★랜섬웨어 및 진료실 컴퓨터(PC)관련 지켜야할 보안 사항
짧은주소
본문
★랜섬웨어 및 진료실 컴퓨터(PC)관련 지켜야할 보안 사항
▶대한의사협회 정보통신 관련 긴급공지:
최근 랜섬웨어 공격으로 진료실 프로그램이 소실되는 문제가 발생하고 있으며 이에 향후 일주일간 반드시 지켜야할 사항을 안내합니다.
1) 병의원컴퓨터로 개인메일 열람금지
2) 보낸 사람이 확실하지 않으면 메일수신 하지말기
3) 함부로 프로그램 업데이트 금지
4) 외장하드에 진료기록과 사진을 반드시 백업해 놓을 것
5) 직원전산교육 후 주의당부요망
▶안랩에서 제안하는 보안수칙:
최근 국내에서는 PC에 저장된 파일들을 열 수 없도록 하는 랜섬웨어 악성코드가 유입되고 있는 상황인 바, 일선 의료기관에서도 랜섬웨어로 인해 피해를 입는 사례가 속출되고 있습니다.
랜섬웨어란 ‘파일을 인질로 잡아 몸값을 요구하는 소프트웨어’란 의미로, 랜섬웨어에 감염되면 사용자 컴퓨터에 저장된 문서, 그림 파일 등에 암호가 걸려 해당 자료들을 열지 못하게 됩니다.
랜섬웨어로부터 입는 가장 큰 피해는 백신으로 랜섬웨어 악성코드를 제거해도 암호화된 파일을 복원하기 위해서 암호 해독키가 필요한데 대부분 공격자의 서버에 저장되어 있기 때문에 암호화된 파일은 복구하기가 상당히 어려우며, 피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없습니다.
이에 다음 보안 수칙을 통해 피해를 입으시는 일이 없도록 주의를 기울여 주시기 바랍니다.
- 다 음 -
1. 진료용 컴퓨터는 진료의 목적으로만 사용
2. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지
3. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용
4. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 및 링크 실행 자제
5. 보안이 취약한 웹사이트 방문 자제
6. 업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업
7. 중요 파일을 PC외에 외부 저장 장치를 이용한 2차 백업
8. 중요 문서에 대해서 ‘읽기 전용’ 설정
9. 직원 대상 전산교육 및 주의 당부
▷상세 보안 수칙 바로가기
출처 : 안랩(www.ahnlab.com)
※ 진료기록과 전산자료의 보호와 보안은 선택이 아닌 필수입니다.
▶관련 기사: 월요일 컴퓨터 켜기 전 인터넷 끊어라
http://v.media.daum.net/v/20170514130603372?f=m
▷KISA, 랜섬웨어 '워나크라이' 피해 예방법 권고
▷"인터넷 분리한 상태로 윈도의 파일 공유 기능 해제하고
▷MS의 윈도 보안패치 프로그램 설치해야 공격 피할 수 있어"
▷감염 피해 의심되면 즉시 국번없이 118·110번으로 신고해야
‘주말에 쉬고 월요일(15일) 출근한 경우, 컴퓨터를 켜기 전에 인터넷을 끊어라. 인터넷과 분리된 상태로 컴퓨터를 켜 윈도 운영체제의 파일 공유 기능을 해제한 다음 다시 인터넷을 연결하고 마이크로소프트(MS) 업데이트 누리집에 접속해 보안패치를 받아 설치하라.’
전세계 100여개 나라의 병원과 기업 등의 컴퓨터가 동시다발적으로 랜섬웨어 ‘워나크라이(WannaCry)’ 공격을 받아 일부는 먹통이 되는 피해까지 발생한 가운데, 국내에서도 피해 사례가 잇따라 신고되고 있다. 한국인터넷진흥원(KISA)은 14일 “6곳이 문의해왔고, 3곳은 감염된 것으로 확인돼 기술지원을 하고 있다. 이번 공격이 우리나라 시간으로 주말에 발생한 것이라 월요일에 피해가 확산될 가능성이 크다”고 밝혔다. 미국의 세계적인 보안업체인 시만텍도 “워나크라이 공격의 확산 가능성”을 경고했다.
