★랜섬웨어 및 진료실 컴퓨터(PC)관련 지켜야할 보안 사항

▶대한의사협회 정보통신 관련 긴급공지:
최근 랜섬웨어 공격으로 진료실 프로그램이 소실되는 문제가 발생하고 있으며 이에 향후 일주일간 반드시 지켜야할 사항을 안내합니다.
1) 병의원컴퓨터로 개인메일 열람금지
2) 보낸 사람이 확실하지 않으면 메일수신 하지말기
3) 함부로 프로그램 업데이트 금지
4) 외장하드에 진료기록과 사진을 반드시 백업해 놓을 것
5) 직원전산교육 후 주의당부요망
 
▶안랩에서 제안하는 보안수칙:
최근 국내에서는 PC에 저장된 파일들을 열 수 없도록 하는 랜섬웨어 악성코드가 유입되고 있는 상황인 바, 일선 의료기관에서도 랜섬웨어로 인해 피해를 입는 사례가 속출되고 있습니다.
랜섬웨어란 ‘파일을 인질로 잡아 몸값을 요구하는 소프트웨어’란 의미로, 랜섬웨어에 감염되면 사용자 컴퓨터에 저장된 문서, 그림 파일 등에 암호가 걸려 해당 자료들을 열지 못하게 됩니다.
랜섬웨어로부터 입는 가장 큰 피해는 백신으로 랜섬웨어 악성코드를 제거해도 암호화된 파일을 복원하기 위해서 암호 해독키가 필요한데 대부분 공격자의 서버에 저장되어 있기 때문에 암호화된 파일은 복구하기가 상당히 어려우며, 피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없습니다.
이에 다음 보안 수칙을 통해 피해를 입으시는 일이 없도록 주의를 기울여 주시기 바랍니다.

- 다 음 -
1. 진료용 컴퓨터는 진료의 목적으로만 사용
2. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지
3. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용
4. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 및 링크 실행 자제
5. 보안이 취약한 웹사이트 방문 자제
6. 업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업
7. 중요 파일을 PC외에 외부 저장 장치를 이용한 2차 백업
8. 중요 문서에 대해서 ‘읽기 전용’ 설정
9. 직원 대상 전산교육 및 주의 당부

▷상세 보안 수칙 바로가기
출처 : 안랩(www.ahnlab.com)
※ 진료기록과 전산자료의 보호와 보안은 선택이 아닌 필수입니다.

▶관련 기사: 월요일 컴퓨터 켜기 전 인터넷 끊어라
http://v.media.daum.net/v/20170514130603372?f=m

▷KISA, 랜섬웨어 '워나크라이' 피해 예방법 권고
▷"인터넷 분리한 상태로 윈도의 파일 공유 기능 해제하고
▷MS의 윈도 보안패치 프로그램 설치해야 공격 피할 수 있어"
▷감염 피해 의심되면 즉시 국번없이 118·110번으로 신고해야

