뉴스 검색결과 7,597건
- 한국도 불안..알약 통해서만 랜섬웨어 2천 건 이상 탐지
- [이데일리 김현아 기자] 통합 보안 기업 이스트시큐리티(대표 정상원)는 이번 주말을 기점으로 전 세계적으로 확산되고있는 워너크립터(WannaCry, Wanna Cryptor) 랜섬웨어가 국내에도 급속히 유포되고 있다고 14일 밝혔다.전 세계를 강타하고 있는 워너크립터 랜섬웨어는 윈도 운영체제(OS)의 SMB 취약점을 활용한 공격 방식을 사용하며, 기존의 랜섬웨어와는 다르게 첨부 파일을 열지 않더라도 인터넷에 연결만 되어 있다면 사용자 PC나 서버를 감염시킬 수 있어 위협의 강도가 한층 높다. 특히 워너크립터 랜섬웨어는 악성코드가 스스로 자기 복제를 해 다른 시스템까지 감염시키는 네트워크 웜(Worm)의 특성도 가지고 있어, 감염될 경우 인터넷에 연결되어있고 보안에 취약한 PC를 무작위로 찾아내 감염 공격을 시도한다.한국어를 지원하는 워너크립터주요 외신에 따르면 이 랜섬웨어는 공격이 시작된 이번 주말에만 100여 개 국가 7만 5000대 이상의 PC를 감염시킨 것으로 집계됐다.이로 인해 유럽과 아시아의 주요 대기업, 대학교, 병원 등의 전산 네트워크가 마비되는 초유의 피해가 속속 보고되고 있다.이스트시큐리티 시큐리티대응센터는 “이번 워너크립터 랜섬웨어는 감염시 나타나는 비트코인 결제 유도 화면에서 한글로 된 안내문을 사용하는 등 한국도 주요 공격 대상에 포함되어 있다”며, “기업뿐만 아니라 일반 사용자에게도 무차별적으로 확산되고 있기 때문에, PC에 저장된 중요 자료를 외부 저장 장치에 복사해 두는 등 랜섬웨어에 감염될 경우를 위한 대비를 시급히 진행해야 한다”고 권고했다.워너크립터 감염시 바탕화면이번 워너크립터 랜섬웨어 공격은 이스트시큐리티의 통합 백신 알약(ALYac)에서만 12일 942건, 13일 1,167건 이상 탐지하였고, 오늘 현재도 지속적으로 공격이 탐지되고 있는 등 국내에도 관련 보안 위협이 급속히 확산되고 있는 것으로 확인되었다.이스트시큐리티 김준섭 부사장은 “지난 이틀간 알약을 통해서 차단된 워너크립터 랜섬웨어 공격은 총 2천여 건 수준이지만, 대부분의 기업과 기관이 휴무하는 주말인 점을 감안하면 매우 심각한 수준으로 볼 수 있다”며, “현재 보안 기업과 기관에서 확산 방지를 위해 적극적인 대응을 하고 있음에도 불구하고 업무가 시작되는 월요일부터 관련 피해가 급격히 증가할 가능성이 있기 때문에, 한국인터넷진흥원(이하 KISA) 보호나라 사이트에 공지된 피해 확산 방지 안내를 숙지하고 피해가 없도록 사전에 대비해야 한다”고 당부했다. KISA가 운영하는 보안 전문 사이트 보호나라 (http://www.boho.or.kr)에서는 이번 랜섬웨어의 감염 피해 예방을 위해 ▲PC 네트워크를 차단 후 파일 공유 기능을 해제하고 ▲백신과 윈도 최신 보안 업데이트 진행과 ▲악성코드 검사를 수행할 것을 권고하고 있다.통합 백신 알약은 긴급 보안 업데이트를 통해 워너크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.WannaCryptor’으로 탐지 후 차단하고 있으며, 행위기반 차단 기능을 통해 유사 변종 랜섬웨어가 유포될 경우도 대비해 준다. 또한 이스트시큐리티는 이번 랜섬웨어의 확산과 피해 방지를 위해 KISA 인텔리전스 네트워크를 통한 24시간 실시간 정보 공유 시스템을 가동하는 등 긴밀한 보안 대응 공조를 진행하고 있다.워너크립터 랜섬웨어와 관련된 상세한 내용은 알약 블로그 포스팅(http://blog.alyac.co.kr/1093)에서 확인할 수 있다.워너크립터 감염으로 암호화된 파일한편 정부는 지난 주말부터 전세계적으로 확산된 랜섬웨어 공격 및 북한의 미사일 발사 등 사이버위협 고조에 적극 대응하기 위해 14일 오후 6시부로 국가 사이버위기 경보 단계를 ‘관심’에서 ‘주의’로 상향 조정했다.또 국내ㆍ외 사이버공격에 대응하기 위해 △주요기반시설ㆍ기업의 보안관제 강화 △랜섬웨어 관련 대국민 행동요령 등 보안수칙 준수 홍보 △악성코드 유포행위 긴급 차단 및 피해 복구 지원 등 신속한 대응태세를 유지하고 있다.