인터넷진흥원은 이번 랜섬웨어 공격을 피하기 위해서는 ‘에스엠비(SMB) 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’(한국인터넷진흥원 보호나라 누리집(www.boho.or.kr)에 올려져 있음)에 따라 월요일 출근해 컴퓨터를 사용할 때는 켜기 전에 인터넷부터 끊을 것을 권했다. 한국엠에스는 “인터넷 선을 분리한 상태로 컴퓨터를 켜 제어판, 프로그램, 윈도 기능 설정 또는 해제를 차례로 선택한 뒤 ‘SMB1.0/CIFS 파일 공유 지원’ 체크를 해제하고 컴퓨터를 재부팅하면 된다”고 설명했다.
이후 다시 인터넷 선을 연결한 뒤 엠에스 업데이트 카탈로그 누리집(www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에 접속해 보안패치를 내려받아 설치하면 이번 공격을 피할 수 있다. 엠에스는 윈도 파일 공유 기능의 보안 취약점을 악용한 랜섬웨어 공격이 전세계에서 동시다발적으로 발생하자, ‘윈도XP’ 등 보안 지원을 중단했던 옛 윈도에 대해서도 보안패치 프로그램을 배포했다.
하지만 이 방법은 워나크라이만 막을 수 있을 뿐이다. 인터넷진흥원은 “해커가 워나크라이 변종을 만들어 추가 공격에 나설 수 있으니 가능하면 윈도를 최신 버전으로 바꾸고, 랜섬웨어에 감염된 것으로 의심되면 바로 신고(국번없이 118이나 110번)하거나 문의해줄 것”을 당부했다.
랜섬웨어란 컴퓨터에 저장된 자료 파일을 암호화해 사용할 수 없게 만든 뒤 요구를 들어주면 암호화한 것을 풀어주겠다고 하는 신종 공격 방식이다. 주로 기업 등으로부터 돈을 뜯어내려는 목적으로 활용되고 있다. 이번에도 컴퓨터에 저장된 데이터 파일을 암호화한 뒤 300달러를 비트코인으로 보내라고 요구했다. 3일 내에 지불하지 않으면 금액을 두배로 올리고, 7일이 지나도록 보내지 않으면 암호화된 파일은 삭제된다고 으름장을 놓고 있다. 기존 램섬웨어 공격은 대부분 이메일 첨부파일에 악성코드를 숨겨 배포하는 방식이었던데 비해, 워나크라이는 윈도 파일 공유 기능의 보안 취약점을 악용해 네트워크를 통해 유포되도록 했다. 인터넷에 연결만 돼 있기만 해도 감염된다.
컴퓨터 보안 업계에선 지난해 미국 국가안보국(NSA)이 개발한 해킹 프로그램을 훔쳤다고 주장하던 ‘섀도 브로커스’(Shadow Brokers)란 해커 단체가 이번 공격을 주도한 것 같다는 분석도 나온다. 영국 서리대학의 앨런 우드워드 교수는 “워나크라이에는 미국 정보기관에서 유출된 해킹도구가 사용됐다”고 말했다. 미국 국가안보국의 전방위 도청·사찰 의혹을 폭로했던 에드워드 스노든은 이번 랜섬웨어 공격 사태와 관련해 트위터에 올린 글에서 “미국 국가안보국이 윈도의 보안 취약점 발견 즉시 공개했더라면 이번 사태는 발생하지 않았을 것”이라고 지적했다.
컴퓨터 보안업체인 어베스트 등에 따르면, 이번 랜섬웨어 공격은 100여개 나라에서 동시다발적으로 발생해 역대 최대 규모로 꼽히고 있다. 신고된 피해사례만도 7만5천건이 넘고, 일부 나라에서는 정부기관·병원·기업 등의 컴퓨터가 감염돼 업무에 차질이 빚어지기도 했다.
나라별로는 러시아·영국·우크라이나·대만 등의 피해가 컸다. 러시아에선 내무부 컴퓨터 1천여대가 감염됐고, 언론사와 수사기관들도 공격을 당했다. 한 이통사는 이번 공격으로 콜센터 등의 가동이 일시 중단되기도 했다. 영국에선 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여개 병원이 환자 기록 파일을 열지 못해 진료에 차질이 빚어졌다.
