[펌] SMB 취약점을 악용한 랜섬웨어 (워너크라이) 예방 방법

[나이스준]

SMB 취약점을 악용한 랜섬웨어 (워너크라이) 예방 방법

미래창조과학부와 한국인터넷진흥원이 공개한 SMB 취약점을 악용한 랜섬웨어(WannaCry)의 개요, 특징 및 예방 방법입니다.

■ 개요

- SMB 원격코드실행 취약점을 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요

- SMB(Server Msessage Block): Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 프로토콜

- Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010)을 악용하여 랜섬웨어 악성코드 유포

- 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드

■ 주요 특징

- 윈도우가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드) 형태이며 윈도우 SMB 취약점을 이용

- 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry)를 감염시킴

- PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산시키는 특징을 보이므로 감염과 동시에 공격에 악용됨

- 랜섬웨어 악성코드(WannaCry) 특징
  다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
  비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원

■ 예방 방법

① PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제

    ※ 파일 공유 기능 해제 방법은 KrCERT 보안 공지문(바로가기) 참고

② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트(바로가기) 수행

    ※ 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용 권고

■ 기타 해결 방안

Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고.

□ 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단

※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

□ Windows Vista 또는 Windows Server 2008 이상 사용자

시작 → 'Windows Powershell' 입력 → 우클릭 → 관리자 권한으로 실행

① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB1 -Type DWORD -Value 0 -Force

② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB2  -Type DWORD -Value 0 -Force

□ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자

- 클라이언트: 제어판 → 프로그램 → Windows 기능 설정 또는 해제 → SMB1.0/CIFS 파일 공유 지원 체크 해제 → 시스템 재시작

- 서버: 서버 관리자 → 관리 → 역할 및 기능 → SMB1.0/CIFS 파일 공유 지원 체크 해제 → 확인 → 시스템 재시작

□ Windows XP 또는 Windows Server 2003 사용자

- RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경

□ Windows Server 2003 이하 사용자

- 서버 내 WebDAV 서비스 비활성화

■ 문의

한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

■ 참고/출처

- http://www.boho.or.kr/