ICT뉴스

LG전자 '워너크라이' 감염..KISA "랜섬웨어 예방 주의보"

[뉴스1 박희진 기자] 지난 14일 LG전자 서비스센터에서 발생한 전산장애 원인이 '워너크라이' 랜섬웨어 감염때문인 것으로 확인되자 한국인터넷진흥원(KISA)은 랜섬웨어 추가 피해 방지 확산을 위한 사용자 주의를 당부했다.

16일 LG전자는 "지난 14일 일부 서비스센터의 트래픽을 증가시켜 업무지연을 일으킨 악성코드를 KISA와 분석한 결과 랜섬웨어인 것으로 확인했다"고 밝혔다.

이에 KISA는 "최근 윈도우 SMB 취약점을 통해 웜 형태로 네트워크로 전파되는 워너크라이 랜섬웨어 국내 감염 사례가 재발견됐다"며 랜섬웨어 피해확산 방지를 위해 사용자 주의를 당부했다.

워너크라이 랜섬웨어는 지난 5월 전세계를 강타한 악성코드로 통상 이메일 열람이나 특정 URL 클릭 등으로 첨부파일을 열어야 감염되는 것과 달리 인터넷에만 연결돼 있어도 감염되는 방식이라 피해가 컸다. 워너크라이는 마이크로소프트의 윈도 운영체제의 SMB 취약점을 이용해 전파된다. SMB(Server Message Block)는 파일·장치를 공유하기 위해 사용되는 통신 프로토콜을 말한다.

당시 유럽에서 피해가 가장 컸고 한국은 KISA 등 정부 주도로 사전 대응에 효과적으로 나선 덕분에 피해 확산을 막을 수 있었다. 하지만 CGV 영화관내 광고 서버가 랜섬웨어에 감염돼 영상 송출 장치가 중지되는 모습이 일반 관객을 통해 알려지면서 국내에서도 '워너크라이 주의보'에 대한 우려가 팽배했다.

이후 소강상태에 접어든 워너크라이 피해가 LG전자 서비스센터에서 또 발생하자 KISA는 "각 기관, 기업 또는 개인이 워너크라이 등 랜섬웨어 공격으로부터 피해를 입지 않도록 출처가 불분명한 이메일은 열람하지 말아야 한다"며 "현재 운영 중인 운영체제 등 SW 및 백신 등은 최신 업데이트하라"고 밝혔다.

또 중요 자료는 백업하고 SMB 등 사용하지 않는 서비스 차단, 불필요한 공유폴더 연결 설정 해제 등 보안수칙이 잘 지켜지고 있는지 재점검해 줄 것을 당부했다.

KISA 관계자는 "각 기관 및 기업에서는 내부 주요 시스템 이외에도 자사, 고객사, 협력사 등에서 관리하는 시스템에 대해서도 철저한 보안 점검을 통해 랜섬웨어 등 사이버 공격으로 인한 피해가 발생하지 않도록 예방 활동을 강화해야 한다"고 강조했다.

랜섬웨어 감염 등 침해사고 정황이 의심되는 경우, KISA(국번 없이 118번 또는 110번)에 즉시 신고해야한다.

LG전자 서비스센터에서 워너크라이에 감염된 PC는 고객들이 접수해 번호표를 받는 무인 접수 단말기로 별도의 고객 정보 등 데이터가 없어 정보 유출 등 피해는 없었다. 특히 LG전자가 자체 모니터링을 통해 트래픽이 증가하는 이상징후를 발견하고 즉각 서비스센터의 네트워크를 외부와 차단해 피해 확산을 막았다. 랜섬웨어에 감염된 기기에 중요한 개인 정보가 담겨져 있지 않은 만큼, LG전자는 금전 요구에 응하지 않고 시스템을 초기화했다.

하지만 전세계를 떠들썩하게 한 워너크라이로 인해 전국민이 윈도우 업데이트, SMB 차단 등에 나섰는데 LG전자같은 대기업에서 워너크라이 사고가 또 일어나자 랜섬웨어 피해에 대한 우려가 또 다시 커지고 있다. 특히 워너크라이가 창궐하던 지난 5월 당시 워너크라이 활동을 멈추게 한 '킬스위치가' 만들어졌는데도 이 킬스위치가 작동하지 않고 감염이 된 경로에 대해서는 추후 조사가 필요한 상황이다.

KISA 관계자는 "어떤 경로로 감염됐는지는 여전히 파악되지 않고 있다"며 "출발점이 어딘지 추가 조사가 필요하다"고 말했다.