댓글목록
대피연님의 댓글
금일 컴퓨터 사용하실때 반드시 켬퓨터켜기전에 먼저 랜선 뽑고서 컴퓨터 켜신후 Windows 10에서는 위와 같이 smb 차단하시고
Windows 7 사용중이신 분들은 아래 첨부한 글 참조하셔서 SMB 차단신후 컴퓨터 한번 리부팅 시키셔서 정상적으로 잘 켜지는지 확인하시고, 다시 끄신후 인터넷선 연결하셔서 윈도우 보안패치 업데이트하신후 사용하시면 될 것 같습니다.
물론 제일 좋은 것은 인터넷선 뽑고서 중요 데이터만 제일 먼저 따로 백업하신후 백업작업 완료한 하드나 포터블 디스크는 아예 컴퓨터랑 연결해제하시고 난 후 위의 방법처럼 smb 차단 작업을 하시는 것이 좋습니다. 그런데 데이터 백업작업은 평소에 하지 않으셨다면 귀찮고 시간이 많이 걸려서...ㅠㅠ
http://m.news.naver.com/hotissue/read.nhn?sid1=105&cid=1064087&iid=2281317&oid=421&aid=0002731167
금일 아침 네이버에 잘 정리되어 있네요..
최신 보안 업데이트 글도 올라와 있어서 첨부합니다.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
대피연님의 댓글
‘워너크라이(WannaCry)랜섬웨어 악성코드’대응방안
□ ‘워너크라이(WannaCry)랜섬웨어’란?
○ Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드 유포
- 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴
※ 이메일 첨부파일 또는 오염된 웹페이지 접속을 통해 유포되는 대다수 랜섬웨어와 달리 인터넷 네트워크 접속만 해도 감염
○ 랜섬웨어 악성코드(WannaCry) 특징
- 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
- 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원
- PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산시키는 특징을 보이므로 감염과 동시에 공격에 악용됨
○ 영향을 받는 시스템
- Windows 7, Windows RT 8.1, Windows 8.1, Windows 10, Windows server 2008 R2 SP1 SP2, Windows Server 2012 R2, Windows Server 2016
□ 랜섬웨어 악성코드 감염 해결 방안
○ MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전 업그레이드 및 최신 보안패치 적용
- 자동 업데이트 미적용 시 Windows Update 카탈로그에서 사용 중인 운영체제 버전에 맞는 업데이트 파일 수동 설치
※ 다운로드 주소: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
○ Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 (☞ 자세히 보기)
- 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
- 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
- (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP 접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경
- (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
□ 랜섬웨어 피해 확산 방지를 위한 사용자 예방 방법(5.15일 출근 시)
① PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제
○ 파일 공유 기능 해제 방법
- Windows 최신 보안 패치가 불가능한 사용자 조치 방안 참조
② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
③ 윈도우 PC(XP, 7, 8, 10 등) 또는 서버(2003, 2008, 2016 등)에 대한 최신 보안 업데이트 수행
- 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용 권고
□ 랜섬웨어 감염 시 대응요령
① PC의 랜선을 제거(피해 확산 방지를 위해 네트워크 격리)
② 기관 보안담당자 및 보건복지사이버안전센터에 신속하게 신고
※ 보건복지사이버안전센터 연락처: 02-3146-8340∼3, hcert@hcsc.go.kr
③ 피해 조사를 위하여 PC의 전원을 끄거나 재부팅, 포맷 등 환경설정을 변경하지 않도록 주의하고 대기(피해 조사를 위한 원본상태 유지)
Windows 최신 보안 패치가 불가능한 사용자 조치 방안
보호나라(www.boho.or.kr) 참고
① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
- (Windows Vista 또는 Windows Server 2008 이상) 모든 운영 체제 :
시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->
① set-ItemProperty–Path “HKLM:\SYSTEM\CurrentControlset
\Services\Lanmanserver\Parameters”SMB1–Type DWORD
–Value 0 –Force
② set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset
\Services\Lanmanserver\Parameters” SMB2 –Type DWORD
–Value 0 –Force
- (Windows 8.1 또는 Windows Server 2012 R2 이상) 클라이언트 운영 체제 :
제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작
- (Windows 8.1 또는 Windows Server 2012 R2 이상) 서버 운영 체제 :
서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작
③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경
④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
[참고]
[1] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703
[2] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704
[3] http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598