안전불감증이 키운 이번 사태 예방에 총력
 
업계 관계자 “해커에게 돈 지불하면 안 돼”
 
[일요서울 | 오유진 기자] 전 세계 150여 개국, 23만 대 이상의 PC를 감염시킨 ‘워너크라이’ 랜섬웨어 확산의 공포가 해외뿐만 아니라 국내에서도 이어지고 있다. 현재 각종 예방법과 확산 방지를 위한 움직임이 활발히 이뤄지고 있다. 개인컴퓨터 사용자들부터 국내기업, 정부부처들까지 랜섬웨어 방지를 위해 총력을 기울이고 있는 것. 그러나 변종 랜섬웨어 등장이 예고되고 있어 피해는 더욱 커질 전망이다. 특히 ‘워너크라이’ 랜섬웨어의 시발점 등이 주목 받고 있다. 이번 사태의 배경에 북한이 있다는 음모론까지 제기되고 있지만 그 실체 확인은 어려운 실정이다. 일요서울은 보안전문가 등을 통해 국내기업들의 피해 발생 원인과 랜섬웨어를 둘러싼 소문 등을 추적했다.
 
전 세계 150여 개국 대상으로 최소 23만 대의 컴퓨터를 감염시킨 신종 랜섬웨어 ‘워너크라이(WannaCry)’는 윈도우 SMB(Sever Message Block·파일 및 장치를 공유하기 위해 사용하는 통신 프로토콜)의 취약점을 이용해 전파됐다. 익명을 요구한 보안업계관계자는 “워너크라이 랜섬웨어가 전파된 것은 윈도우 2017년 3월 패치 버전에서 취약점이 발생해 나온 것”이라고 설명했다.

‘워너크라이’ 랜섬웨어는 파일을 내려받지 않더라도 네트워크에 연결돼 있으면 원격으로 감염시킨다. 감염된 컴퓨터 내 파일이 암호화되며 비트코인을 지급하면 풀어주겠다는 메시지가 20개의 언어로 화면상에 뜨는 것이 특징이다.
 
이번 ‘워너크라이’ 랜섬웨어를 감염시킨 해커 집단은 복구의 대가로 300달러에서 600달러에 해당되는 금액인 ‘비트코인’을 요구한다. 비트코인은 형태가 없는 가상화폐로 나카모토 사토시(가명)라는 컴퓨터 프로그래머가 개발했다. 비트코인의 경우 인터넷이 되는 컴퓨터를 통해 조건 없이 비트코인 계좌를 개설할 수 있다. 수신인 추적이 어려워 익명성이 보장되는 등의 특징을 가지고 있다.
 
업계관계자는 “해커에게 돈을 지불해도 또 다른 파일에 랜섬웨어에 걸리거나 풀어주지 않는 경우도 있다. 금액 지불을 통한 복구는 위험하다”라며 주의를 당부했다.
 
워너크라이 랜섬웨어 이전의 랜섬웨어는 PC 사용자가 파일다운로드, 이메일 열람, 동영상 감상 등의 경로로 감염돼 해당 PC 안 파일을 암호화하는 방식이었다. 그러나 이번 ‘워너크라이’는 감염된 PC가 네트워크를 통해 다른 PC를 감염시키는 ‘네트워크 웜(자가 전파 악성코드)’의 형태로 인터넷만 연결되면 여러 대의 PC에 악성코드를 전파시켜 시스템을 마비시키는 형식이다.
 
이에 공장시스템, 공공기관, 기업 내 시스템 심지어 병원시스템 등을 셧다운(Shutdown·컴퓨터 시스템의 작동이 중지)시키며 컴퓨터 자체 피해에 국한되지 않고 2차, 3차 피해로 확산시키고 있다.
 
뚫린 기업들
 
한국인터넷진흥원은 지난 13일부터 18일 오후 5시까지 국내 기업 18곳이 피해 신고를 했다고 밝혔다. 피해 신고 기업은 집계 일자 기준 지난 14일 4곳, 15일 5곳, 16일 3곳, 17일 2곳에 이어 18일 4곳이 추가됐다.
 
