나무모에 미러 (일반/어두운 화면)
최근 수정 시각 : 2024-11-18 04:56:17

워너크라이

WannaCry에서 넘어옴

주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

1. 개요2. 특징
2.1. 전파 경로2.2. 공격 대상
3. 피해 사례
3.1. 주요 국외 사례3.2. 대한민국 사례
4. 대응 방법5. 복호화 툴6. 배후?7. 주도자 발각8. 여담9. 관련 문서

1. 개요

파일:external/www.welivesecurity.com/wana-cry-encrypted.jpg
워너크라이 (Wanna Cry)
Microsoft Windows를 사용하는 컴퓨터를 대상으로 하는 랜섬웨어. Wannacrypt라고도 불린다. 2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 많은 컴퓨터에서 심각한 피해가 발생하였다. 감염되면 컴퓨터 내의 파일들이 암호화되어 버리며, 파일 몸값으로 비트코인 $300[1]를 요구하는 메시지 창이 화면에 뜬다.

이름 뒤의 Cry는 Crypt를 줄인 것이기도 하지만 '울고 싶다'를 뜻하기 위한 것이기도 한 중의적인 표현이다.

2. 특징

파일:WannaWallpaper-DevHackers.png
이런, 귀하의 중요한 파일들이 암호화되었습니다.
이 텍스트가 보이지만 "Wana Decrypt0r"라는 이름의 창을 보지 못하신 경우, 백신 프로그램 혹은 귀하가 복호화 프로그램을 삭제했을 가능성이 있습니다.
워너크라이는 감염되면 사용자의 파일을 암호화한 다음에 바탕화면을 위의 이미지로 바꾼다. 위의 파일은 백신이나 기타의 이유로 아래의 창을 여는 프로그램이 삭제되었을 때 해당 프로그램을 복구하라는 의미로, 변종에 따라서는 프로그램이 열려도 이 파일이 배경화면으로 뜬다.

파일:external/cdn.securelist.com/wannacry_05.png
제 컴퓨터에 무슨 일이 일어난 건가요?
당신의 중요한 파일들이 암호화되었습니다.
암호화로 인해 대부분의 문서, 사진, 동영상, 데이터베이스 등에 더 이상 접근할 수 없게 되었습니다. 파일을 복구할 방법을 찾으셔도 소용 없으니 시간을 낭비하지 마십시오. 저희 복구 서비스를 제외하고 암호화된 파일을 복구하는 방법은 없습니다.

파일을 복구할 수는 있는 건가요?
물론입니다. 저희는 암호화된 모든 파일을 쉽고 안전하게 복구할 것을 장담합니다. 하지만 당신에게 주어진 시간은 많지 않습니다.
'Decrypt' 버튼을 눌러 일부의 파일을 무료로 복호화해 볼 수 있습니다.
하지만 모든 파일을 복호화하고 싶으신 경우, 결제를 하셔야 합니다.
3일 안에 송금하지 않으신 경우, 송금하셔야 할 금액이 2배가 될 것입니다.
또한, 7일 내에 송금하지 않으신 경우엔, 영원히 파일을 복구하지 못하게 될 것입니다.
6개월 동안 대금을 지불하지 못하신 가난한 분들에게는 무료 복호화 이벤트가 있을 예정입니다.

어떻게 결제하면 되나요?
결제는 비트코인으로만 받고 있습니다. 비트코인에 대해서는 'About Bitcoin'를 클릭하시면 자세히 아실 수 있습니다.
현재 비트코인의 시세를 확인하신 후에 비트코인으로 환전해 주십시오. 자세한 사항은 'How to buy bitcoins'를 클릭하여 확인해 주십시오.
비트코인으로 환전하신 뒤에는 이 창에 나타나 있는 비트코인 계좌로 정확한 금액을 송금하여 주십시오.
송금이 완료되었으면 'Check Payment'를 클릭하여 주십시오. GMT+0 시각으로 월요일~금요일 오전 9시~오전 11시[2]에 Check Payment를 클릭하시는 것이 좋습니다.
입금이 확인된 즉시 파일 복호화가 가능합니다.

문의사항
도움이 필요하신 경우 'Contact Us'를 클릭하여 메세지를 보내실 수 있습니다.

