2. 워너크라이국내확산및피해현황 공격시기 : 2017년 5월 12일 ( 금 ) 전후 국내피해현황 : 구분피해대상피해내용감염경로 글로벌 제조업 제조공정서버및 PC 감염 공장일부 가동중지 글로벌 본사 대기업보안관제센터모니터링 PC 감염 PC 운영중단및포맷인터넷 의료기관대형

[ 본자료는한국랜섬웨어침해대응센터의자산이므로참고하실때반드시출처를명기해주시기바랍니다 ] 긴급랜섬웨어침해보고서 발행일시 일 연락처 발행번호 이메일 발행처 한국랜섬웨어침해대응센터 센터장이형택 [ 워너크라이 WannaCry 랜섬웨어긴급침해보고서 ] 5 월 12 일전후무차별유포, 전세계 74 개국으로피해확산, 한국도피해발생 랜섬웨어해커동맹에의한사상최대공격, PC 와 DB 서버동시감염 윈도우서버 SMB 원격코드의취약점악용과네트워크웜 (WORM) 기반유포 긴급대처방안 : 네트워크단절 => 긴급백업조치 => 최신윈도보안패치 => 백신업데이트 1. 워너크라이글로벌확산및피해현황 공격시기 : 2017년 5월 12일 ( 금 ) 전후 공격대상 : 전세계 74개국 (5.14 12시현재, 한국포함 ) 확산 공격그룹 : 랜섬웨어해커동맹으로추정, 주도세력미확인 공격특징 : -사상최대규모무차별공격 -PC와서버동시공격 글로벌피해현황 : 국가피해대상피해내용출처 국립건강서비스산하진료중단및영국 16개대형병원타병원으로환자긴급이송스페인대형통신사텔레포니카일부업무중단 The Guardian 프랑스 르노자동차 공장일부 가동중지 AP 러시아 내무부 1천대, 은행및보건당국 일부업무중단 미국 페덱스 일부업무불편 Bloter 독일철도티켓발행기일부발행중단 인도네시아 국립암센터등 대형종합병원두곳 일부진료중단 TEMPO - 1 -

2. 워너크라이국내확산및피해현황 공격시기 : 2017년 5월 12일 ( 금 ) 전후 국내피해현황 : 구분피해대상피해내용감염경로 글로벌 제조업 제조공정서버및 PC 감염 공장일부 가동중지 글로벌 본사 대기업보안관제센터모니터링 PC 감염 PC 운영중단및포맷인터넷 의료기관대형종합병원일부업무중단인터넷 IT 서비스사 IoT 장비모니터링서버감염 서버운영중지및 포맷 유지보수용 외부관리 PC 3. 워너크라이공격기술및대상 공격기술 : -윈도우운영체제의공유프로토콜 SMBv1 원격코드실행취약점악용, PC와서버로전파 -네트워크웜 (network WORM) 기반공격으로인터넷에연결만으로도감염 -워너크라이혹은워너크립트는기존파일명에.WNCRY 가붙어 파일명.jpg.WNCRY 와같은식으로파일명을변경하고, 아래랜섬노트공지 [ 용어설명 ] 1.SMB(Server Message Block 서버메시지블록 ) MS 윈도우운영체제에서폴더및파일등을공유하기위해사용되는메시지프로토콜 2. 네트워크웜 (network WORM) 네트워크에서연속적인복사기능을수행함으로써자가증식해기억장치를소모하거나저장된데이터를파괴하는프로그램 - 2 -

워너크라이감염아키텍처 영국보안전문가의의한 킬스위치 조치로확산저지, 해커패치로재전파중 -5 월 12 일영국의보안전문가 (MalwareTechBlog) 가워너크라이가미등록된특정도메인과 연결되어있다는것을확인하고이도메인을구입및등록으로확산저지 -5 월 13 일해커에의해 킬스위치 기능을제거한변종웜이재등장, 전파및감염확산 - 3 -

