랜섬 워너크라이 예방법 정리 패치


1. 들어가며


한국 인터넷진흥원 보호나라(https://www.krcert.or.kr)에서 5. 14(일) 18:00부로 사이버위기 경보 단계를 '관심' → '주의'로 상향 조정했습니다.(참고로 사이버위기 경보 단계는 ‘정상→관심→주의→경계→심각’으로 구분합니다.) 워너크라이(WannerCry) 랜섬웨어 때문인데요,


보호나라 보안공지


기존의 랜섬웨어는 플래시(SWF) 파일이 실행되면서 감염되는 패턴이라 애드블록만 써줘도 웬만큼 방어가 됐었는데, 이번 워너크라이(WannerCry) 랜섬웨어는 윈도우 SMB 원격코드실행 취약점을 악용하는지라 랜섬웨어 프로그램이 네트웍에서 무작위로 스캔하다가 SMB관련 포트가 뚫려있으면 그대로 밀고 들어오므로... 랜선으로 인터넷에 연결된 것만으로도 (아무 짓 안해도) 감염될 수 있는 게 특징입니다.


참고로 SMB는 Server Message Block의 약자로, 공유폴더/공유프린터 등을 구축하는 데 쓰는 규격입니다. 137, 138, 139 및 445번 포트를 사용하는데 윈도우10 방화벽에선 137(UDP), 138(UDP), 139(TCP), 445(TCP) 포트가 열려있더군요. SAMBA는 SMB 프로토콜을 지원하는 대표적인 리눅스용 소프트웨어고요.


아무튼, 이번 랜섬웨어에 대한 개괄과 해결방안은 아래 링크에 “대충” 나와있습니다.


- SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 -

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

▲ 일반인 입장에서 “어떻게 하라는 거지?” 싶을 정도로 툭 던진듯한 느낌인데, 의외로 해결법들이 전부 담겨있는 훌륭한 글입니다.(너무 많이 틀어막았다고 불평 나올 정도임.)


사실

“일반 가정에서 이번 랜섬웨어 걱정을 굳이 할 필요가 있나?”

싶은 게 저의 생각입니다.


왜냐하면... SK 브로드밴드, KT, U+ 등의 인터넷회선 제공사에서 가정용 인터넷회선의 137, 138, 139, 445번 포트를 막아버린 게 10년은 넘었을 걸요? -_-;; 이 포트들은 예전부터 웜바이러스 전파 경로로 사용돼 왔었기에 ISP(Internet service provider)에서 조치를 취한 겁니다. 그래서 제아무리 워나크라이 랜섬웨어라도 가정 컴퓨터의 137, 138, 139, 445번 포트로는 밀고 들어올 수 없는 구조지요. 서글픈 얘기지만 집안에 NAS 놓고 쓰는 분들은 이런 이유때문에 외부에서 SAMBA로 NAS에 접근하는 걸 포기한 경우가 많습니다ㅋ.


만약 본인 인터넷 회선의 포트 개방 상태를 확인해보고 싶으시다면...(제 설명이 못 미덥다 싶으면?)

http://www.yougetsignal.com/tools/open-ports/

위 링크에서 Port Number에 137, 138, 139, 445포트 하나씩 넣고 Check버튼 눌러보세요.


그리고... 요즘 대부분 공유기 쓰시잖아요? 공유기 기본 정책이 포트방화벽 기본적용으로 외부에서의 접근을 모두 차단+원하는 포트만 선택적으로 개방하는 형태입니다. 그래서 공유기 방화벽 단이 137, 138, 139, 445번 포트로의 접근을 2차적으로 차단합니다. 보안에 유리하니까 공유기 쓰세요. 처음 살 땐 ipTime 보다는 디링크(DDNS+VPN기능 있는 모델) 브랜드가 좋심다. ipTime이 돈값 못하진 않는데 Dlink가 돈값 이상을 하거든요ㅋ. 아무튼 신품은 3만~5만, 중고는 5천원정도면 됩니다.


▲ 여건 안되면 미니공유기라도 쓰세요. 신품 만오천원+간이NAS 기능+트랜스미션 가능

대륙발 미니 무선공유기 : Nexx WT3020F 사용기


2. 예방 조치


서두가 길었습니다. 어쨌든 예방해서 나쁠 건 없으니... 제일 소극적이면서 확실한 방법부터 소개해 나가겠습니다.



① 최신 보안패치 적용


이게 제일 편하고, 확실하고, 뒤탈 없는 조치라고 생각합니다.


윈도우 업데이트

▲ 한달에 한번 정도는 해주면 좋은 윈도우 업데이트. 자주 할수록 더 좋음.


다른 취약점들까지 전부 업데이트되는 게 귀찮다? 그럼 이번 랜섬웨어에 대응하는 패치만 받아서 깔면 되죠! 도입부에서 언급했던 SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 글의 참고링크에 이미 해법이 나와있습니다.


https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

▲ 여기가 도움이 되겠네요. 들어가면...


윈도우 SMB 취약점 패치

▲ 이런 식으로 운영체제, Bit 별로 정렬되어 있을겁니다. Security Only 항목을 찾아서 받아 설치하면 될거예요.