송금 후 입금이 확인될 때 까지 백신을 종료하고, 이 복호화 프로그램을 삭제하지 않는 것을 강력히 권장합니다. 백신이 업데이트되어 이 프로그램이 삭제되면, 대금을 송금하시더라도 파일을 더 이상 복구할 수 없게 됩니다.
Wana Decrypt0r 프로그램이 처음 실행시키거나 실행되는 시점에서 300달러(한화 약 34만 원) 상당의 비트코인을 요구했다가 3일이 지나면 두 배인 600달러(한화 약 68만 원)로 늘어나며, 7일이 지나면 아예 파일 복구를 불가능하게 만든다.

비트코인을 지불하면 실제로 파일들을 풀어주는지는 변종에 따라서 다르다. 워너크라이는 2017년 5월 현재 280개의 변종이 발견되었으며, 워너크라이 2.0의 경우도 수백 개의 변종이 존재하기 때문이다. 일부 경우에는 요구하는 금액을 입금했는데도 파일들의 암호화를 풀어주지 않고 반응 없이 돈만 가로채 갔다고 한다.

보안업체의 분석 결과대로라면, 워너크라이는 해커가 수동으로 복호화 키를 전송하는 방식이지만, 어떤 컴퓨터가 돈을 지불했는지 식별하는 부분이 없기 때문에 복구 가능성이 희박하다고 한다.# 즉, 실제로 몸값을 지불해도 자동으로 해독되지 않는다고 한다.

파일:WannaCry.KOR-DevHackers.png
사용자 PC의 시스템 언어에 맞게 메시지를 띄우는 버전도 있다.

한편 우리는 가난해서 6개월 안에 돈을 지불하지 못한 사람들을 위한 무료 이벤트를 열 것입니다. 라는 아이러니한 문구가 있다. 이 내용은 오히려 랜섬웨어를 통해서 사용자의 파일을 실제로 암호화해서 허풍치는 것이 아님을 보여주면서 돈을 뜯어내려는 범인들의 목적하고 대치되기 때문이다. 영어 원문에서는 We will have free events for users who are so poor that they couldn't pay in 6 months. 라고 되어 있다. 물론 6개월을 기다려도 이벤트 같은 건 없다.

워너크라이의 시스템 장악 방식과 파일 암호화 매커니즘
워너크라이는 부팅 시에 자기 자신의 자동 실행을 위해서 레지스트리를 수정하는데 사용자 계정 컨트롤를 회피하여 권한 상승을 통해 관리자 권한을 획득하는 기법을 사용하고 있다. SMB 취약점의 경우에도 원격 조종을 통한 권한 상승이 더 큰 문제를 야기했다. 거기에 UAC를 끄거나 UAC가 없는 Windows XP에서는 속수무책일 수밖에 없다.

참고로 가상머신에서 이 랜섬웨어를 재현하고자 의도적으로 감염시켰다가 결국 컴퓨터 본체로 번지는 사례가 있었다. dannoct1라는 유튜버는 가상머신의 가상 랜카드를 아예 작동불능하게 만들고 나서 시연했다. 그래야 혹여나 퍼지지 않기 때문.

상용 가상머신의 취약점은 정보가 자세히 공개된 것도 많지 않고[3] 지금까지 실제로 악성코드가 사용한 사례는 거의 없다. 그래서 위의 사례가 가상 머신의 취약점으로 VM escape를 한 것은 아니다. 그러나 이번 랜섬웨어의 경우 특이하게도 별도의 익스플로잇 킷 없이 자체적으로 감염을 할 수 있으며, 이 때 Windows의 SMB 프로토콜 처리상의 취약점을 이용하기 때문에 경우에 따라 네트워크를 통해 Guest 에서 Host 로 감염이 될 수 있다. 물론 Host의 Windows도 업데이트가 안 되어 이 취약점이 통할 경우에 해당된다. 따라서 무턱대고 VM에서 실행하지는 않는 것이 좋다.

2.1. 전파 경로

전파에 있어서 이 랜섬웨어의 가장 큰 특징은 웜(악성코드) 바이러스와 유사하게 자기 자신을 복제해 네트워크에 흘려보내는 것이 가능하며, 어찌되었든 브라우저를 열어 해킹된 광고 서버나 해킹된 사이트 자체에 접속을 시도해야 감염이 될 수 있었던 드라이브 바이 다운로드(drive-by download) 방식이나 이메일 첨부를 통한 고전적인 방식만을 사용하던 기존 랜섬웨어들과 달리 윈도우 OS의 취약점을 이용하기 때문에 인터넷에 연결되어 있기만 해도 감염이 될 가능성이 있었다.

