실시간 뉴스



[랜섬웨어 대란] 다양한 변종 진화 '촉각'


윈도 OS 보안 패치 실시·백신 사용 등 기본 보안 수칙 준수해야

[아이뉴스24 성지은기자] 전 세계 150여개 국가로 피해를 확산시킨 '워너크라이(WannaCry) 랜섬웨어'가 다양한 변종으로 진화하고 있다.

악성코드의 약점을 보완한 새로운 버전의 랜섬웨어가 등장해 제2의 피해를 양산할 수 있다는 우려도 나온다.

글로벌 IT 보안테스트 기관 'AV-TEST'는 지난 15일(현지시간) 452개의 워너크라이 랜섬웨어 변종이 확인됐다고 밝혔다.

변종 랜섬웨어는 소프트웨어(SW) 코드를 변경, 백신 등 기존 보안 솔루션의 탐지를 우회하고 컴퓨터를 감염시킬 가능성이 높다.

대다수 보안 기업은 AV-TEST 결과를 공유하고 백신 프로그램을 업데이트해 변종 랜섬웨어를 탐지, 예방한다. 극히 일부의 소스코드만 바꾼 변종은 기존 백신으로도 탐지가능하다.

이 때문에 변종 랜섬웨어 수가 크게 늘어난 것을 심각하게 우려할 필요는 없다. 그러나 변종 랜섬웨어가 백신 프로그램을 우회할 가능성도 존재하는 만큼 추가적으로 보안을 강화하는 노력이 필요하다.

더군다나 기존 랜섬웨어의 약점을 보완한 새로운 랜섬웨어가 등장할 가능성도 제기된다.

워너크라이 랜섬웨어는 마이크로소프트(MS) 운영체제(OS) 내 서버 메시지 블록(SMB) 프로토콜의 취약점을 악용, 공공 인터넷과 내부 네트워크로 랜섬웨어를 확산시켰다.

PC 또는 서버가 감염된 경우, 네트워크를 통해 접근 가능한 임의의 인터넷프로토콜(IP)을 스캔하고 랜섬웨어를 전파했다.

이 가운데 기존 워너크라이 랜섬웨어는 특정 도메인이 존재하지 않으면 활성화되는 방식을 이용했다.

영국의 보안 전문가 마커스 허친스는 지난 12일 이 사실을 우연히 발견해 해당 도메인을 등록하고, '킬 스위치(Kill Switch)'를 발동해 워너크라이 랜섬웨어 확산을 저지했다.

그러나 지난 14일 발견된 변종 랜섬웨어는 해당 도메인이 아닌 다른 도메인을 이용해 활성화되는 방식을 취했다.

다행히 사이버보안업체 코매테크놀로지스 창업자 맷 스위치가 해당 도메인을 등록하고 변종의 확산을 막았지만, 앞으로 킬 스위치가 존재하지 않는 랜섬웨어가 나타날 가능성도 부정할 수 없다.

또 워너크립트 변종은 아니지만, 워너크립트처럼 윈도 OS SMB 취약점을 악용한 랜섬웨어 '위익스(Uiwix)'가 등장하기도 했다.

최상명 하우리 침해대응(CERT) 실장은 "킬 스위치가 존재하지 않는 랜섬웨어가 윈도 OS 취약점을 악용해 확산될 수 있다"며 "지금이라도 윈도 OS를 업데이트해 보안 패치를 실시하고 백신을 설치해 감염 위헙을 낮춰야 한다"고 당부했다.

한편, 한국인터넷진흥원(KISA)은 지난해 12월 '랜섬웨어 예방수칙 캠페인'을 실시하며 랜섬웨어 피해를 예방하는 보안 수칙으로 ▲모든 소프트웨어(SW) 최신 상태 업데이트 ▲백신설치 및 주기적 점검 ▲발신인을 알 수 없는 이메일 열람 금지 ▲불법 콘텐츠 공유사이트 방문 금지 ▲중요한 자료 복사본 만들기 등을 제시했다.

성지은기자 buildcastle@inews24.com






alert

댓글 쓰기 제목 [랜섬웨어 대란] 다양한 변종 진화 '촉각'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스