랜섬웨어 워너크라이, 효과적으로 막으려면

랜-와이파이 일단 차단…백신 최신버전 업데이트 필수

컴퓨팅입력 :2017/05/15 11:36    수정: 2017/05/15 14:46

손경호 기자

"일단 랜선을 뽑거나 와이파이부터 끄는 게 좋다."

전 세계를 강타한 랜섬웨어 '워너크라이' 피해가 우려되고 있다. 15일 출근한 사람들은 너나할 것 없이 랜섬웨어 공포 때문에 조심스럽게 PC를 켜야만 했다.

랜섬웨어 공포를 예방하기 위해선 어떻게 해야 할까?

미래창조과학부, 한국인터넷진흥원(KISA) 등이 공개한 랜섬웨어 예방 대국민 행동 요령에 따르면 워너크라이 피해에 대응하기 위해선 크게 3단계 조치가 필요하다.

먼저 PC를 켜기 전에 랜선을 뽑거나 와이파이를 끄는 것이 첫번째다. 그리곤 PC 전원을 켜서 윈도 방화벽 설정을 변경해 악성코드가 유포되는 네트워크 포트를 차단해야한다.

다음으로 인터넷을 재연결한 뒤 문제가 된 보안취약점을 해결하기 위해 윈도 운영체제(OS)를 우선 업데이트하고, 백신도 최신 버전으로 업데이트할 필요가 있다.

PC를 인터넷과 분리한 뒤 가장 먼저 필요한 조치는 방화벽 설정을 변경하는 일이다. 악성코드 유포 통로로 악용된 SMB 포트(139, 445 포트)를 통해 공격이 들어올 가능성을 차단해야한다.

KISA가 밝힌 방법은 다음과 같다.

1) 제어판 -> 시스템 및 보안

2) Windows 방화벽 -> 고급 설정

3) 인바운드 규칙 -> 새 규칙 -> 포트 -> 다음

4) TCP -> 특정 로컬 포트 -> 139,445 -> 다음

5) 연결 차단 -> 다음

6) 도메인, 개인, 공용 체크 확인 -> 다음

7) 이름 설정 -> 마침

다음으로는 마이크로소프트(MS)가 지원하는 최신 보안업데이트를 적용하는 일이다. 현재 워나크라이 랜섬웨어의 피해를 입은 곳은 MS가 제공하는 최신 보안 업데이트를 적용하지 않은 PC나 서버다.

이 랜섬웨어는 윈도OS의 기능 중 하나인 '서버메시지블록(SMB)'에서 발견된 취약점(CVE-2017-0147) 을 악용한다.

때문에 MS는 3월에 윈도10/8.1/7, 비스타, 윈도서버2016/2012/2008용 보안업데이트를 내놨으며 이례적으로 공식 보안업데이트 지원을 중단한 윈도XP/8, 윈도서버2003용 패치도 배포하기 시작했다.

이를 위해 MS 공식 보안업데이트 안내사이트인 테크넷(관련링크)에서 자신의 OS 종류에 따라 보안업데이트(MS17-010)를 수행하면 된다.

■ 맥북은 관계없어…윈도OS 실행할 경우엔 같은 조치 취해야

그렇다면 애플 맥북을 쓰는 사용자들은 어떨까? 공격자는 윈도OS 취약점을 악용한 만큼 순수한 맥OS 사용자들이 피해를 입을 가능성은 없다. 그러나 맥북에서 윈도OS를 실행해서 쓰는 사용자들의 경우 앞서 안내한 내용을 그대로 적용하면 된다고 KISA측은 설명했다.

현재까지 KISA가 운영 중인 인터넷침해대응센터 118상담센터에는 1천815건 문의가 들어왔다. 이중 기술지원을 받기위해 접수된 피해 신고는 5건에 그치는 것으로 나타났다. 그러나 앞으로 피해가 더 확산될 수 있는 만큼 상황을 예의주시해야할 것으로 전망된다.

보안업데이트를 하지 않은 오래된 윈도OS를 쓰는 PC나 서버는 물론 ATM, 결제용 POS단말기 등으로까지 확산될 우려가 있기 때문이다.

KISA 침해사고대응단 신대규 단장은 "15일 아침부터 랜섬웨어와 관련된 문의가 쏟아지고 있다"며 "118 신고센터에서 상담을 받는 중"이라고 말했다. 이후 상황에 대해 신 단장은 "여러 루트를 통해 확인하고 있지만 아직까지 큰 공격 징후가 나오지는 않고 있다"고 덧붙였다.

랜섬웨어 피해 신고는 KISA 인터넷침해대응센터(국번없이 118)에 하면 된다.

관련기사

현재 랜섬웨어 예방 대국민 행동 요령이 올라와 있는 KSIA 인터넷침해대응센터 웹페이지는 동시 접속자가 몰린 탓에 접속이 어려운 상황이다.

때문에 KISA 관계자는 네이버, 다음 포털 첫 화면에서 '랜섬웨어 예방요령대국민 행동요령(네이버)', '랜섬웨어방지 대국민행동요령(다음)'을 검색해 확인하면 된다고 설명했다.