정확히는 드라이브 바이 다운로드 방식과 이메일 전파 방식이 같이 사용하지만, MS 윈도우즈의 네트워크 파일 공유 프로토콜인 SMB의 보안 취약점을 이용해서도 전파될 수 있었다. 워너크라이 랜섬웨어의 SMB 취약점의 확인 및 진입 방법 MS는 이 취약점을 보완한 패치를 2017년 3월 중순부터 제공[4]했지만 업데이트를 하지 않거나 업무용 프로그램의 호환성 등을 이유로 백신, 방화벽 윈도우 업데이트를 꺼 놓은 업무용 PC와 보안 패치가 끊긴 Windows XP가 설치된 PC들이 주로 피해를 봤다.

한편 시만텍과 트랜드마이크로에 의하면 SMB 취약점만을 이용하는 것이 아니라 앞서 언급된 기본적인 전파 경로인 드라이브 바이 다운로드 방식과 이메일 유포 방식 역시 병행해서 사용한다고 한다. 실제로도 워너크라이의 초기 확산은 SMB 취약점보다 스팸 메일 전파에 크게 의존했다. 따라서 업데이트나 방화벽 세팅을 통해 SMB 취약점을 틀어막았다고 해서 워너크라이에 감염되지 않을 것이라고 확신할 수는 없다. 그러니까 이상한 이메일의 첨부파일을 함부로 받지 말자.

한국 통신사 3사의 경우에는 SMB에 사용되는 포트들을 원천봉쇄하고 있기 때문에 외부망을 통한 SMB 공격은 불가능하고 공유기나 허브 안의 내부망에서 한 대라도 감염된 PC가 나올 경우에는 SMB 공격을 철저하게 방어해야 한다.

파일:external/1.bp.blogspot.com/wannacry-2-ransomware-attack.png

영국의 한 보안관계자[5]가 워너크라이 전파를 무력화해서 감염자의 수는 줄어들고 있었으나 확산을 잠시 멈춘 것으로, 다음 날에 워너크라이 2.0 버전이 등장했고 킬 스위치가 없는 첫 변종이다.[6] 5월 14일 이후로는 2.0 버전이 기승을 부리고 있다.

2.2. 공격 대상

위에서도 언급했듯이 워너크라이는 Microsoft Windows에 대한 SMB 원격 임의코드 실행 취약점(MS17-010), 드라이브 바이 다운로드(Drive-by Downloads), 이메일 유포를 통해서 전파되고 있다. 이 중에서 SMB 공격을 받을 수 있는 OS는 다음과 같다.
Microsoft는 이례적으로 지원 중지된 Windows XP, Windows Server 2003, Windows 8에 대한 보안 패치를 내 놓았다. 이외 OS에서는 이미 해당 보안 업데이트를 2017년 3월에 배포했다. Windows 10/Windows Server 2016 Version 1703 이상 버전에서는 해당 취약점에 대한 OS 내부적인 수정이 이미 이루어졌다.

3. 피해 사례

파일:external/www.dogdrip.net/54f85ffdb871a252d9c69757da9e0ca8.png
국가별 피해 건수 TOP 20
1. 러시아 2. 우크라이나 3. 인도 4. 대만 5. 타지키스탄
6. 카자흐스탄 7. 룩셈부르크 8. 중국 9. 루마니아 10. 베트남
11. 이탈리아 12. 라트비아 13. 브라질 14. 홍콩 15. 이란
16. 스페인 17. 우즈베키스탄 18. 아제르바이잔 19. 이집트 20. 탄자니아
위 그래프는 2017년 5월에 카스퍼스키가 공개한 워너크라이 최다 공격 20개국을 나타낸다. 워너크라이는 전세계 150여개국 20만대 이상의 컴퓨터#에서 감염이 확인되었다.

3.1. 주요 국외 사례

3.2. 대한민국 사례

파일:external/image.fmkorea.com/d0ebe42ab3ff16dcea162ea921fc2afa.jpg
5월 14일 한국에서 4,000건이 넘는 워너크라이 계열 랜섬웨어가 탐지되었다. KISA의 발표에 의하면 5월 15일 기준 실제로 랜섬웨어에 감염된 사례는 위에 나오는 CGV#[9]을 포함 정식으로 피해 신고를 한 것은 국내 기업 9곳이며, 감염 의심 건수는 13건이라고 한다. ## 또한 아산시버스 정류장 단말기 1대에도 감염이 된 것으로 확인되었다.

