WannaCry 랜섬웨어 공격은 어떻게 진행되었을까요?

WannaCry 랜섬웨어 공격은 2017년 5월 12일에 발생하여 20만 대 이상의 컴퓨터에 영향을 미쳤습니다. WannaCry는 패치되지 않은 취약점을 사용하여 전 세계 네트워크를 웜으로 감염시켰습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • WannaCry 랜섬웨어가 하루 만에 20만 대 이상의 컴퓨터로 확산된 경위 설명
  • 어느 보안 연구원이 WannaCry를 막은 방법 설명
  • 2017년 5월 WannaCry 공격의 주요 교훈과 시사점 살펴보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

WannaCry 랜섬웨어 공격은 어떻게 진행되었을까요?

WannaCry 랜섬웨어* 공격은 전 세계 여러 조직에 영향을 미친 중대한 보안 사고였습니다.2017년 5월 12일, WannaCry 랜섬웨어 웜이 150여 개국 20만 대 이상의 컴퓨터로 확산되었습니다.페덱스, 혼다, 닛산, 영국 국민보건서비스(NHS) 등이 대표적으로 피해를 입었으며, NHS는 구급차 일부를 다른 병원으로 돌려야 했습니다.

공격이 발생한 지 몇 시간 만에 WannaCry는 일시적으로 무력화되었습니다.한 보안 연구원이 "킬 스위치" 를 발견하여 이 맬웨어를 무력화시켰습니다.그러나 피해자들이 랜섬을 지급하거나 암호화를 해제할 수 있을 때까지 많은 피해 컴퓨터가 암호화된 채로 사용 불가능한 상태로 남아 있었습니다.

WannaCry는 "이터널블루"라는 취약점 익스플로잇을 사용하여 확산되었습니다. 미국 국가안보국(NSA)에서 자체적으로 사용하기 위해 이 익스플로잇을 개발했지만, NSA가 해킹당한 후 섀도우 브로커(Shadow Brokers)라는 그룹이 이를 도용하여 일반에 공개했습니다. 이터널블루는 패치가 적용되지 않은 구 버전의 Microsoft Windows에서만 작동했지만, WannaCry가 빠르게 확산될 수 있었던 것은 해당 버전을 실행하는 컴퓨터의 대수가 충분하고도 넘쳤기 때문입니다.

*랜섬웨어는 암호화를 통해 파일과 데이터를 잠그고 랜섬을 요구하는 악의적 소프트웨어입니다.

웜이란?

보안 분야에서 웜은 네트워크의 여러 컴퓨터에 자동으로 자체를 전파하는 악의적 소프트웨어 프로그램입니다. 웜은 운영 체제의 취약점을 이용해 컴퓨터에서 컴퓨터로 이동하며 각 컴퓨터에 자체의 복사본을 설치합니다.

웜은 사무실 단지를 돌아다니며 잠그지 않은 출입문을 확인하는 도둑과 같다고 생각하면 됩니다. 도둑이 대상을 찾으면 잠그지 않은 사무실 안에 자신의 복제본을 만들어 남기고, 두 버전 모두 잠그지 않은 문을 계속 찾아다닌다고 상상해 보세요.

대부분의 웜에는 랜섬웨어가 포함되어 있지 않습니다. 랜섬웨어는 일반적으로 악의적 이메일, 인증정보 손상, 봇넷, 고도로 표적화된 취약점 익스플로잇을 통해 확산됩니다(Ryuk는 후자의 한 예입니다). WannaCry는 랜섬웨어와 웜을 결합했을 뿐만 아니라 NSA가 만든 특히 강력한 웜 활성화 취약점을 이용했다는 점에서 독특했습니다.

섀도우 브로커란?

섀도우 브로커는 2016년부터 맬웨어 도구와 제로데이 익스플로잇을 대중에게 유출하기 시작한 공격자 그룹입니다.이들은 NSA에서 개발한 여러 익스플로잇을 획득한 것으로 의심되며, 이는 아마도 기관에서 발생한 내부자 공격으로 인한 것으로 보입니다.2017년 4월 14일, 섀도우 브로커는 WannaCry가 나중에 사용하게 될 이터널블루 익스플로잇을 유출했습니다.

