 네트워크에 있는 다른 기기로 퍼진다. 그 다음 인터넷을 통해 취약한 PC를 탐색한다.

세구라는 “마치 눈뭉치 같다. 몇 대만 감염시킨 후 다른 PC를 연결한다”라고 비유했다.

보안업체 어베스트(Avast)는 99개국에서 7만 5,000건의 공격을 탐지했으며, 그중에서도 러시아, 우크라이나, 대만 등이 가장 공격을 많이 받았다고 전했다. 영국의 NHS(National Health Service)는 워너크라이 공격을 받은 정부 기관 중 하나다.

워너크라이는 영어, 중국어, 스페인어는 물론, 한국어로도 랜섬 노트가 나타난다.

세구라는 워너크라이에 감염된 후 파일 암호를 해독하기 위해 몸값을 지불하면 안되고, 보안 연구원들이 해독키를 만들 때까지 며칠 기다리는 것이 좋다고 조언했다.

한편, 마이크로소프트는 이 랜섬웨어로부터 사용자들을 보호할 패치를 배포했다. editor@itworld.co.kr


X