국내 신문 기사에는 병원이나 관공서만 공격하는 것처럼 기사가 나와 있는 경우가 많은데, 그렇지 않다. 병원이나 관공서에서 MS 지원이 중단된 XP 등의 구 버전을 아직 쓰는 경우가 많기 때문에, 그리고 업무 프로그램 호환 문제로 업데이트를 잘 안 하기 때문에 피해가 많다. 마이크로소프트에서 지원하고 있는 OS로 업데이트를 하고 지원을 하고 있는 OS의 경우 보안 업데이트를 귀찮더라도 꼭 해야 한다. 결국 컴퓨터에 대한 지식이 없어서 부주의하기 때문에 걸리는 경우가 태반이기 때문이다.

4. 대응 방법

다음 업데이트 중에서 딱 하나만 설치하더라도 MS17-010 취약점을 이용한 SMB 공격에서만큼은 안전하다.

업데이트가 꼬이는 것이 싫다면 월별 품질 롤업 업데이트 하나만 설치하면 된다. Windows Update에서 위의 업데이트들이 뜨지 않고 수동으로 적용할 경우에 업데이트를 컴퓨터에 적용할 수 없습니다라고 나온다면 이미 업데이트가 적용된 상태다.

워너크라이의 전파 경로가 SMB에 대한 취약점에 한정되지 않고 이메일과 드라이브 바이 다운로드 공격까지 활용하기 때문에 보안 업데이트를 했다고 해서 워너크라이에 안 걸린다는 보장은 할 수 없다. 최대한 조심해야 한다.

KISA에서 대국민 행동지침을 발표하였다. SMB 취약점을 이용하고 있으므로 해당 프로토콜이 사용하는 TCP 및 UDP 135번 ~ 139번, 445번 포트를 윈도우 방화벽에서 막아버리는 임시조치이다. 유튜버 유재일SMB 기능을 아예 꺼버리는 방법을 소개했는데 어쨌거나 취약점을 봉쇄한다는 점에서는 원리는 동일. 두 방법 다 일단 확산을 방지하는 효과는 있으리라 생각되나 근본적인 해결책은 아니므로 반드시 업데이트도 병행하기 바란다. 5월 당시엔 Kablesoft라는 팀에서 워너크라이(워너크립터) 랜섬웨어를 방지하는 프로그램을 순수 코딩하여 배포했었지만, 9월 달에 사라졌다.

그러나 위의 방법을 포함하여 인터넷에서 볼 수 있는 대처법은 거의 윈도우 8~10의 비교적 최신버전 기준으로만 설명되어 있어서 이보다 이전 체제의 사람들이 방법을 찾기엔 다소 애로사항이 있다. 예를 들면 위의 방법은 방화벽으로 포트 봉쇄의 경우 Windows Vista 이상에서만, SMB 1.0/CIFS 사용 안함의 경우는 Windows 8 이상에서만 가능한 방법이라 Windows XP 사용자의 경우에는 상당히 애매한 상황이다. Windows XP/Windows Server 2003의 경우 KISA의 보안공지에도 RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경이라고만 되어있어 컴퓨터에 능숙하지 못한 사용자의 경우 대단히 애매한데, 여기링크 삭제됨에서처럼

하면 당장에 SMB 프로토콜 사용은 중단이 가능하다.[11] 제어판Windows 방화벽에서 파일 및 프린터 공유 항목에 체크가 꺼졌는지도 확인한다.

Windows XP Professional 기준이지만, TCP 포트 139, 445를 차단하며, 원격 액세스를 막는 설정법도 존재한다.

현재 이 Wanncry 계열 랜섬웨어는 대부분의 백신에서 진단된다고 알려져 있으며, 차단이 확인된 백신으로는 비트디펜더, 어베스트, 앱체크, V3, 알약, 카스퍼스키, 노턴 시큐리티, 바이로봇, 닥터웹, 소포스, 에프시큐어, 존알람, 트렌드마이크로, 라바소프트, 엠시소프트,불가드 등이 있다.
예방 조치툴도 있다(알약 블로그).