복호화요구금액 - 감염후 3 일이내 : USD300( 약 34 만원 ) 해당비트코인 -7 일이내 : USD600 ( 약 68 만원 ) 해당비트코인 - 복호화불가능한피해자 : 6 개월이후복호화지원 ( 해커랜섬노트명시 ) 암호화대상파일확장자 : 176 개 (HWP 포함 ) PC 내워드 파워포인트 한글등다양한문서파일, 압축파일, DB 파일, 가상머신파일등.123.bz2.dotx.ldf.odt.ppt.sti.vmdk.3dm.cgm.dwg.m3u.onetoc2.pptm.stw.vmx.3ds.class.edb.m4u.ost.pptx.suo.vob.3g2.cmd.eml.max.otg.ps1.svg.vsd.3gp.cpp.fla.mdb.otp.psd.swf.vsdx 0.602.crt.flv.mdf.ots.pst.sxc.wav.7z.cs.frm.mid.ott.rar.sxd.wb2.ARC.csr.gif.mkv.p12.raw.sxi.wk1.PAQ.csv.gpg.mml.pas.rb.sxm.wks.accdb.db.gz.mov.pdf.rtf.sxw.wma.aes.dbf.hwp.mp3.pem.sch.tar.wmv.ai.dch.ibd.mp4.pfx.sh.tbk.xlc.asc.der.iso.mpeg.php.sldm.tgz.xlm.asf.dif.jar.mpg.pl.sldx.tif.xls.asm.dip.java.msg.png.slk.tiff.xlsb.asp.djvu.jpeg.myd.pot.sln.txt.xlsm.avi.doc.jpg.myi.potm.snt.uop.xlsx.backup.docb.js.nef.potx.sql.uot.xlt.bak.docm.jsp.odb.ppam.sqlite3.vb.xltm.bat.docx.key.odg.pps.sqlitedb.vbs.xltx.bmp.dot.lay.odp.ppsm.stc.vcd.xlw.brd.dotm.lay6.ods.ppsx.std.vdi.zip 공격대상 OS -Microsoft 최신업데이트가진행되지않은 Windows 운영체제사용 PC -PC: Windows 10, Windows 8.1, Windows RT 8.1, Windows -서버: Windows Server 2016, Windows Server 2012 R2, Windows server 2008 R2 SP1 SP2 지원언어 : 한국어포함 28개의다국적언어지원 [ 용어설명 ] MS17-010 Microsoft Windows SMB 서버용보안업데이트라는의미로, Windows SMBv1 서버에특수제작된메시지를 보낼경우원격코드실행이허용될수있는취약점을패치한것임 - 4 -

워너크라이의기술적특징 1. 웜 (WORM) 형태로확산되는새로운랜섬웨어 -대부분의컴퓨터에서보안업데이트가자동으로적용되지만일부사용자와기업에서는패치배포가지연되거나업데이트하지않는경우 -WannaCry 랜섬웨어는 MS17-010(Microsoft Windows SMB 서버용보안업데이트 ) 설치하지않은버전을감염시킴 -이취약점을이용, SMBv1 서버에원격코드를실행하여 mssecsvc2.0란서비스를만들고감염된시스템 IP주소를확인하여동일한서브넷의각 IP주소의 445포트연결시도 -원격지 SMBv1서버에연결성공하면 MS17-010 취약점이용, 웜과같이확산하는역할 2. 암호화및실행관련적용기술 -WannaCry는실행시네트워크에공유된이동식저장장치를포함한디스크드라이브를확인하여파일들을 RSA 2048비트로암호화 -cmd.exe/vssadmin.exe/wmic.exe의윈도우명령어를이용하여액세스권한등을모든사용자에게허용함으로서원활한실행구현 3.SMB 프로토콜은중개경로가되고그경로를이용해실제랜섬웨어파일을옮겨감염되게하는형식은기존 xtbl 랜섬웨어와는다른것으로분석됨 4. 워너크라이방어긴급대처방안내일오전출근후아래와같이조치할것을요청함 긴급대처방안 1. 회사및기관의네트워크단절 2.SMB 관련설정변경조치 3. 긴급 PC 및서버데이터 ( 문서및 DB) 백업조치 4. 네트워크및인터넷연결 5. 윈도우보안패치및백신등보안프로그램업데이트 윈도우보안업데이트하기 : 한국인터넷진흥원보호나라지원 -MS17-010 ( 윈도우보안업데이트 ) -SMB 포트 137(UDP), 138(UDP), 139(TCP), 445(TCP) 차단 -한국인터넷진흥원보호나라연결 http://www.boho.or.kr/data/secnoticeview.do?bulletin_writing_sequence=25703-5 -

