퍼왔습니다. 다들 랜섬웨어 조심하세요..~~!

그나저냐 병원 컴들 걱정이네요.. 다들 보안상태가 엉망이던데.. ~~!
 

-------------------------------------------------

워나크라이(WannaCry) 라는 랜섬웨어가 많이 언급되고 있는데요.

이번 랜섬웨어가 이목을 끈 이유는 공격 형태의 진화...가 아닐까 싶습니다.

기존 대부분 랜섬웨어는 사용자가 직접 악성코드가 포함된 웹페이지에 접근하거나, 첨부파일을 열어야 했는데요.

이번 SMB 취약점 공격은 내부 네트워크를 통해서도 감염되기 때문입니다.

즉, 회사내에 PC가 100대이고 서로 '파일/프린트 공유'가 가능한 상태라면, 

PC 1대만 감염되면 나머지 99대의 139/445 포트 등을 접근하여 감염시킵니다.

즉, 내부 네트워크에서 진행되므로 PC/서버 앞 단의 방화벽 장비는 무용지물입니다.

얼마나 심각한 상황인지는 아래 해바라기님이 올려주신 것처럼 

MS 에서 지원 종료 선언한 XP/2003 에 대해서도 보안 업데이트를 제공했다는 점만 봐도 알 수 있습니다.

이미 발견된 랜섬웨어는 파급력이 줄어들겠지만...

'SMB 취약점 + 랜섬웨어'가 가성비가 좋다는 사실이 전세계적으로 알려진 상태라... 앞으로 변종이 수백, 수천개는 나올겁니다.

백신만 믿고 있다가는 새로운 변종으로 PC 1대만 감염되어도, 회사 전체가 감염될 수 있는 위협이 존재합니다.

따라서 사전에 감염 경로를 미리 차단해두는 것이 중요할텐데요.

# SMB 취약점 업데이트

- Windows 7/10/2008 등은 이미 지난 3월에 업데이트 배포됨

- windows XP/2003 등 업데이트가 중단된 장비는 해바라기님이 알려주신 아래 주소에도 다운로드 가능합니다.

 - http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

# 사내 모든 장비의 업데이트가 불가능한 경우

- 파일/프린터를 공유하는 PC/서버만 장비 자체의 Windows 방화벽에서 139/445 포트 오픈하고, SMB 취약점 업데이트 진행

- 나머지 장비들은 Windows 방화벽에서 '파일 및 프린터 공유' 허용을 해제하여, 포트 차단

 - SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)

> 즉 회사 메인 방화벽(인터넷 물린 장비)과 별도로 PC/서버간에 자체 방화벽을 통해 감염 경로를 사전 차단하는 것입니다.

# 참고

- 보호나라 공지 - http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

* 이상입니다. 보안 정책 업데이트가 필요해서 급하게 정리해봤는데요.  추가/수정할 부분 알려주시면 감사하겠습니다.