워너크라이 그 자체도 악질이지만 워너크라이로 인한 피해가 커진 이유는 보안 업데이트를 게을리하고 방화벽을 꺼놓을 정도로 보안에 무지한 사람들이 원인인 것이다. 특히 이번 공격은 보안 업데이트가 공개되지 않은 상태의 최신 취약점을 노린 제로 데이 공격도 아니고 이미 2017년 3월에 배포된 업데이트로 해결된 취약점을 이용하여 치명적인 피해를 입혔다. 워너크라이는 이러한 보안 불감증철저히 이용하였다. 애시당초 윈도우 업데이트를 정기적으로 충실히 하고 방화벽의 설정을 잘 해놓은 경우에는 감염 될 가능성이 현저히 낮아질 수밖에 없었다. 수상한 이메일에 있는 첨부파일을 열어보거나 악성코드가 감염된 웹사이트나 광고 배너에 노출되지만 않는다면…

이나 리눅스는 공격에서 안전한 것으로 알려져 있다. 물론 Wine 같은 윈도우 호환 레이어를 사용하는 가정하에는 그냥 속절없이 털린다. 참고 그러나 Wine에서 작동하는 이유는 랜섬웨어의 구조가 단순해서 작동되는 것이다.[12] 모든 윈도우 프로그램이 돌아가기 위해선 수동으로 Wine을 통해 실행해야 하므로 수상한 파일을 열지 않으면 그만이다.

5. 복호화 툴

랜섬웨어 유포 시작 후 얼마 지나지 않아 워너키(Wannakey)라는 복호화 툴이 등장했다.

워너크라이 랜섬웨어는 윈도우에서 제공하는 암호화 툴을 이용해 암호화를 하는데 윈도우에는 이 암호화 툴에 취약점이 있다. 암호화 키를 메모리에 남겨두는 것인데, 이를 이용해 파일을 복구하기 때문에 컴퓨터를 껐다가 켜면 복호화가 불가능하다.[13] 하지만 이 복호화 툴은 윈도우 XP에서만 작동한다는 단점이 있었다.

그래서 프랑스 연구원인 방자맹 델피(Benjamin Delpy)가 윈도우 7까지 지원하는 새로운 복호화 툴을 내놓았다. 워너키위(WanaKiwi)라는 툴이며 깃허브 페이지에서 다운로드 받을 수 있다.관련 기사

윈도우 10에선 아직까지 마땅한 해결책이 없다.[14]

6. 배후?

워너크라이 유포의 배후에 MS-13 갱단이 개입해 있다는 소문이 프로그래머들 사이에 퍼져 있어서 신원이 노출되어 있는 유명 화이트 해커들이 몸을 사리게 만들고 있다고 한다. 상술된 영국 보안회사의 프로그래머도 보복이 두려워서 큰 공적을 세웠음에도 불구하고 한동안 신원노출을 꺼렸다.

이번 사태를 추적하는 몇몇 보안업체들은 소니 픽처스 해킹사태와 유사점이 있다고 지적하면서 정황상 북한이 배후에 있을 가능성을 제기하거나 가능성이 높다고 발표했다. # 하지만 워너 크라이는 중국에 엄청난 피해[15]를 안겨준 상황이라 북한이 진짜 배후일 경우 중요한 동맹국에 가장 큰 피해를 입혀버렸다는 아이러니한 결론이 나오게 된다. 이번 사태에서 중국은 러시아에 이어 두번째로 가장 많은 피해를 입은 국가이기 때문이다. 결정적으로 한국어 메세지가 너무 엉성하다. 아무리 남북한이 그동안 크게 달라졌다지만, 이건 높임말/반말이 뒤죽박죽 섞인, 기본조차도 제대로 지켜지지 않은 번역기 돌린 티가 팍팍 나는 문장이다. 다만 이 때문에 북한이 범인이 아니라고 할 수는 없다. 최초 전파라면 몰라도 그 이후에 바이러스가 퍼져나가는 경로는 제작자가 조절할 수 없는 것이기 때문. 그렇다고 아예 "특정 국가의 컴퓨터임이 감지되면 감염시키지 않음"같은 코드를 넣어버리면 그건 오히려 분석가들에게 실마리를 더 던져주는 꼴이 될 것이다.(...)