만약 “웹 사이트에서 문제가 발생했습니다.[오류 번호: 8DDD0010]” 이런 식으로 오류 메세지가 나오면 해당 오류창 끄지 마시고, 검색란에 4012212 처럼 본인 운영체제에 맞는 패치번호 넣고 검색버튼 몇 번 끈질기게 누르다 보면~~


마이크로소프트 업데이트 카달로그

▲ 이런 식으로 정상적인 화면이 뜰 겁니다. 다운로드 받는 과정도 순탄치 않을 수 있으니까 감안하세요. 윈도우 업데이트 서버 느린 건 다들 아시잖아요. ^^;;


이것도 귀찮아하실 분들을 위해... 운영체제별로 직링크 추출해봤습니다. -_-v 윈도우 서버 운영체제는 직링크 생략합니다.


- 윈도우 XP 서비스팩3, Vista, 윈도우8 -

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

- 윈도우 7 -

http://www.catalog.update.microsoft.com/search.aspx?q=KB4012212

- 윈도우 8.1 -

http://www.catalog.update.microsoft.com/search.aspx?q=KB4012213

- 윈도우 10 - 그냥 자동업데이트 하세요.


다운로드 링크가 느린데 나는 급하다? 보안패치를 주요 윈도우 버전별로 받아서 첨부파일로 담아봤습니다. 직링크 추출했습니다. -_-;; sobi.tips 링크로 올리는 첨부파일은 가정용회선+저사양 홈서버에 있는거니까, 능력자 분들께서는 트래픽 분산 차원에서 다운로드 링크 좀 만들어서 댓글로 남겨주시면 감사하겠습니다.(만약 sobi.tips 트래픽 너무 물리면 지워버릴 겁니다.ㅠ)


windowsXP-SP3-kb4012598-x86-custom-kor.exe => 윈도우 업데이트 서버쪽 링크로 교체

windows7-kb4012212-x86.msu => 윈도우 업데이트 서버쪽 링크로 교체(윈6.1=윈7입니다. 파일명에 신경쓰지 마세요.)

windows7-kb4012212-x64.msu => 윈도우 업데이트 서버쪽 링크로 교체

windows8-kb4012598-x86.msu => 윈도우 업데이트 서버쪽 링크로 교체(파일명에 RT 들어있는 것 신경쓰지 마세요.

windows8-kb4012598-x64.msu => 윈도우 업데이트 서버쪽 링크로 교체

windows8.1-kb4012213-x86.msu => 윈도우 업데이트 서버쪽 링크로 교체

windows8.1-kb4012213-x64.msu => 윈도우 업데이트 서버쪽 링크로 교체



② 방화벽을 이용하여 SMB 관련 포트 차단


이건 회사 내부의 네트워크 환경에서 합법적인 파일/프린터 공유 사용자까지도 차단될 수 있기때문에 안좋은 방법이라고 생각하는데, 위의 패치를 할 수 없거나 공유기 방화벽의 혜택조차 받지 못하는 환경이라면 이거라도 하는 게 낫겠죠.


참!! 컴퓨터 켜기 전에 랜선 뽑고 → ②번 방법으로 포트차단 → 랜선 다시 연결 → ①번 방법으로 패치 → 포트차단 세팅을 삭제하는 식으로 조치하면 좀더 안전할 수 있겠네요. => 이게 SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법 가이드라인이기도 합니다. 제일 추천할만한 조치 방식이에요.


각설하고, 제가 도입부에서 SMB프로토콜에 137(UDP), 138(UDP), 139(TCP), 445(TCP) 포트가 쓰인다고 했죠? 아래 링크에는 139(TCP), 445(TCP) 포트를 차단하는 방법이 나와있습니다.


- SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 -

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723


137(UDP), 138(UDP) 포트 차단 설명은 왜 안해놨는지 모르겠는데, 필요하다면 응용해서 137, 138포트(UDP)도 차단하시면 되겠습니다.


③ 기타


SMB 프로토콜 자체를 비활성화 / 원격 데스크톱(RDP) 포트 변경 및 허용된 사용자만 접근 가능하도록 세팅 / WebDAV 서비스 비활성화 등 매우 과격한 가이드가 아래 링크에 제시되어 있는데, 개인적으로 SMB 프로토콜 비활성화는 가치가 있다고 생각합니다.(NAS로 SAMBA 쓰시는 분들께는 죄송하지만 SMB는 보안에 취약하다고 자주 언급되는 프로트콜이니까요.)


- SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 -

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703



3. 걸렸다면?


복구 및 대응방법 - KISA 보호나라

https://www.krcert.or.kr/ransomware/recovery.do


위 링크를 참고하세요. “비용 지불 후에도 복구되지 않는 경우가 있어 권장하지 않으며, 미국(97%), 독일(78%), 영국(42%)의 경우 대부분 복구비용을 지불하지 않습니다(오스트먼 리서치)” 라고 나와있네요. 생각해보면 이해가 됩니다. 비트코인의 익명성 덕분에 랜섬웨어가 활개칠 수 있는 건데, 복호화도구 전달 과정에서 신원 노출 가능성이 있는데 가해자가 문제 발생 가능성이 올라가는 걸 좋아할까요? 그래서 비트코인만 먹고 튈 가능성이 좀더 높다고 봅니다.


노모어랜섬(NoMoreRansom)

https://www.nomoreransom.org/co/index.html


노모어랜섬은 유로폴(EU경찰기구), 카스퍼스키, 인텔 등이 연합해서 진행 중인 프로젝트로, 최근에는 한국 경찰청 사이버안전국 측에서도 여기에 가입해서 한국어 사이트를 제공하고 있습니다.


반응형