- 시만텍, ‘워너크라이’ 랜섬웨어 대규모 확산 경고
- [이데일리 이유미 기자] 글로벌 사이버 보안 선도기업 시만텍은 데이터 파일을 암호화하고 몸값을 요구하는 ‘워너크라이 랜섬웨어(Ransom.Wannacry)’가 유럽을 중심으로 전세계적으로 광범위하게 확산되고 있다며 보안에 각별한 주의가 필요하다고 14일 밝혔다.시만텍의 조사에 따르면, 워너크라이 랜섬웨어는 데이터 파일을 암호화하고 사용자에게 300달러의 몸값을 비트코인으로 지불하도록 요구하는데, 3일 내에 몸값을 지불하지 않으면 지불금액은 두 배로 늘어나며, 7일 내에 지불하지 않게 되면 암호화된 파일은 삭제된다고 경고하고 있다.또한, 몸값 지불에 대한 정보를 담고 있는 “!Please Read Me!.txt” 라는 파일을 생성한다.워너크라이 랜섬웨어 감염 시 컴퓨터에 표시되는 몸값 요구 화면워너크라이 랜섬웨어는 .3ds, .ai, .asf, .asm, .asp, .avi, .doc, .docx, .gif, .gpg, .hwp, .java, .jpeg, .jpg, .mp3, .mp4, .mpeg, .ost, .pdf, .png, .ppt, .pptx, .psd, .pst, .rar, .raw, .rtf, .swf, .tif, .tiff, .txt, .wav, .wma, .wmv, .zip 등의 확장자명을 가진 파일을 암호화하는데 파일명 끝에 .WCRY라는 확장자를 추가한다.워너크라이 랜섬웨어는 마이크로소프트 윈도를 사용하는 컴퓨터를 겨냥한 SMB 원격 코드 실행 취약점(MS17-010)을 이용해 다른 컴퓨터로 전파되는 것으로 파악됐다.워너크라이 랜섬웨어가 특히 전세계에서 대규모로 확산되고 있는 이유는 마이크로소프트 윈도의 알려진 취약점을 악용해 사용자의 활동과 관계없이 기업 네트워크 내에서 스스로 확산될 수 있는 능력을 가지고 있기 때문인 것으로 조사됐다. 윈도 보안 업데이트가 최신 상태로 적용되어 있지 않은 컴퓨터는 감염 위험이 있기 때문에 업데이트를 다운로드 받는 것이 필요하다.한편, 시만텍 인터넷 보안 위협 보고서(Internet Security Threat Report) 제 22호에 따르면, 2016년에 전세계 랜섬웨어 공격은 전년 대비 36%나 증가한 것으로 나타났으며, 2016년 1년 동안 100개 이상의 신규 랜섬웨어 패밀리(동일한 범주로 구분한 변종 악성코드의 집합)가 발견되었다. 또한, 2016년 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 평균 1077달러(한화 약 122만원)로, 2015년 294달러(한화 약 33만원)에서 약 3.7배 수준으로 증가한 것으로 조사되었다.윤광택 시만텍코리아 CTO는 “워너크라이는 랜섬웨어와 웜이 결합된 형태로, 웜의 경우 패치가 되어있지 않으면 원격으로 자동 감염될 가능성이 크기 때문에 더욱 위험도가 높은 랜섬웨어”라며 “향후 랜섬웨어와 웜이 결함된 형태의 공격이 늘어날 가능성이 많기 때문에 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다. 특히 이메일을 통한 랜섬웨어 공격이 증가하고 있기 때문에 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다”고 당부했다.워너크라이 랜섬웨어의 몸값 지불 요구 파일