이에 대해 북한은 뭐 안 좋은 일이 일어나면 무조건 우리가 배후냐며 부정했으나, NSA워너크라이 공격의 배후로 북한 정찰총국을 최종 지목하였다. 그리고 영국 정부와 미국 정부는 2017년 12월에 한번 더 배후로 북한을 지목했다. 좀 더 정확히 말하자면 북한의 해킹집단인 라자루스 그룹으로 지목되었다.[16] 그리고 2018년 9월 8일에 라자루스 그룹의 일원인 박진혁을 적색수배령으로 기소했다.##

스팸테크라고 하는 해커 집단이 이번 일을 한 게 우리 멤버 중 하나라고 주장했다. # 그런데 이 집단에 Shadow Brokers가 참가하고 있거나, Shadow Brokers의 일원이었던 이가 이 집단에 참가하고 있다는 의혹이 있다. 이런 상황에서 Shadow Brokers가 6월에 Windows 10을 겨냥한 새로운 해킹툴과 북한의 미사일 정보도 공개한다고 예고하는 바람에 사람들에게 혼란을 줬다. 참고로 Shadow Brokers는 러시아의 해커로 추정된다. 만약 이 추정과, 스팸테크와 Shadow Brokers가 관련되어 있다는 의혹까지 사실로 드러나면 그야말로 자국민에 의해 당한 꼴.

한편, 미국의 보안회사 플래시포인트는 언어 분석 결과를 통해 워너크라이의 중국어 텍스트에 사용된 중국어에 중국 남부 지방의 방언이 섞였음을 근거로 워너크라이가 중국 남부 지방이나 홍콩, 대만, 싱가포르 출신 해커들이 만든 것일 가능성이 있다고 추론했다.## 워너크라이의 중국어 텍스트에서 도움을 뜻하는 중국어 단어가 표준중국어 단어인 帮助가 아닌 남부 지방의 방언인 '방쭈(幇組)' 로 쓰였다거나, 주(week)를 뜻하는 단어로 표준중국어인 '싱치(星期)'가 아닌 중국 남부 지방의 방언이자, 기독교에서 유래된 표현인 '리바이(禮拜)' 가 사용되었다는 사실 등을 들었다. 단, 리바이는 중국 내 다른 지방 사람들이나 비기독교인들도 구어체로 많이 쓴다.

위의 있는 가설들을 모두 묶어서 사실은 북한이 주도하고 러시아 진영에서는 스팸테크와 Shadow Brokers가, 중남미 진영에서는 MS-13이, 그리고 중화권 진영에서는 중국 남부 해커 집단이 담당하여 세계 여러나라에 있는 해커 집단을 사주하여 벌인게 아니냐는 가설도 나오고 있다.

7. 주도자 발각

그러던 중, 2019년 북한의 해킹그룹 ‘라자루스’가 워너크라이를 주도한 혐의로 미 재무부에 의해 특별 제재 대상(SDN)으로 지정되었다. #

이들은 사이버 첩보와 정보 탈취, 현금 강탈, 파괴적인 멀웨어 활동 등을 통해 다른 나라 정부와 군, 금융, 언론 기관 등을 공격해왔으며, 워너크라이 공격은 이 중 하나에 불과했다고 밝혀졌다.

미국은 이들이 이미 미국과 유엔의 제재를 받고 있는 북한 정찰총국에 의해 통제되는 북한 정부의 공식 해킹팀이었다고 밝히고 이에 따라 특별 제재를 가했다고 밝혔다. 미국 정부는 현재까지 박진혁, 전창혁, 김일 등 3명의 북한 정찰총국 소속 해커를 기소했다.