감염 의심 신고는 피해 신고 기업을 포함해 지금까지 20건이 접수된 가운데 신고하지 않은 기업과 개인, 보안업체 등을 통한 접수 사례까지 합하면 실제 랜섬웨어 피해규모는 더 클 것으로 추정되고 있다.
 
개인 사용자보다 보안에 더 신경 쓰는 국내기업들이 ‘워너크라이’ 랜섬웨어에 자유롭지 않는 이유는 뭘까. 업계 관계자는 ‘돈’을 이유로 꼽았다. 이 관계자는 “기업의 경우 윈도우 XP를 구입한 후 그 다음 버전 구입을 꺼려한다. 그 이유는 비용이 많이 들어서”라며 “새로운 버전 윈도우 소프트웨어가 나오게 되면 전세대의 소프트웨어 보안 업데이트가 중지된다. 최신 버전을 구입해야 하는 이유”라고 설명했다.
 
이어 그는 “이번 CGV가 랜섬웨어에 노출된 경위 역시 윈도우 7 소프트웨어 사용을 했기 때문에 발생한 것으로 추정된다”고 덧붙였다.
 
현재 ‘워너크리아’ 랜섬웨어는 윈도우 10의 보안벽을 뚫을 수 없다. 윈도우 10은 강제 업데이트 방식으로 사용자가 일부러 막아놓지 않은 이상 최신 보안 버전을 유지하고 있기 때문이다. 랜섬웨어 관련 보안 업데이트도 이미 지난 3월에 진행됐다. 이에 일각에서는 마이크로소프트사가 일부러 랜섬웨어를 만든 것 아니냐는 루머가 나올 정도다. 다만 마이크로소프트사는 랜섬웨어 피해가 확산되자 윈도우 XP 이상의 오래된 미지원 운영 체제에 대한 업데이트를 제공하는 이례적 조치를 취했다.
 
현재 공기업들 대부분 대체서버가 있기 때문에 공격을 받더라도 대비책이 마련돼 있었다. 대체 서버란 DR서버로 불리며 재해 발생 시에 서비스 발생 리소스를 가동해 안정적 복귀를 해주는 서버다.
 
북한소행설
 
러시아 사이버보안업체인 카스퍼스키 랩과 몇몇 사이버 전문가들은 워너크라이의 배후에 북한이 있을 거라는 추측을 내놓고 있다. 이들의 주장에 따르면 ▲2014년 소니픽쳐스 해킹 ▲2016년 방글라데시 중앙은행 해킹사건 등을 일으킨 세력으로 지목된 ‘라자루스’ 해커 집단이 퍼트린 악성코드와 동일한 코드를 사용한 것으로 보인다고 지적했다.
 
라자루스와 북한의 연계성의 근거는 방글라데시 중앙은행 해킹 범행에에 활용한 유럽 서버가 지난해 1월 북한 국영 인터넷 주소를 사용한 컴퓨터와 자료를 주고받은 증거물이 포착됐다고 발표된 바 있기 때문이다.
 
업계 관계자는 “라자루스 해커 집단이 북한인들로 구성돼있는 집단인지 북한이 단순 의뢰를 한 집단인지는 알 수 없다. 하지만 카스퍼스키가 밝힌 것으로만 보면 북한의 소행이 맞다고 보인다”며 “사건의 코드와 이번 랜섬웨어 코드가 일치한다. 공격 방법, 전자적 흔적 등이 코드와도 일치한다”고 주장했다.
 
향후 랜섬웨어는 더욱 위험한 악성코드로 진화할 가능성을 내포하고 있다. 이번 ‘워너크라이’ 랜섬웨어의 경우 마이크로소프트사의 운영체제 취약점을 노린 악성코드로 스마트폰 감염은 피해갈 수 있었다. 그러나 이와 유사한 방식으로 안드로이드 OS 취약점, 즉 스마트폰을 노린 변종 랜섬웨어가 등장할 가능성을 배제할 수 없다.
 
또 청정구역으로 꼽히는 윈도우 10 보안프로그램을 공략한 변종 랜섬웨어 공격이 예고되고 있어 피해 확산 예방에 총력을 기울여야 할 때다. 현재 ‘워너크라이’ 예방법은 SMB 차단 후 OS 업데이트를 하는 방법이 있으며 무료 백신을 이용해 예방하는 방법 등이 있다.