- '워너크라이' 랜섬웨어, 국내 피해 발생…월요일 확산 가능성↑
- [이데일리 이유미 기자] 전세계 약 99개국을 강타한 ‘워너크라이’ 랜섬웨어 피해사례가 국내에서도 발견되고 있다. 기업들이 컴퓨터를 사용하는 월요일에는 피해가 더욱 확산될 가능성도 높다. 14일 보안업계에 따르면 국내 제약회사와 병원, 음식점 등에서 워너크라이 관련 피해사례가 보고되고 있어 현재 사이버침해대응 민관합동협의회 등에서 분석을 진행 중이다. 워너크라이의 피해가 지난 12일(현지시간) 영국에서 시작돼 우리나라는 많은 기업들이 업무를 보지 않는 주말과 겹쳐 아직까지 피해가 많이 발견되지는 않았다. 기업들이 업무를 시작하는 월요일부터 피해사례가 급증할 것으로 보인다. 특히 이번 랜섬웨어는 감염된 PC가 네트워크를 통해 또다른 PC를 감염시키는 ‘네트워크 웜(자가 전파 악성코드)’ 형태이기 때문에 악성코드 확산이 빠르다. 네트워크 웜은 PC가 감염된 동시에 네트워크를 통해 접근가능한 임의의 IP를 찾아 랜섬웨어 악성코드를 확산시킨다.최상명 하우리 CERT 실장은 “지금 워너크라이 변종이 계속 나오기 때문에 기업이나 기관이 월요일 컴퓨터 전원을 키는 순간 감염될 수도 있다”면서 “월요일에 출근하자마자 최신 보안 업데이트를 수행하고 감염여부를 검사해야 한다”고 말했다. 랜섬웨어에 감염된 컴퓨터 화면 모습. /AFP전세계적으로 확산된 워너크라이(WannaCry) 랜섬웨어는 윈도 운영체제(OS)의 취약점을 악용해 악성코드를 전파하고 있다. PC 내 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화해 사용하지 못하게 만든다. 공격자들은 피해자에게 300달러 상당의 가상화폐인 비트코인을 요구하고 있는 것으로 알려졌다.이번 사이버공격은 영국 국가보건의료서비스(NHS)와 병원을 시작으로 유럽 통신사 텔레포니카, 미국 물류회사 페덱스, 러시아 최대 통신사 메가폰 등 전세계 주요 기관 및 기업 홈페이지로 퍼져나갔다. 역대 사상 최대 규모다. 프랑스 경찰 당국에 따르면 전세계적으로 최소 7만5000건의 피해가 발생한 것으로 파악된다.영국의 한 사이버보안 연구자가 워너크라이 랜섬웨어 확산을 막을 수 있는 ‘킬 스위치(kill switch)’를 가동시켜 현재 확산이 잠시 주춤한 상황이다.하지만 워너크라이의 변종이 계속 나오고 있어 안심할 수 없고 전문가들은 조언한다. 지금까지 개발된 킬 스위치는 예전 워너크라이 버전이기 때문에 변종의 확산은 막기 어렵다. 이번 사이버공격 피해를 예방하기 위해서는 출처가 불분명한 전자우편 열람은 주의하고 사용 중인 윈도 운영체제는 윈도7 이상으로 버전 업그레이드 및 최신 보안패치를 반드시 적용해야 한다.한국인터넷진흥원(KISA) 보호나라에서는 워너크라이 랜섬웨어 예방방법으로 △PC를 켜기 전에 네트워크를 단절시킨 후 파일 공유 기능 해제 △네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사 △윈도 PC(XP, 7, 8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트 수행이 필요하다고 권고했다.랜섬웨어에 감염되는 등 피해가 발생한 경우 한국인터넷진흥원 보호나라 홈페이지(www.boho.or.kr) 또는 118상담센터(국번없이 118 또는 110)로 즉시 신고해야 한다.
