랜섬웨어란? 예방과 대응 그리고... 워너크라 or 워나크라이 Wannacry가 무슨뜻?

해외에서 기승을 부리던 랜섬웨어가 국내에도 들어와서 문제를 일으키고 있다는 기사입니다. 

국내에서도 대학병원을 포함한 7건의 공격 신고가 접수됐다. 보안업계에서는 공공기관과 기업이 업무를 시작하는 월요일인 15일부터 한국에서도 본격적으로 피해가 확산될 수 있다고 우려하고 있습니다. 

랜섬웨어란? 

• 랜섬웨어'란 악성코드(malware)의 일종으로 '몸값(ransome)'과 '제품(ware)'의 합성어로 컴퓨터 또는 스마트폰 사용자의 개인적인 문서를 인질로 잡고 돈을 요구하는 악성 프로그램의 일종이다

쉽게 생각하면 누군가 자기 컴퓨터에 들어와서 자기가 중요하게 여기는 문서나 특정 화일을 암호로 잠궈버리는 것이다. 돈을 줄 때까지.. 

돈은 비트코인으로....

예 : 

지난 2015년 4월, 인기 커뮤니티 사이트를 방문한 사용자 컴퓨터에 이상한 현상이 발생했다. 갑자기 컴퓨터 시스템에 접근할 수 없게 되거나, 저장한 사진과 문서 파일 등을 열 수 없는 일이 발생했다. PC뿐 아니라 PC에 연결된 외장형 하드디스크 드라이브(HDD), 네트워크 드라이브로 연결된 서버, 퍼블릭 클라우드 스토리지 서비스, 문서 중앙화 시스템 속 데이터까지 사용자가 모르는 사이에 잠겼다. 하루 아침에 갑자기 컴퓨터에 저장된 모든 데이터를 볼 수 없는 일이 발생했다. 이른바 ‘랜섬웨어(ransomware)’로 유명한 ‘크립토락커(CryptoLocker)’ 바이러스에 PC가 감염돼 모든 데이터가 암호화 된 탓이다.

감염되는 주요 경로는 모두가 짐작하다시피 토렌트 사이트 이다.. 

이외에도 아래와 같은 다양한 경로가 있다. 

금번 워나크라이 랜섬웨어 관련된 주의 및 권고 사항으로 KISA에서 나온 내용이다. 필독

- SMB 취약점을 이용한 랜섬웨어 공격 주의 권고

SMB란? MS 그냥 쉽게 윈도우 시스템에서 (SMB(Server Msessage Block) : Microsoft Windows OS에서) 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식,  프로토콜 이라고 생각하면  될듯...

□ 개요
 o SMB 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요
 o 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드

    권고
 
□ 주요 내용
 o Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드

    유포
   - 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴
 o 랜섬웨어 악성코드(WannaCry) 특징
   - 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
   - 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원
 
□ 영향을 받는 시스템
 o Windows 10
 o Windows 8.1
 o Windows RT 8.1
 o Windows 7
 o Windows Server 2016
 o Windows Server 2012 R2
 o Windows server 2008 R2 SP1 SP2
 
□ 해결 방안
 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로

    버전 업그레이드 및 최신 보안패치 적용
 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
   ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
        ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
   ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
     - (Windows Vista 또는 Windows Server 2008 이상)
         모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 -> ① set-ItemProperty –Path

                                “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –

                                 Type DWORD –Value 0 –Force ② set-ItemProperty –Path

                                 “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –

                                  Type DWORD –Value 0 –Force 
     - (Windows 8.1 또는 Windows Server 2012 R2 이상)
         클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제
                                          -> 시스템 재시작 
         서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템

                                재시작
   ③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정

        및 기본 포트번호(3389/TCP) 변경
   ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
 
□ 용어 정리
 o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 

예방 방법이라고 해서 KISA에서 나오긴 했지만...  

□ 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)

   ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자
       시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
      ① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB1 -Type DWORD -Value 0 -Force
      ② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB2  -Type DWORD -Value 0 -Force

   ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
       클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제
                                        -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작 
       서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제
                                        -> 확인 -> 시스템 재시작

그리고 내용을 정리하다가....

정리하다가 ..

많은 신문에서 이번 랜섬웨어를 칭하는 워너크라이와 워나크라이 가 동시에 사용되는 것을 보았다.

어떤 것이 만는 것일까? 워너 VS 워나

먼저 한글로 이야기 하기 전에 영어를 봐야 합니다.

WannaCry 로 표기가 됩니다. 앞자와 중간에 C자가 대문자로 표기 됩니다.

이렇게 표기된다는 것은 WannaCry이가 거의 고유명사가 되었다고 봐야 합니다.

아는 분들은 알겠지만 WannaCry이는 Wanna와 Cry 이가 합쳐진 단어입니다.

Wanna역시 Want와 to가 합쳐진 단어입니다.

Wanna는 미국 영어에서 워낙 흔히 사용되는 형태이고 뜻은 ~~ 하고 싶다입니다

To 가 왔으니까 당연히 동사 원형이 와야겠지요..

그러니까. WannaCry이는 총 세단어가 합쳐진 단어가 되겠습니다.

번역하자면 울고싶다! 또는 울고싶어? 읽는 사람의 억양이나 문맥에 따라서

대부분 둘 중에 하나가 되겠지요…

지금처럼 랜섬웨어로 경우…  랜섬웨어를 통해서 돈을 벌구 싶은 해커들은

“너 울어고 싶냐?”, “니 컴터의 소중한 자료들을 내가 모두 못쓰게 해주지!!”

이런 경우이겠지요..

“Do you want to cry?”

 

 

자 그럼 이제 발음 부분을 보겠습니다. 한글로 영어발음을 정확하게 표현하는건

무리가 있습니다.. 그래도 신문이나 문자에는 한글로 표기가 되고 있습니다.

워너크라이와 워나크라이가 동시에 사용 되고 있습니다.

너와 나를 제외하고는 다 동일한 발음인데… 왜 너와 나만 다를 까요?

사실 둘중에 뭐가 정확히 맞다라고 이야기하는게 좀 … 그렇긴 하지만..

사전에는 미국식 [^|wɑ:nə;^|wɔ:nə;^|wʌnə] 영국식 [^|wɒnə] 으로 나와있습니다.

통상적으로 우리나라에서 워너비 모델이 누구냐? 이렇게 물어보지 워나비 모델이 누구냐라고는

잘 안물어봅니다….

그리고… 결정적으로  우리나라 가수중에 SG WANNABE라고 있습니다.

이들을 부를 때

SG 워나비 라고는 하지 않습니다. 대부분 SG 워너비라고 하지요..

참고로 SG워너비(SG Wanna Be) 뜻은 레전드 포크 락 그룹인 '사이먼 앤 가펑클(Simon & Garfunkel)처럼 되고 되고 싶다

(Want to be) 입니다.