파일공유에 사용되는 SMB 프로토콜의 구형버전인 1.0의 취약점을 이용한 (현재 많이 쓰이는 SMB 2.0과 3.0은 제외입니다.) WannaCrypt 랜섬웨어로 인한 피해가 전세계적으로 확대되고 있습니다. 국내에서도 어제(5/14)발견되어, 많은 피해를 주고 있고 월요일인 오늘(5/15)부터 피해는 더 많아질 것 같습니다.
그런데 트위터와 페이스북을 보면, 랜섬웨어에 대한 공포심에 이런저런 해결책(?)들이 나돌고 있습니다만, 사실이 아닌 것들도 있고 과장된 것도 돌고 있기에, 오늘 포스팅을 통해 사실관계를 잡아보고자 합니다.
[사실] Windows 10 / Windows 7 SP1 / Windows 8.1 / Windows Server 2016,2012 R2,2012,2008 R2는 Windows Update를 자주 해두었으면 안전하다!
이 부분은 사실입니다. 현재 기술지원 및 보안업데이트가 제공되는 OS는 Windows Update를 통해 지난 3월 이후 출시 된 누적업데이트를 해 둔 경우라면, 이 문제에 대해 안전합니다.
다만 서비스팩이 설치되지 않은 Windows 7은 업데이트 대상이 아니기 때문에, 서피스팩 1로 업데이트 한 후 Windows Update 를 통해 5월 보안 누적업데이트인 KB4019263 (정보 / 다운로드)를 반드시 적용해야 합니다.
또한 이번 업데이트 대상이긴 하지만, 지난 5월 9일자로 보안업데이트가 끝난 Windows 10 Ver.1507 (TH1)의 경우, 앞으로의 보안문제에 대한 위협을 줄이기 위해 최신버전의 Windows 10으로 업데이트 하셔야 합니다. (참고포스팅)
**5.16 16:38 추가 - Windows 8 과 같은 코어이지만, Windows Server 2012 와 Windows 임베디드 스텐다드 8의 경우 현재 보안 업데이트가 아직도 제공되고 있었습니다. 수동으로 업데이트 하실 분들은 여기를 통해 다운로드 하실 수 있습니다.
[사실] 기술지원 및 보안업데이트가 종료 된 Windows XP , Windows Vista , Windows 8, Windows Server 2003(R2포함)는 보안Fix를 받아 해결한다.
이번 WannaCrypt 가 빠르게 확산 된 이유 중 하나가, 기술지원 및 보안업데이트가 종료 된 OS를 아직도 사용하고 있기 때문이며, 앞으로도 지속적인 보안위협이 될 것은 사실입니다.
가장 좋은 방법은 기술지원 및 보안업데이트가 종료 된 OS의 사용을 중단하는 것이며, 임시방편으로 WannaCrypt 확산차단을 위 보안 Fix인 KB4012598 (다운로드) 를 적용하는 것 입니다.
적용후에는 반드시 PC 혹은 Server를 재부팅해야 합니다.
[사실이지만 확인할 것이 있음] SMB 1.0 사용을 중단하고, 관련포트를 차단한다.
파일공유를 위해 사용되는 SMB 프로토콜의 초기버전인 1.0은 굉장히 오래 된 프로토콜이고 이전부터 보안위협은 존재했습니다. SMB 1.0 프로토콜을 사용하지 않도록 Windows 의 구성요소를 변경하는 것은 이번문제 대처에 대한 대비가 맞습니다.
이 작업을 수행하기 위해서는 키보드의 Windows Key + R 을 눌러
"실행" 창을 열어준 후 -> appwiz.cpl 입력 후 확인 -> Windows 기능 켜기/끄기 를 통해 "SMB 1.0/CIFS 파일 공유지원" 를 켜고 끌 수 있습니다. 이 작업은 재부팅이 반드시 필요한 작업입니다.
다만 회사 혹은 조직 내 파일공유서버나 NAS의 SMB 프로토콜을 1.0만 지원하는 구형장비인 경우, 공유폴더에 접근할 수 없는 문제가 존재하긴 합니다. 이러한 문제가 있는 경우 Fix 를 적용 후 그대로 사용해도 좋으나, 보안위협이 존재하는 만큼 SMB 3.0을 지원하는 최신장비로 교체하는 것이 좋습니다.
