TSMC를 멈춘 건 워너크라이 랜섬웨어

대만의 반도체 생산업체 TSMC는 8.3일 소프트웨어 설치 중 악성코드에 감염돼 공장 가동이 이틀간 중단됐다. 이로 인해 총수익의 3% 가량 손실을 입은 것으로 추산된다. 이 악성코드는 2017년 5월 순식간에 전세계적으로 20만 대 이상의 PC를 감염시켜 대란을 일으켰던 워너크라이 랜섬웨어의 변종으로 밝혀졌다.

직원의 실수 때문으로 알려졌는데, 기본적인 보안 수칙을 지키지 않으면 이미 지나간 위험 요소에도 당할 수 있음을 여실히 보여준다. 그런 의미에서 작년에 최초 등장 시의 상황을 복습해 보자.

워너크라이 랜섬웨어(WannaCry ransomware)가 최초로 네트워크에 침투한 경로는 확실히 밝혀지지 않았으나 이메일 첨부파일로 들어온 것으로 추측됐다. 일단 교두보를 확보한 후에는 Windows의 SMB(Server Message Block)의 취약점을 이용해 퍼져나갔다. 이 취약점은 CVE-2017-0144, 0145 두 개인데, 특수하게 조작된 패킷을 이용해 임의의 코드를 실행할 수 있는 원격코드실행 취약점이다. 워너크라이가 등장하기 전인 2017.3월에 패치가 나왔지만, 업데이트를 제대로 하지 않은 기기들이 당한 것이다.

워너크라이의 탄생에는 비화가 있다. 미국의 정보기관인 NSA가 위의 취약점을 이용해 이터널 블루(EternalBlue)라는 해킹 툴을 만들었는데, 이것이 섀도우 브로커스(Shadow Brokers)라는 해커단에게 탈취돼 인터넷에 공개됐다. 이터널 블루를 바탕으로 워너크라이가 만들어졌다.

워너크라이는 특이한 킬스위치가 있었다. 특정 URL에 접속을 시도해서 성공할 경우에는 악성 행위를 하지 않는 것이다. 이를 두고, 통제불능 상태에 빠지는 것을 막으려는 안전장치라는 분석도 있고, 배포 초기에 악성코드 분석가들의 샌드박스에 걸려들지 않기 위한 회피 수단이라는 분석도 있다. 뒤에 나타난 변종들에는 킬스위치가 없다.

재미난 것은 이 킬스위치를 발견한 마커스 허친스가 이 URL을 사들여 워너크라이의 활동에 제동을 걸었다. 그리하여 의인으로 칭송을 받았는데, 바로 얼마 후에 2014년에 악성코드를 만든 혐의로 체포됐다.


참고 자료
  1. TSMC에 수억 원 손해 일으킨 바이러스는 워너크라이
  2. What is WannaCry ransomware, how does it infect, and who was responsible? 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다