작성일 : 17-05-15 13:14
2017년 05월 15일 랜섬웨어 대란 공지
 글쓴이 : 마이호스팅
조회 : 41,945  

수신 : 마이호스팅 KT-IDC 이용고객님
발신 : 마이호스팅 IDC운영팀

안녕하세요? 마이호스팅 IDC 운영팀 입니다.
5월 12일 금요일부터 전세계적으로 퍼지고있는 랜섬웨어 피해 예방과
관련하여 아래와 같이 안내드리오니 업무에 참고하시기 바랍니다.

* 주요 보도 / 공지
- 지난 5월 12일 금요일부터 영국 NHS 산하 병원 등을 시작으로 대규모 사이버
  공격을 통해 WannaCry라는 이름의 랜섬웨어가 급속도로 퍼지기 시작함
  15일 오전 현재 99개국 23만대 이상의 컴퓨터가 해당 공격으로 피해를
  입었으며 급속도로 피해가 확산되어 시급한 예방 조치가 요구됨

* 공격 수법 / 과정
- 해당 랜섬웨어는 Windows의 SMB(삼바) 취약점(MS17-010)을 이용한 공격이며
  랜섬웨어에 감염되면 PC에 저장된 파일들은 확장자나 이름을 임의로 변경하고
  암호화시켜 실행못하게 만든 후 랜섬(인질)에 대한 대가를 요구하는 수법임

* 세부 피해 / 내용
- 일반적으로 기존의 랜섬웨어가 보안이 취약한 PC에서 웹사이트에 접속하거나
  이메일에 첨부된 파일을 실행할 때 또는 P2P 사이트를 통해 콘텐츠를 다운로드
  받을 때 주로 감염되었다면, 이번 SMB 취약점을 통한 랜섬웨어는 감염된 PC가
  파일 공유가 되어있을경우 네트워크로 공유된 PC가 모두 감염되는 특징이 있음

* 예방 치료 / 방법
- 해당 랜섬웨어는 Linux등 기타 다른 OS에는 영향력이 없다고 보고되었으며,
  윈도우 시스템만을 대상으로 한 공격이라고 하나 윈도우의 경우에도
  아래의 보안 업데이트 패치를 통하여 피해를 막을 수 있습니다.

1. 보안장비 업데이트 (PC나 서버 상단에 보안장비가 있을경우)
- 장비 업데이트 실시 : 최신 Signature 패턴(보안 방어규칙) 업데이트 실시
- 방화벽 SMB 포트차단 : 137(UDP), 138(UDP), 139(TCP), 445(TCP) 포트 차단

2. Windows 서버 (2008 서버 이상, Windows 8.1이상 Windows 10 PC 포함)
- 아래의 보안 업데이트 실시 (지난 3월 16일 마이호스팅 홈페이지에도 공지함)
- https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

3. Windows 서버 (2003 이하, Windows 7이하 Windows xp, vista PC 포함)
- 더이상 업데이트가 지원되지 않는 OS이므로 아래의 사이트를 통해 다운로드
- https://www.microsoft.com/ko-KR/download/details.aspx?id=55248

* 개인 PC의 경우 아래의 몇가지 사항을 준수하여 주시기 바랍니다.
1. 이메일 첨부파일 중 실행파일 주의 (exe, js, jse, wsf, docm, scr등)
2. 백신 설치 및 실시간 감시 활성화 (개인용은 무료배포, 서버용은 사로 )
3. Office, 아래아 한글등의 어플리케이션 최신 업데이트 실시
4. 중요 파일에 대한 주기적인 백업 및 읽기 전용 설정
5. Windows 기능 켜기/끄기 메뉴에서 'SMB 1.0/CIFS 파일 공유 지원' 항목끄기

KT IDC에서는 보안에 취약하다고 알려진 MS 파일공유 프로토콜(SMB)을 이번
공격이 있기 전부터 최상단 장비에서 차단하고 있기에 상대적으로 데이터센터 
내에 위치한 서버는 현재까지 랜섬웨어 피해가 보고되지는 않고 있습니다.
(단 기가오피스를 사용하고 계신 고객은 예외적으로 SMB 프로토콜이 허용됩니다)

그 외 추가적인  주의사항이나 공지사항, 권고사항등이 있으면 홈페이지를
통하여 업데이트 해드리도록 하겠습니다.

감사합니다.
마이호스팅 드림.