WannaCry 랜섬웨어 공격은 2017년 5월 12일에 발생하여 20만 대 이상의 컴퓨터에 영향을 미쳤습니다. WannaCry는 패치되지 않은 취약점을 사용하여 전 세계 네트워크를 웜으로 감염시켰습니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
WannaCry 랜섬웨어* 공격은 전 세계 여러 조직에 영향을 미친 중대한 보안 사고였습니다.2017년 5월 12일, WannaCry 랜섬웨어 웜이 150여 개국 20만 대 이상의 컴퓨터로 확산되었습니다.페덱스, 혼다, 닛산, 영국 국민보건서비스(NHS) 등이 대표적으로 피해를 입었으며, NHS는 구급차 일부를 다른 병원으로 돌려야 했습니다.
공격이 발생한 지 몇 시간 만에 WannaCry는 일시적으로 무력화되었습니다.한 보안 연구원이 "킬 스위치" 를 발견하여 이 맬웨어를 무력화시켰습니다.그러나 피해자들이 랜섬을 지급하거나 암호화를 해제할 수 있을 때까지 많은 피해 컴퓨터가 암호화된 채로 사용 불가능한 상태로 남아 있었습니다.
WannaCry는 "이터널블루"라는 취약점 익스플로잇을 사용하여 확산되었습니다. 미국 국가안보국(NSA)에서 자체적으로 사용하기 위해 이 익스플로잇을 개발했지만, NSA가 해킹당한 후 섀도우 브로커(Shadow Brokers)라는 그룹이 이를 도용하여 일반에 공개했습니다. 이터널블루는 패치가 적용되지 않은 구 버전의 Microsoft Windows에서만 작동했지만, WannaCry가 빠르게 확산될 수 있었던 것은 해당 버전을 실행하는 컴퓨터의 대수가 충분하고도 넘쳤기 때문입니다.
*랜섬웨어는 암호화를 통해 파일과 데이터를 잠그고 랜섬을 요구하는 악의적 소프트웨어입니다.
보안 분야에서 웜은 네트워크의 여러 컴퓨터에 자동으로 자체를 전파하는 악의적 소프트웨어 프로그램입니다. 웜은 운영 체제의 취약점을 이용해 컴퓨터에서 컴퓨터로 이동하며 각 컴퓨터에 자체의 복사본을 설치합니다.
웜은 사무실 단지를 돌아다니며 잠그지 않은 출입문을 확인하는 도둑과 같다고 생각하면 됩니다. 도둑이 대상을 찾으면 잠그지 않은 사무실 안에 자신의 복제본을 만들어 남기고, 두 버전 모두 잠그지 않은 문을 계속 찾아다닌다고 상상해 보세요.
대부분의 웜에는 랜섬웨어가 포함되어 있지 않습니다. 랜섬웨어는 일반적으로 악의적 이메일, 인증정보 손상, 봇넷, 고도로 표적화된 취약점 익스플로잇을 통해 확산됩니다(Ryuk는 후자의 한 예입니다). WannaCry는 랜섬웨어와 웜을 결합했을 뿐만 아니라 NSA가 만든 특히 강력한 웜 활성화 취약점을 이용했다는 점에서 독특했습니다.
섀도우 브로커는 2016년부터 맬웨어 도구와 제로데이 익스플로잇을 대중에게 유출하기 시작한 공격자 그룹입니다.이들은 NSA에서 개발한 여러 익스플로잇을 획득한 것으로 의심되며, 이는 아마도 기관에서 발생한 내부자 공격으로 인한 것으로 보입니다.2017년 4월 14일, 섀도우 브로커는 WannaCry가 나중에 사용하게 될 이터널블루 익스플로잇을 유출했습니다.
마이크로소프트는 섀도우 브로커가 이터널블루를 유출하기 한 달 전인 3월 14일에 패치를 발표했지만, WannaCry 공격 당시에도 많은 컴퓨터가 패치를 받지 않은 채로 남아 있었습니다.
2017년 말, 미국과 영국에서는 북한 정부가 WannaCry의 배후에 있다고 발표했습니다. 그러나 일부 보안 연구원은 이 출처에 대해 이의를 제기하고 있습니다. WannaCry가 북한 정부의 직접적인 소행이 아니라 북한에 기반을 둔 라자루스 그룹의 소행일 수 있다는 주장도 있습니다. 다른 사람들은 맬웨어의 제작 단서가 북한에 기반을 둔 공격자에게 책임을 전가하기 위해 심어졌을 수 있으며, WannaCry가 완전히 다른 지역에서 발생했을 수 있다고 주장합니다.
공격 당일, 보안 블로거이자 연구원인 마커스 허친스가 WannaCry 소스 코드를 리버스 엔지니어링하기 시작했습니다. 그는 WannaCry에 비정상적인 기능이 포함되어 있다는 사실을 발견했습니다. 실행 전에 도메인 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com을 쿼리하는 것이었습니다. 이 웹 사이트는 존재하지 않았습니다.