5. 랜섬웨어방어전략 예방이최선의방어랜섬웨어는악성코드역사상최초로 돈되는바이러스 이기때문에빠른확산속도로다양한형태의변종으로진화되어이번워너크라이와같이글로벌과우리사회을위협하고있다. 사용자들에게아무리주의를당부해도날마다새롭게진화하는해커의기술을당할수없다. 그이유중하나는해커와방어자간 기술정보의비대칭 문제다. 해커는시장의모든백신 엔진과차단엔진을테스트후랜섬웨어를침투시킬수있는기술을보유하고있으나보안회 사들은백신혹은차단제품을공개하기때문에랜섬웨어를 100% 차단할수없다. 사전백업은랜섬웨어방어의최후의보루새로운공격유형에대한방어는새로운기술과정책대응이필요하다. 랜섬웨어는과거의침투기술을지능화하고암호화하여금전을요구하는새로운형태의사이버공격이다. 이러한공격으로부터중요자료를보호하기위해서는지능형침투차단기술개발과데이터백업기술의멀티레이어대응방법이필요하다. 이럼에도불구하고데이터백업에대한기술적표준과정책이부재하여랜섬웨어대응에혼란을겪고있는실정이다. 따라서현재가장시급한것은보안적관점에서데이터백업기술의표준을마련하고백업을의무화시키는정책수립과조치다. 그런이후해커와의거래를불법화시켜우리나라가랜섬웨어해커의수익성높은놀이터가되는것을막아야한다. 막지못하면랜섬웨어공격이장기화될것이다. 6. 랜섬웨어방어를위한글로벌표준 1. 랜섬웨어가침해하지못하는전문백업제품을사용하여사전에백업받을것 2. 랜섬웨어차단가능한백신으로업데이트할것 3. 이메일첨부파일열람에주의를기울일것 4. 윈도우업데이트로보안취약점을없앨것 5. 이메일링크로접속말고, 직접접속할것 6. 회사와기관은데이터보호관리정책수립후사용자에게교육할것 7. 랜섬웨어방어를위한정책제안 1. 해커를살찌우는비트코인송금을불법화정책수립 2. 부득이복호화가필요한경우신고제통해감염-복호화-비트코인송금등전과정에대한추적과정의 DB화 3. 사전예방이최선의방어라는인식을확산시켜데이터를백업하여 IT재해상황대비 4. 기업혹은공공기관중랜섬웨어감염이발생할경우언제든지사이버테러혹은 APT 공격을받을수있다는사실을주지시키고반드시시정조치요망 - 6 -

랜섬웨어침해는사이버보안의바로미터다. 즉랜섬웨어에의해암호화되었다는것은언제든지 PC의좀비화와 APT공격을받을수있고, 특정그룹에의해사이버안보문제로도발전할수있다는사실을의미하기때문에산업계, 정부기관및국방관련기관에서는예의주시해야한다. 통상적으로공공기관에서는랜섬웨어감염사실을보고하지않고개인적으로처리하고있는데이는사이버보안적색경고등을무시하는것과같은것이다. 이번워너크라이램섬웨어보다더강력하고고도화된랜섬웨어가공격하기전에혁신적인종합대책이시급하다. 미리준비하면근심이없습니다 [ 본자료는한국랜섬웨어침해대응센터의자산이므로참고하실때반드시출처를명기해주시기바랍니다 ] - 7 -