[위클리오늘=이하나 기자] 세계 150여 개국에서 동시다발적인 랜섬웨어(ransomware) 공격이 발생한 가운데 한국인터넷진흥원(KISA)이 지난 14일 ‘보호나라’를 통해 4일 'SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령'이라는 제목의 글을 올려 관심이 폭주하고 있다.

보안기업 이스트시큐리티도 15일 랜섬웨어 감염 예방을 위해 '알약 워너크라이 예방 조치툴'을 무료로 배포한다고 밝혔다.

‘보호나라’가 권고한 랜섬웨어 예방 방법은 먼저 PC를 켜기 전 랜선을 뽑고 와이파이를 끈 후 PC를 켠다. 그리고 감염 경로 차단을 위해 윈도우 방화벽 설정을 변경 후 인터넷을 재연결 해 윈도우를 업데이트하면 된다. 와이파이 연결이 자동으로 설정돼 있다면 와이파이 공유기 전원을 끄고 컴퓨터를 켜야 한다.

KISA가 제시한 구체적인 랜섬웨어 예방법은 ▲윈도우 제어판에서 ‘윈도우 방화벽’ 선택 ▲‘고급 설정’에서 인바운드 규칙 -새 규칙 -포트를 차례대로 선택 ▲TCP ·특정 로컬 포트를 선택한 후 ‘137-139, 445’를 입력한 뒤 ‘다음’ ▲‘연결 차단’을 선택한 뒤 ‘다음’ ▲도메인·개인·공용을 모두 체크한 뒤 ‘다음’ ▲규칙 이름을 정해준 뒤 ‘마침’ 이후 인터넷에 연결하고 백신 프로그램과 마이크로소프트(MS)의 윈도우 운영체제(OS) 등을 최신 버전으로 업데이트 해주면 된다.

윈도우XP와 윈도우8 등 MS가 보안 지원을 중단한 OS는 업데이트 사이트에서 자신의 운영체제에 맞는 업데이트 파일을 수동으로 설치해야 한다. 옛 버전의 OS는 추가 위험을 막기 위해 최신 OS로 업그레이드하는 게 좋다.

랜섬웨어에 감염되는 등 피해가 발생한 경우 KISA 보호나라 홈페이지 또는 118상담센터(국번없이 118 또는 110)로 즉시 신고해야 한다.

보호나라의 자세한 랜섬웨어 방지 대국민 행동 요령은 공식 홈페이지를 통해 확인할 수 있다. 랜섬웨어 예방법 등을 설명한 공지문을 올린 ‘보호나라’는 15일 오전 한때 접속자가 폭주하며 홈페이지가 다운되기도 했다.

이스트시큐리티가 랜섬웨어 감염 예방을 위해 배포한 '알약 워너크라이 예방 조치툴'은 사용자 PC에 워너크라이 랜섬웨어가 악용하는 윈도우 OS(운영체제) 취약점이 존재하는지 확인하고, 취약점이 발견되면 공격을 위해 사용하는 특정 프로토콜 포트 등을 비활성화해 랜섬웨어 감염 경로를 차단해 준다.

사용자는 알약 워너크라이 예방 조지툴 프로그램을 내려받고 '점검시작' 버튼을 클릭하면 워너크라이 랜섬웨어가 악용하는 취약점 존재 여부를 확인하고 긴급 조치를 취해 PC를 안전하게 보호할 수 있다.

이스트시큐리티에 따르면 국내에서 알약을 통해서만 12~13일 2000건 이상, 14일 3000건 이상의 워너크라이 랜섬웨어 공격이 탐지됐다.

이스트시큐리티가 제공하는 알약 예방 조치툴은 알약 공식 블로그 안내 게시글에서 무료로 내려받을 수 있다.

한편, 정부는 전세계적으로 확산된 랜섬웨어 공격 및 북한의 미사일 발사 등 사이버위협 고조에 적극 대응하기 위해 14일 오후 6시부로 국가 사이버위기 경보 단계를 '관심'에서 '주의'로 상향 조정했다.

윤영찬 청와대 국민소통수석은 이날 오전 춘추관 브리핑에서 "마이크로소프트의 윈도우 운영체제의 문제점을 악용한 대규모 랜섬웨어 감염피해가 전 세계적으로 확산 중인데 지금까지 확인된 국내 피해규모는 9건이나 오늘부터 확산이 우려됨에 따라 피해차단을 위한 철저한 대응조치가 필요하다"고 밝혔다. "대국민 행동 요령으로는 통신망 차단 후 컴퓨터 켜기, SMB(Server Msessage Block) 프로토콜 비활성화, 통신망 연결 후 운영체제 보안 및 백신 소프트웨어 업데이트 등이다"라고 설명했다.

한국인터넷진흥원(KISA)에 따르면 지난 13일부터 현재까지 국내 기업 8곳이 관련 문의를 해왔고, 이 가운데 5곳은 인터넷진흥원이 현장 조사를 진행중이다.

이날 새벽에는 CGV 영화관에서 영화 상영 전 광고 화면에 워너크라이 랜섬웨어에 감염됐다며 비트코인을 지불하라는 랜섬노트(협박메시지)가 등장했다. '블랙 사이버 먼데이' 현실화 우려 속에 국내 기업들의 긴장감이 고조되고 있다.

유로폴은 국제적으로 150여개 국에서 20만 건이 넘는 랜섬웨어 감염 피해가 발생한 것으로 보고 있다. 이 가운데 절반은 국가기관이나 기업같은 큰 조직의 피해다.

랜섬웨이는 컴퓨터 사용자의 파일을 인질로 금전을 요구하는 악성 프로그램으로 몸값을 뜻하는 '랜섬(Ransom)'과 '소프트웨어(Software)'의 합성어다.

컴퓨터가 인터넷에 연결돼 있는 것만으로 감염 될 수 있으며 랜섬웨어에 감염되면 중요 파일이 암호화되며 해당 파일을 복구하는 조건으로 약 300∼600달러(약 34만∼68만 원)의 비트코인(가상화폐)을 지불하라고 뜬다.

'워나크라이' 랜섬웨어는 윈도 운영체제 SMBv2 원격코드실행 취약점에 대한 패치를 적용하지 않아 보안이 취약한 PC로 전파되며, PC 내 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화해 사용하지 못하게 만든다.

한국인터넷진흥원 관계자는 "워너크라이 랜섬웨어는 웜(자가 전파 악성코드) 형태로 동작하기에, 1대의 PC가 감염되면 동일한 네트워크 대역을 사용하는 PC를 찾아 악성코드를 전파한다"며 "기업 내부에 감염된 PC가 있을 것에 대비해 네트워크를 단절시킨 후 파일공유 기능을 해제, 업데이트 및 백신검사를 수행하는 것이 중요하다"고 강조했다.

이메일을 통한 랜섬웨어 공격이 증가하고 있어 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다.