마이크로소프트는 섀도우 브로커가 이터널블루를 유출하기 한 달 전인 3월 14일에 패치를 발표했지만, WannaCry 공격 당시에도 많은 컴퓨터가 패치를 받지 않은 채로 남아 있었습니다.

WannaCry 랜섬웨어 공격의 주범은?

2017년 말, 미국과 영국에서는 북한 정부가 WannaCry의 배후에 있다고 발표했습니다. 그러나 일부 보안 연구원은 이 출처에 대해 이의를 제기하고 있습니다. WannaCry가 북한 정부의 직접적인 소행이 아니라 북한에 기반을 둔 라자루스 그룹의 소행일 수 있다는 주장도 있습니다. 다른 사람들은 맬웨어의 제작 단서가 북한에 기반을 둔 공격자에게 책임을 전가하기 위해 심어졌을 수 있으며, WannaCry가 완전히 다른 지역에서 발생했을 수 있다고 주장합니다.

WannaCry 공격은 어떻게 막을 수 있었을까요?

공격 당일, 보안 블로거이자 연구원인 마커스 허친스가 WannaCry 소스 코드를 리버스 엔지니어링하기 시작했습니다. 그는 WannaCry에 비정상적인 기능이 포함되어 있다는 사실을 발견했습니다. 실행 전에 도메인 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com을 쿼리하는 것이었습니다. 이 웹 사이트는 존재하지 않았습니다.

그래서 그는 이 도메인을 등록했습니다. ($10.69의 비용이 들었습니다.)

허친스가 그렇게 한 후에도 WannaCry의 사본은 계속 확산되었지만, 실행은 중단되었습니다. 기본적으로 WannaCry는 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com에서 응답을 받기 시작하자 스스로 꺼졌습니다.

공격이 중단된 이유는 무엇일까요?

WannaCry 제작자의 동기는 확실하게 알 수 없지만, 랜섬웨어가 샌드박스 안에 있는지 확인하기 위해 도메인 쿼리 기능을 WannaCry에 포함시켰다는 설이 있습니다.

샌드박스는 맬웨어 방지 도구입니다. 이 도구는 다른 모든 시스템 및 네트워크와 별도로 실행되는 가상 머신입니다. 신뢰할 수 없는 파일을 실행하고 그 기능을 확인할 수 있는 안전한 환경을 제공합니다.

샌드박스는 실제로 인터넷에 연결되어 있지는 않습니다. 그러나 샌드박스는 실제 컴퓨터를 최대한 가깝게 모방하는 것을 목표로 하므로 맬웨어가 특정 도메인을 대상으로 하는 쿼리에 대해 가짜 응답을 생성할 수 있습니다. 따라서 맬웨어가 샌드박스 내에 있는지 확인할 수 있는 한 가지 방법은 가짜 도메인으로 쿼리를 보내는 것입니다. "실제" 응답(샌드박스에 의해 생성됨)을 받으면 샌드박스에 있는 것으로 간주하고 샌드박스가 이를 악의적이라고 감지하지 못하도록 스스로 종료할 수 있습니다.

그러나 맬웨어가 테스트 쿼리를 하드코딩된 도메인으로 보내면 누군가 해당 도메인을 등록하면 항상 샌드박스에 있는 것으로 속일 수 있습니다. 전 세계의 WannaCry 사본이 샌드박스 안에 있다고 속여 스스로를 종료한 것이 WannaCry의 사례에서 발생한 일일 수 있습니다. (맬웨어 작성자의 관점에서 더 나은 설계는 매번 다른 무작위 도메인을 쿼리하는 것입니다. 이렇게 하면 샌드박스 외부의 도메인에서 응답을 받을 확률이 0에 가까워집니다.)

가능한 설명 또 한 가지는 전 세계로 퍼진 WannaCry의 사본이 완성되지 않았기 때문일 수 있다는 것입니다. WannaCry의 제작자는 해당 도메인을 플레이스홀더로 하드코딩하여 웜을 공개하기 전에 명령 및 제어(C&C) 서버의 주소로 대체하려고 했을 수 있습니다. 또는 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com을 직접 등록하려고 했을 수도 있습니다. (DNS 필터링 또는 URL 필터링을 사용하면 해당 도메인에 대한 쿼리를 차단할 수 있었겠지만, 대부분의 조직에서는 이 안전 조치를 제때 배포하지 못했을 것입니다.)