8. 여담

9. 관련 문서


[1] 한국 원화로 33만 5천원.[2] KST(GMT+9) 기준 오후 6시~오후 8시[3] Pwn2Own이나 PwnFest 등의 컨테스트에서나 등장한다. 물론 여기선 규칙상 취약점 정보를 공개하지도 않는다.(일정 기간 후에 당사자가 공개할 수는 있다)[4] NSA가 2017년 1월에 이 취약점을 MS에 알려줬다. 그런데 이 사정이 좀...이 취약점을 이용해 NSA는 공격형 소스인 이터널블루를 개발했다. 그런데 2016년에 Shadow Brokers가 NSA를 해킹했고, 해킹당한 정보 중에 이터널블루가 있다는 걸 안 NSA가 MS에게 이 취약점을 알려준 것이다.출처[5] 이 관계자는 이 행동으로 영웅이 되는가 싶었으나, 미국에서 멀웨어 판매 혐의 등으로 고소 및 재판을 받고 있다. 워너크라이와는 별개로, 화이트햇으로 전향하기 이전에 해킹툴 제작에 가담한 전적이 있기 때문. 워너크라이 전파를 막은 공로와 이를 통해 보여준 도덕성이 참작되어 1년간의 보호관찰 처분을 받고 풀려났다. #[6] 다행히 2.0은 SMB 취약점을 사용하지 않으므로 전파력에 크게 한계가 있다.[7] 대부분 잉글랜드의 병원들이 피해를 입었고 스코틀랜드의 병원들은 소수가 피해를 입었다. 5월 중순 기준으로 웨일스북아일랜드의 병원들은 피해를 입지 않았다.[8] 게다가 논문 등을 준비해야 하는 졸업시즌이 가까운지라 그 피해가 더 심했다.[9] 그 외에도 랜섬웨어 여파로 광고를 틀지 못하고 있다.[10] 해당 업데이트는 4월 및 5월 품질 롤업 업데이트에도 통합되어 있다. 그리고 6월에 나올 다음 품질 롤업 업데이트에도 포함될 것이다.[11] 여담이지만 이 포스팅은 2004년에 쓰여진 것이다. 말하자면 SMB 1.0 프로토콜에 취약성이 있다는 사실 자체는 10년도 더 전에 알려져있었다는 이야기. 사실 IT나 전산보안 쪽에 근무하던 사람들에게 SMB 프로토콜과 윈도우 파일공유 기능에 보안 상 취약하다는 것은 거의 2000년대 초부터 거의 상식으로 통했던 것으로 보인다. 보안의식이 높은 외국계 기업에서는 이미 당시부터 파일공유가 대부분 차단되어 있었다. 국내는 대기업에서도 업무편의를 이유로 2018년 현재도 달만 사용하고 있으니 문제지만…[12] 다양한 API를 떡칠 할 필요 없이 암호화랑 결제만 작동하면 그만이니.[13] 현재 유포되고 있는 복호화 툴은 100% 이 원리를 사용하여 복호화한다.[14] 진짜 간절하다면 윈도우의 강력한 호환성을 믿는 수 밖에 없다.(대표적으로 윈도우 10에서 돌리던 것을 윈도우 11에서도 돌릴 수 있고 반대도 마찬가지. 윈도우 XP에서 돌리던 것을 윈도우 11에서도 돌릴 수 있으니 말 다했다.) 건투를 빈다...[15] 중국 중요시설이나 공공기관에서 쓰는 OS가 보안 업데이트가 안된 XP가 태반이었다고 한다. 게다가 기본 인구가 많은 만큼 인터넷 사용자들도 많으니 피해도 커질 수 밖에 없다.[16] 참고로 이 집단은 예전에는 히든 코브라로 불렸다.[17] .cell과 .show는 암호화되지 않는다. 당연히 .xlsx, .pptx 저장 옵션을 켜면 털린다.[18] 비트코인이 투명성이 있다고 하지만 거의 전세계적 피해를 입혔는데도 아직도 이 해커들의 신원마저도 못 잡고 있다.[19] DCPDigital Cinema Platform의 약자로 멀티플렉스의 서버에서 영사기에 해당 영화를 재생할 때에 사용되는 영상 파일이다. 확장자는 MXF(Material Exchange Format)이고 비디오 코덱은 JPEG2000, 오디오 코덱은 PCM이다.[20] 랜섬웨어 문서의 각주 중 '명칭주의'을 참조.[21] 심지어 알약에서는 Trojan.Android.Ransom.Wannacry 로 진단한다.[22] 업데이트를 자주 하라는 것은 평소에도 지켜야 할 상식이고, SMB 프로토콜 관련 예방법은 이번 워너크라이에만 해당되는 대처법일 뿐이다. 랜섬웨어라고 해서 다 같은 랜섬웨어가 아니므로 각각의 랜섬웨어에 대한 대처는 모두 같을 수가 없다. 이번 사태가 예외적으로 심각하기 때문에 더 강조되었을 뿐이다. 예를 들자면 손을 잘 씻고 다니라는 것은 평소에도 지켜야 할 상식이지만, 전염성이 큰 코로나19 등이 유행하는 경우에는 특히 손씻기를 더 강조하고 다른 사람의 눈을 가급적 만지지 말라는 대처법을 알리는 것과 다를 바가 없다.