워나크라이 랜섬웨어 대처는?…"인터넷 연결부터 차단"

[아이뉴스24 성지은기자] 주말 전 세계를 강타한 '워나크라이(WannaCry)' 랜섬웨어가 국내에선 기업이 업무를 시작하는 15일부터 확산될 수 있어 주의가 요구된다.

랜섬웨어를 예방하려면 PC를 켜기 전 인터넷 선을 뽑아 네트워크 연결을 차단해야 한다.

이후 인터넷과 분리된 상태에서 컴퓨터를 켜 윈도 운영체제(OS)의 파일 공유 기능을 해제해야 한다. 그다음 다시 인터넷 선을 꼽아 네트워크에 연결하고, 마이크로소프트(MS)의 업데이트를 수행해 보안 패치를 설치해야 한다.

미래부창조과학부는 한국인터넷진흥원(KISA)과 지난주 부터 전세계적으로 피해가 확산되고 있는 윈도 운영체제 취약점을 이용한 랜섬웨어 워나크라이 국내 피해 확산 차단을 위해 14일 이 같은 대국민 행동요령을 권고했다.

앞서 KISA는 지난 13일 KISA 보호나라 홈페이지(www.boho.or.kr)에 워나크라이 랜섬웨어를 방지하기 위한 사용자 예방법을 공유했다.

워나크라이 랜섬웨어는 지난 12일(현지시간)부터 영국, 러시아 등 전 세계 20여개 국가 이상에 피해를 확산시킨 랜섬웨어다. 해당 랜섬웨어에 감염돼 병원, 공장, 은행 등의 업무가 마비됐다.

랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, PC 등 스마트기기에 사용자 허가없이 침입한 뒤 감염된 기기 내 파일을 암호화해 사용하지 못하게 만들고 이를 볼모로 금전을 요구하는 악성코드다.

이번 워나크라이 랜섬웨어는 MS 윈도 운영체제(OS)의 취약점을 악용했다. 이 취약점은 윈도 파일 공유에 사용되는 서버 메시지(SMB) 원격코드 취약점으로, MS가 지난 3월 보안 패치를 제공했으나 업데이트를 하지 않은 이용자들이 많아 피해를 키웠다.

이 같은 워나크라이 랜섬웨어를 예방하려면 먼저 사용자는 월요일 PC를 켜기 전, 인터넷 연결을 차단해야 한다. 해당 랜섬웨어는 인터넷에 연결만 돼 있다면 보안 취약점을 악용해 감염되는 방식이기 때문이다.

따라서 사용자는 인터넷 선을 뽑아 먼저 네트워크 연결을 차단해야 한다. 인터넷을 차단한 뒤엔 컴퓨터를 키고 파일 공유 기능을 해제해야 한다. 해당 랜섬웨어가 윈도 파일 공유에 사용되는 SMB 원격코드의 취약점을 악용해 랜섬웨어에 감염시키기 때문.

PC 사용자는 파일 공유 기능을 해제하기 위해 컴퓨터를 켠 다음 제어판-프로그램-윈도 기능 설정 또는 해제를 차례로 선택한 뒤 'SMB1.0/CIFS 파일 공유 지원' 체크를 해제하고 컴퓨터를 재부팅해야 한다.

이후 다시 인터넷 선을 꼽아 네트워크에 연결한 뒤, 백신의 최신 업데트를 적용해 악성코드 감염 여부를 검사해야 한다.

그다음 윈도 PC(XP, 7, 8, 10 등)에 대한 최신 보안 업데이트를 수행해야 한다. 최신 업데이트를 수행하는 방법은 자동설치와 수동설치 2가지가 있는데, 자동 설치를 위해서는 제어판-자동 업데이트를 실행한 뒤 '자동'으로 설정하면 된다.

수동 설치를 원할 경우, 사용하는 윈도 OS에 맞는 업데이트 파일을 해당 웹사이트(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에 접속해 내려받고 보안 패치를 실행하면 된다.

이 같은 보안조치를 적극 시행하고 랜섬웨어 감염 등 피해가 발생한 경우 KISA로 즉시 신고해야 한다.

송정수 미래부 정보보호정책관은 "아직까지 국내 피해는 소규모로 파악되고 있으나 기업들의 근무가 본격 시작되는 월요일은 대규모 피해가 발생할 우려가 높다"며 "이번 랜섬웨어 피해 확산 차단을 위해 개인·기업의 행동요령을 적극 시행하는 한편, 평상시에도 기본적인 보안수칙을 준수해 달라"고 당부했다.

KISA는 "기업 또는 개인은 랜섬웨어 공격으로 인한 피해를 입지 않도록 출처가 불분명한 전자우편 열람은 주의해야 한다"며 "사용 중인 윈도 OS는 윈도 7 이상으로 버전 업그레이드 및 최신 보안패치를 반드시 적용해야 한다"고 조언했다.

또 "랜섬웨어에 감염되는 등 피해가 발생한 경우 KISA 보호나라 홈페이지 또는 118상담센터(국번없이 118 또는 110)로 즉시 신고하길 바란다"고 당부했다.