- 암호 해독 비용 요구하는 ‘박리다매’형 랜섬웨어 유포 중
- [이데일리 김현아 기자] 오토디크립트 감염시 보여지는 화면 새로운 종류의 국내 특화 서비스형 랜섬웨어(RaaS, Ransomware as a Service)가 유포되고 있다.서비스형 랜섬웨어(이하 RaaS)는 일종의 맞춤형 대행 서비스로, 악성 프로그램 개발을 하지 못하는 일반인도 클릭 몇 번만으로 손쉽게 랜섬웨어 변종을 제작해 유포할 수 있게 해주는 사이버 범죄 유형이다.새롭게 발견된 RaaS는 유창한 한국어를 사용한 메일 내용으로 사용자의 관심을 끌고 복구 방법 안내 역시 한글로 상세하게 설명하는 등 국내 유포에 특화된 것으로 확인됐다.아울러 기존 한국형 랜섬웨어 공격에는 비너스락커(VenusLocker) 랜섬웨어가 흔히 사용된 반면, 이번 RaaS는 오토디크립트(AutoDecrypt)라는 명칭의 새로운 랜섬웨어로 제작된 특징이 있다.도안 파일로 위장된 압축 파일과 바로가기이스트시큐리티 시큐리티대응센터는 “이번 오토디크립트 RaaS 공격은 한글 이메일을 활용하는 등 기존의 비너스락커 랜섬웨어 공격과 유사한 형태로 유포되었고, 공격에 사용된 바로가기(.lnk) 파일이 기존 비너스락커 코드와 100% 일치한다”며, “각종 정황을 미루어보아, 기존 비너스락커 공격자가 개발 비용과 시간을 절약하고 유포자 추적을 어렵게 하기 위해 RaaS 방식의 오토디크립트를 활용하기 시작한 것으로 판단된다”고 분석했다. 이번 RaaS 공격은 특정 이미지 도안 파일로 위장해 국내 다수의 이용자들에게 전송하는 형태로 유포됐다.설문조사를 위해 첨부된 4가지 비공개 도안을 확인하라는 설명을 함께 덧붙여 호기심을 유발하고 있는 것이다.이때 첨부된 도안 파일은 확장자 숨김이 기본 설정인 윈도 폴더 정책으로 인해 정상적인 이미지 파일(*.jpg)로 보이지만, 실제로는 이중 확장자로 위장된 바로가기(*.lnk) 파일이다.따라서 메일 수신자가 도안 이미지를 확인하기 위해 첨부된 파일을 실행하면 이미지로 위장된 랜섬웨어 파일이 자동으로 실행되고, 한컴 문서(*.hwp), MS오피스 파일 등 PC 내 중요한 자료가 암호화된다.또한 파일 암호화 과정이 모두 끝나면 한글로 된 랜섬웨어 복구 안내 화면과 영문 음성 메시지(TTS, Text-To-Speech)로 랜섬웨어 감염 사실을 알려주며, 암호 해독(복호화)을 위해 비트코인 결제를 하도록 요구한다.알약 행위기반 랜섬웨어 탐지 기능으로 차단된 화면다만, 기존 랜섬웨어 공격자들은 암호 해독 비용으로 1 비트코인을 요구했던 반면, 이번 공격자는 일종의 박리다매를 통해 높은 수익을 창출하기 위한 목적으로 기존의 10% 수준인 0.1비트코인(한화 18만 원 상당)의 비교적 저렴한 비용을 요구하고 있다.