이유야 어찌되었든, 이러한 간단한 조치로 전 세계의 컴퓨터와 네트워크를 추가 감염으로부터 구할 수 있었다는 것은 행운이었습니다.

마커스 허친스에게는 무슨 일이 있었을까요?

허친스는 보안 연구원으로 일하고 블로그를 운영하기 전에는 다크웹의 맬웨어 포럼을 자주 방문하며 직접 맬웨어를 제작하고 판매한 것으로 밝혀졌습니다. WannaCry 사건이 발생한 지 몇 달 후, FBI는 네바다주 라스베이거스에서 뱅킹 맬웨어인 크로노스(Kronos)를 제작한 혐의로 허친스를 체포했습니다.

오늘날에도 WannaCry가 위협이 될까요?

2017년에 전 세계에 배포된 WannaCry 버전은 허친스의 킬 스위치 도메인 덕분에 더 이상 작동하지 않습니다. 또한 2017년 3월부터 WannaCry가 악용한 이터널블루 취약점에 대한 패치가 제공되고 있습니다.

하지만 WannaCry 공격은 계속 발생하고 있습니다. 2021년 3월 현재, WannaCry는 이터널블루 취약점을 여전히 사용하고 있었으며, 이는 매우 오래되고 낡은 Windows 시스템만 위험에 노출되어 있다는 것을 의미합니다. 최신 버전의 WannaCry에서는 원래 버전에 있던 킬 스위치 기능이 제거되었습니다. 운영 체제를 업데이트하고 보안 업데이트를 즉시 설치하는 것을 적극 권장합니다.

WannaCry의 원래 버전은 더 이상 활동하지 않지만, 2017년 5월 공격에서 몇 가지 중요한 교훈을 얻을 수 있습니다.

  1. 전 세계의 네트워크는 서로 밀접하게 연결되어 있습니다.인터넷 시대에는, 당연한 이야기일지 모르지만, 여전히 많은 조직에서는 외부에서 자체 네트워크에 침입할 수 없다고 가정합니다(해자가 있는 성처럼).WannaCry는 네트워크가 에어 갭(모든 외부 연결과 완전히 분리된 상태)이 아닌 한 외부 위협이 여전히 침입할 수 있음을 보여주었습니다.
  2. 패치된 취약점도 위험할 수 있습니다.취약점 패치는 이를 적용하는 시스템의 수만큼만 효과적입니다.이터널블루 패치는 WannaCry 공격이 발생하기 약 두 달 전부터 제공되었지만, 패치를 설치한 조직은 거의 없었던 것으로 보입니다.(2021년까지도 아직 설치하지 않은 곳이 있었습니다.)
  3. 많은 중요 조직이 사이버 공격에 취약합니다.랜섬웨어 공격은 최근 몇 년 동안 병원, 학교, 연료 파이프라인, 정부에 영향을 미쳤으며, 이러한 상황은 계속되고 있습니다.실제로 Ryuk와 같은 랜섬웨어 그룹은 이러한 기관을 표적으로 삼는 것으로 보입니다.경우에 따라 조직에서는 공격에 대응하는 데 필요한 자금, 리소스, 기술 업데이트에 대한 투자가 부족할 수 있습니다.특히 NHS는 공격 이후에도 마이크로소프트가 더 이상 지원하지 않는 매우 취약한 운영 체제인 Windows XP를 계속 사용했다는 이유로 조사를 받았습니다.
  4. 랜섬웨어는 주요한 위협입니다.Cloudflare One에서는 Zero Trust 플랫폼으로 조직이 이러한 위협에 대처하는 데 도움을 줄 수 있습니다.Zero Trust 보안 접근 방식은 모든 사용자와 장치에 위협이 존재한다고 가정합니다.정기적으로 사용자를 재인증하고 장치 보안을 평가하여 안전하지 않거나 권한이 없는 장치는 애플리케이션 및 네트워크 액세스가 즉시 취소되도록 합니다.이는 랜섬웨어의 확산을 방지하는 데 도움이 됩니다.

다른 랜섬웨어 변종에 대해 알아보세요.