또한 SMB관련 포트를 차단하는 것을 권고하는 분들이 있습니다. 이 부분도 해결책은 될 수 있습니다. 하지만 파일 공유서버로 사용되는 서버나 PC에서 SMB관련 포트를 차단한다면, 파일공유에 문제가 발생합니다.
또한 보안Fix 가 적용 된 PC와 서버라면 굳이 관련포트를 차단 할 필요는 없습니다. 이 부분은 좀 과장된 면이 있습니다.
하지만 굳이 이를 수행 하실 분 이라면 일단 키보드의 Windows Key + R 을 누른 후 Firewall.cpl 를 입력 후 확인을 눌러 Windows 방화벽을 호출 한 뒤, 새 인바운드 규칙에서 139, 445 번 포트를 "연결 차단" 하는 방법이 있습니다. (추가 - 137-139, 445 이렇게 차단하셔도 되긴 합니다.)
[거짓] 시스템에서 관리하는 공유폴더의 공유를 해제하면 된다.
어제 하루종일 트위터에 RT가 돌았던 내용으로, 이는 거짓 입니다. 시스템에서 관리되는 공유폴더는 해제를 해도 되살아나며, 조금만 Windows 시스템에 대한 이해가 있는 분들이라면 실소를 금치 못할 트윗입니다.
설사 공유폴더를 전부 해제한다고 해도, SMB 1.0 프로토콜에 대한 보안위협이 존재한다면 랜섬웨어에 감염될 수 있기 때문에, 이는 올바른 해결책이 아닙니다. 그래서 어제 트위터에서 이렇게 말했습니다. "그 시간에 Windows Update 를 하시는 것이 좋습니다." 라고 말이죠.
근본적인 해결 및 앞으로의 보안위협을 방지하기 위해서는 기술지원이 종료 된 구형 OS및 장비에 대한 빠른 교체, 그리고 Windows Update 를 끄지 않는 것!
근본적으로 이러한 보안위협을 줄이기 위해서는 기술지원이 종료 된 OS를 사용하지 않는 것 입니다. 보안업데이트가 중지되었기 때문에, 앞으로도 많은 보안위협에 노출될 것이고 현재도 노출되고 있습니다.
회사 네트워크 안에서만 쓰면 좋겠지라는 안일한 생각은 이번 WannaCrypt 랜섬웨어에 감염되어 다른 시스템에 영향을 주는 결과를 초래하게 되어 있습니다.
아직도 Windows XP , Windows Vista , Windows 8, Windows Server 2003(R2포함)를 사용하고 있다면, 사용을 중단하고 2~3개월 이내에 장비를 교체하거나 OS를 교체하는 것을 강력하게 권유합니다.
그리고 Windows Update에 대한 이야기는 빼놓지 않고 하게 되는데요. "자동 업데이트"를 끄지 않을 것을 권장합니다. 기업이라면 WSUS 혹은 Microsoft Intune 등으로 업데이트를 관리하거나, 서버의 경우 업데이트를 테스트 한 뒤 실 운영서버에 적용하는 업무프로세스를 가지고 있으실테니 논외가 될 수 있습니다.
하지만 개인사용자의 경우 업데이트를 수동으로 적용 할 필요가 없습니다. 또한 이러한 보안위협에 노출되지 않기 위해서는 자동업데이트 활성화와 주기적인 업데이트 확인이 필요합니다. Windows Update 는 특별한 일이 없으면 한국시간으로 매달 2번째 4번째 주 수요일(혹은 목요일)에 올라옵니다.
그리고 Windows 10의 경우 작년에 올린 "랜섬웨어에 강한 Windows 10 그 이유는?"(링크) 에서도 언급했지만, 자동업데이트가 기본이며, 이를 해제하실 수 없습니다.
하지만 인터넷 힙스터를 꿈꾸시는 몇몇 분들은 이 자동업데이트를 억지로 끄는 법을 설파하고 다니시는 것을 블로그, 네이버포스트, 트위터, 페이스북 등을 통해 자주 목격하게 됩니다. 이러한 포스팅을 따라해서 Windows Update 를 끄는 일이 없어야 합니다. 보안위협은 물론이고 Windows 10의 새로운 기능들을 활용할 수 없기에, 이를 끄는 것은 굉장히 위험한 일 입니다.
Windows 10 의 Windows Update 를 끄는 법을 올려, 다른사람의 보안위협을 자초하는 일, 이제 그만두기를 부탁합니다.
오늘 이야기는 여기까지 입니다.