‘주말에 쉬고 월요일(15일) 출근한 경우, 컴퓨터를 켜기 전에 인터넷을 끊어라. 인터넷과 분리된 상태로 컴퓨터를 켜 윈도 운영체제의 파일 공유 기능을 해제한 다음 다시 인터넷을 연결하고 마이크로소프트(MS) 업데이트 누리집에 접속해 보안패치를 받아 설치하라.’
전세계 100여개 나라의 병원과 기업 등의 컴퓨터가 동시다발적으로 랜섬웨어 ‘워나크라이(WannaCry)’ 공격을 받아 일부는 먹통이 되는 피해까지 발생한 가운데, 국내에서도 피해 사례가 잇따라 신고되고 있다. 한국인터넷진흥원(KISA)은 14일 “6곳이 문의해왔고, 3곳은 감염된 것으로 확인돼 기술지원을 하고 있다. 이번 공격이 우리나라 시간으로 주말에 발생한 것이라 월요일에 피해가 확산될 가능성이 크다”고 밝혔다. 미국의 세계적인 보안업체인 시만텍도 “워나크라이 공격의 확산 가능성”을 경고했다.
인터넷진흥원은 이번 랜섬웨어 공격을 피하기 위해서는 ‘에스엠비(SMB) 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’(한국인터넷진흥원 보호나라 누리집(www.boho.or.kr)에 올려져 있음)에 따라 월요일 출근해 컴퓨터를 사용할 때는 켜기 전에 인터넷부터 끊을 것을 권했다. 한국엠에스는 “인터넷 선을 분리한 상태로 컴퓨터를 켜 제어판, 프로그램, 윈도 기능 설정 또는 해제를 차례로 선택한 뒤 ‘SMB1.0/CIFS 파일 공유 지원’ 체크를 해제하고 컴퓨터를 재부팅하면 된다”고 설명했다.
이후 다시 인터넷 선을 연결한 뒤 엠에스 업데이트 카탈로그 누리집(www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에 접속해 보안패치를 내려받아 설치하면 이번 공격을 피할 수 있다. 엠에스는 윈도 파일 공유 기능의 보안 취약점을 악용한 랜섬웨어 공격이 전세계에서 동시다발적으로 발생하자, ‘윈도XP’ 등 보안 지원을 중단했던 옛 윈도에 대해서도 보안패치 프로그램을 배포했다.
하지만 이 방법은 워나크라이만 막을 수 있을 뿐이다. 인터넷진흥원은 “해커가 워나크라이 변종을 만들어 추가 공격에 나설 수 있으니 가능하면 윈도를 최신 버전으로 바꾸고, 랜섬웨어에 감염된 것으로 의심되면 바로 신고(국번없이 118이나 110번)하거나 문의해줄 것”을 당부했다.
랜섬웨어란 컴퓨터에 저장된 자료 파일을 암호화해 사용할 수 없게 만든 뒤 요구를 들어주면 암호화한 것을 풀어주겠다고 하는 신종 공격 방식이다. 주로 기업 등으로부터 돈을 뜯어내려는 목적으로 활용되고 있다. 이번에도 컴퓨터에 저장된 데이터 파일을 암호화한 뒤 300달러를 비트코인으로 보내라고 요구했다. 3일 내에 지불하지 않으면 금액을 두배로 올리고, 7일이 지나도록 보내지 않으면 암호화된 파일은 삭제된다고 으름장을 놓고 있다. 기존 램섬웨어 공격은 대부분 이메일 첨부파일에 악성코드를 숨겨 배포하는 방식이었던데 비해, 워나크라이는 윈도 파일 공유 기능의 보안 취약점을 악용해 네트워크를 통해 유포되도록 했다. 인터넷에 연결만 돼 있기만 해도 감염된다.
컴퓨터 보안 업계에선 지난해 미국 국가안보국(NSA)이 개발한 해킹 프로그램을 훔쳤다고 주장하던 ‘섀도 브로커스’(Shadow Brokers)란 해커 단체가 이번 공격을 주도한 것 같다는 분석도 나온다. 영국 서리대학의 앨런 우드워드 교수는 “워나크라이에는 미국 정보기관에서 유출된 해킹도구가 사용됐다”고 말했다. 미국 국가안보국의 전방위 도청·사찰 의혹을 폭로했던 에드워드 스노든은 이번 랜섬웨어 공격 사태와 관련해 트위터에 올린 글에서 “미국 국가안보국이 윈도의 보안 취약점 발견 즉시 공개했더라면 이번 사태는 발생하지 않았을 것”이라고 지적했다.
컴퓨터 보안업체인 어베스트 등에 따르면, 이번 랜섬웨어 공격은 100여개 나라에서 동시다발적으로 발생해 역대 최대 규모로 꼽히고 있다. 신고된 피해사례만도 7만5천건이 넘고, 일부 나라에서는 정부기관·병원·기업 등의 컴퓨터가 감염돼 업무에 차질이 빚어지기도 했다.
나라별로는 러시아·영국·우크라이나·대만 등의 피해가 컸다. 러시아에선 내무부 컴퓨터 1천여대가 감염됐고, 언론사와 수사기관들도 공격을 당했다. 한 이통사는 이번 공격으로 콜센터 등의 가동이 일시 중단되기도 했다. 영국에선 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여개 병원이 환자 기록 파일을 열지 못해 진료에 차질이 빚어졌다.