랜섬웨어 ‘워너크라이’ 배후는 해커단체 ‘섀도 브로커스’?

정부가 사이버 위기 경보 단계를 14일 오후 6시부로 ‘관심’에서 ‘주의’로 상향 조정한 것은 자칫하면 국내에도 대규모 피해가 발생할 수 있다고 판단했기 때문이다.

일단‘워너크라이(WannaCry)’ 랜섬웨어에 컴퓨터가 감염되면 해커에게 돈을 지불하지 않는 한 데이터를 완벽하게 복구하기가 불가능하다. 따라서 피해를 줄이려면 미리 경각심을 갖고 예방하는 게 최선이라는 지적이다.

랜섬웨어는 악성코드의 일종으로 사용자 컴퓨터에 있는 각종 파일에 암호를 걸어 못 쓰게 만든 뒤 이를 풀어주는 조건으로 돈을 요구한다. 워너크라이의 경우 한글, 워드 등의 문서 파일, 압축 파일, 데이터베이스 파일 등을 암호화했다. 보안업체 시만텍에 따르면 워너크라이는 사용자에게 300달러를 가상화폐인 비트코인으로 지불할 것을 요구한다. 3일 내에 몸값을 내지 않으면 배로 올리고, 7일이 지나면 파일을 모두 삭제한다고 경고한다.

해커가 돈을 노린다는 점에서 랜섬웨어는 개인보다 기업이나 관공서를 겨냥하는 경향이 있다. 때문에 주말 이후 첫 출근일인 15일이 확산의 분수령이 될 것으로 보인다.

이미 국내에도 워너크라이 감염 의심 사례가 발견됐다. 한국인터넷진흥원(KISA)과 미래창조과학부 등에 따르면 국내 기업 7곳이 워너크라이 관련 문의를 했으며, 이 중 4곳은 정식 피해 신고를 하고 기술 지원을 받기로 했다. 보안업계에 따르면 랜섬웨어에 감염된 국내 IP(인터넷 주소)는 4000여개에 달한다.

워너크라이는 컴퓨터 사용자의 활동과 상관없이 인터넷에 연결돼 있으면 스스로 확산될 수 있다. 과거 악성코드는 이메일 첨부파일을 여는 등 사용자가 특정 활동을 해야 활성화했지만 워너크라이는 자동으로 감염되기 때문에 확산 속도가 빨랐다. 주말에만 전 세계에서 최소 7만5000건의 피해가 발생한 것으로 전해졌다. 영국 내 40여개 병원과 닛산 선덜랜드 공장, 인도네시아 국립암센터 등 대형 병원도 피해를 본 것으로 전해졌다. 워너크라이는 마이크로소프트(MS) 윈도 운영체제(OS)의 SMB(파일·장치를 공유하기 위해 사용되는 통신 프로토콜) 취약점을 이용해 전파되는 것으로 파악됐다.

보안에 대한 미온적인 태도도 워너크라이 확산의 원인으로 꼽힌다. MS는 이미 3월 14일 관련 보안패치를 배포했다. 하지만 윈도XP는 지원이 종료된 터라 보안패치를 제공하지 않았다. 영국에서 주요 타깃이 된 국민보건서비스(NHS) 산하 병원 상당수가 OS 업그레이드를 하지 않고 윈도XP를 사용한 것으로 파악됐다. MS는 12일에 윈도XP 보안패치를 내놨다.

KISA와 미래부는 보안패치가 안된 컴퓨터가 있을 경우 먼저 컴퓨터 부팅 전 인터넷을 차단하고(랜선 연결 제거), SMB 포트를 차단한 후(프로토콜 비활성화), 인터넷에 연결해 윈도 보안패치 및 백신 업데이트를 하라고 권고했다.

글=김준엽 기자 snoopy@kmib.co.kr, 그래픽=안지나 기자