그래서 그는 이 도메인을 등록했습니다. ($10.69의 비용이 들었습니다.)
허친스가 그렇게 한 후에도 WannaCry의 사본은 계속 확산되었지만, 실행은 중단되었습니다. 기본적으로 WannaCry는 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com에서 응답을 받기 시작하자 스스로 꺼졌습니다.
WannaCry 제작자의 동기는 확실하게 알 수 없지만, 랜섬웨어가 샌드박스 안에 있는지 확인하기 위해 도메인 쿼리 기능을 WannaCry에 포함시켰다는 설이 있습니다.
샌드박스는 맬웨어 방지 도구입니다. 이 도구는 다른 모든 시스템 및 네트워크와 별도로 실행되는 가상 머신입니다. 신뢰할 수 없는 파일을 실행하고 그 기능을 확인할 수 있는 안전한 환경을 제공합니다.
샌드박스는 실제로 인터넷에 연결되어 있지는 않습니다. 그러나 샌드박스는 실제 컴퓨터를 최대한 가깝게 모방하는 것을 목표로 하므로 맬웨어가 특정 도메인을 대상으로 하는 쿼리에 대해 가짜 응답을 생성할 수 있습니다. 따라서 맬웨어가 샌드박스 내에 있는지 확인할 수 있는 한 가지 방법은 가짜 도메인으로 쿼리를 보내는 것입니다. "실제" 응답(샌드박스에 의해 생성됨)을 받으면 샌드박스에 있는 것으로 간주하고 샌드박스가 이를 악의적이라고 감지하지 못하도록 스스로 종료할 수 있습니다.
그러나 맬웨어가 테스트 쿼리를 하드코딩된 도메인으로 보내면 누군가 해당 도메인을 등록하면 항상 샌드박스에 있는 것으로 속일 수 있습니다. 전 세계의 WannaCry 사본이 샌드박스 안에 있다고 속여 스스로를 종료한 것이 WannaCry의 사례에서 발생한 일일 수 있습니다. (맬웨어 작성자의 관점에서 더 나은 설계는 매번 다른 무작위 도메인을 쿼리하는 것입니다. 이렇게 하면 샌드박스 외부의 도메인에서 응답을 받을 확률이 0에 가까워집니다.)
가능한 설명 또 한 가지는 전 세계로 퍼진 WannaCry의 사본이 완성되지 않았기 때문일 수 있다는 것입니다. WannaCry의 제작자는 해당 도메인을 플레이스홀더로 하드코딩하여 웜을 공개하기 전에 명령 및 제어(C&C) 서버의 주소로 대체하려고 했을 수 있습니다. 또는 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com을 직접 등록하려고 했을 수도 있습니다. (DNS 필터링 또는 URL 필터링을 사용하면 해당 도메인에 대한 쿼리를 차단할 수 있었겠지만, 대부분의 조직에서는 이 안전 조치를 제때 배포하지 못했을 것입니다.)
이유야 어찌되었든, 이러한 간단한 조치로 전 세계의 컴퓨터와 네트워크를 추가 감염으로부터 구할 수 있었다는 것은 행운이었습니다.
허친스는 보안 연구원으로 일하고 블로그를 운영하기 전에는 다크웹의 맬웨어 포럼을 자주 방문하며 직접 맬웨어를 제작하고 판매한 것으로 밝혀졌습니다. WannaCry 사건이 발생한 지 몇 달 후, FBI는 네바다주 라스베이거스에서 뱅킹 맬웨어인 크로노스(Kronos)를 제작한 혐의로 허친스를 체포했습니다.
2017년에 전 세계에 배포된 WannaCry 버전은 허친스의 킬 스위치 도메인 덕분에 더 이상 작동하지 않습니다. 또한 2017년 3월부터 WannaCry가 악용한 이터널블루 취약점에 대한 패치가 제공되고 있습니다.
하지만 WannaCry 공격은 계속 발생하고 있습니다. 2021년 3월 현재, WannaCry는 이터널블루 취약점을 여전히 사용하고 있었으며, 이는 매우 오래되고 낡은 Windows 시스템만 위험에 노출되어 있다는 것을 의미합니다. 최신 버전의 WannaCry에서는 원래 버전에 있던 킬 스위치 기능이 제거되었습니다. 운영 체제를 업데이트하고 보안 업데이트를 즉시 설치하는 것을 적극 권장합니다.
WannaCry의 원래 버전은 더 이상 활동하지 않지만, 2017년 5월 공격에서 몇 가지 중요한 교훈을 얻을 수 있습니다.
다른 랜섬웨어 변종에 대해 알아보세요.