이 밖에도 공격자는 추적을 피하기 위해, 일반적인 검색 엔진으로 찾을 수 없어 범죄에 흔히 활용되는 딥웹의 한 종류인 다크웹(DarkWeb) 주소를 통해 복호화 키 구매 사이트로 접속을 유도한다.공격자가 안내한 다크웹 주소는 특정 브라우저(토르 웹 브라우저)를 사용해야지만 접속할 수 있으며, 구매 페이지에 접속한 후에도 매 접속마다 비트코인 지갑 주소를 변경하는 등 치밀한 수법을 사용하고 있다.이스트시큐리티 김준섭 부사장은 “새롭게 발견된 RaaS 역시 유창한 한국어를 사용하는 등 국내 사정을 잘 파악하고 있는 특정 공격자가, 국내 이슈나 사용자 심리를 활용한 국지적 공격을 펼치고 있다”며, “갈수록 지능적으로 발전하고 있는 랜섬웨어 공격을 대비하기 위해서는 메일 첨부 파일 실행에 각별한 주의를 기울이고, 백신 프로그램을 통해 주기적인 검사를 하는 습관을 가져야 한다”고 당부했다.통합 백신 ‘알약(ALyac)’에서는 오토디크립트 랜섬웨어를 탐지명‘Trojan.Ransom.AutoDecrypt’로 진단 후 치료하고 있으며, 랜섬웨어 행위기반 차단으로 변종에 대한 대응도 가능한 상태이다.매 접속마다 변경되는 비트코인 주소
- 갤럭시아컴즈 '머니트리', GS25 편의점 결제서비스 오픈
- [이데일리 이유미 기자] 전자결제·모바일 금융플랫폼 사업자인 갤럭시아커뮤니케이션즈(094480)(이하 갤럭시아컴즈)는 지난달 28일부터 GS25 편의점에서 머니트리 캐시를 이용해 결제가 가능하도록 서비스를 제공한다고 2일 밝혔다.머니트리는 자신이 보유한 여러 포인트 및 모바일상품권을 머니트리 캐시로 전환할 수 있으며, 캐시로 전환 후에는 백화점뿐만 아니라 편의점, 외식, 제화, 게임 등 60여종의 다양한 모바일상품권을 구매 할 수 있는 서비스이다.머니트리 캐시는 계좌이체, 휴대폰, 비트코인, 토스(TOSS) 결제 및 하나머니, OK캐쉬백, 컬쳐캐쉬 등을 이용해 충전할 수 있으며, 보유하고 있는 모바일상품권으로도 간편하게 머니트리 캐시로 전환할 수 있다.전환된 머니트리 캐시는 국내 3만여 전 편의점에서 사용할 수 있는 상품권으로 교환해 편의점에서 상품 구매가 가능하다. 또한 지난 3월 세븐일레븐에 이어 GS25편의점에서도 별도의 상품권 교환 없이 머니트리 캐시로 즉시 결제가 가능하게 됐다. 한편 CU는 머니트리 앱 내 기프트샵에서 모바일 상품권 구매 후 사용이 가능하며 향후 즉시 결제도 추진할 예정이다.고광림 갤럭시아컴즈 신규사업본부장은 “이번 GS25 편의점 결제서비스 제공으로 머니트리의 오프라인 사용처가 확대돼 사용자의 편리성이 크게 증대됐다”며 “향후에도 국내 모든 편의점 등으로 오프라인 사용처를 확대하고, 제휴 포인트 등을 추가해 나가 생활 속의 필수 앱으로 자리매김할 수 있도록 노력할 것이다”라고 말했다.