침해사고/위협동향

전세계 랜섬웨어 충격, 변종까지 확산…한국 ‘월요일 주의보’

최민지

[디지털데일리 최민지기자] 전세계 각국이 사상 최대 규모의 랜섬웨어 공격에 몸을 가누지 못하고 있다. 공장 가동이 중단되고 병원에서 컴퓨터 시스템이 마비돼 환자 진료 기록을 볼 수 없게 됐다. 일부 ATM 기기도 사용할 수 없고, 운송서비스도 피해를 입었다. 한국도 예외 없는 상황이다.

역사상 전례 없는 최악의 랜섬웨어 공격에 각국은 비상사태다. 미국 국가안보국(NSA)이 개발한 해킹 프로그램이 유출돼 이번 공격에 사용된 것이 주요 원인으로 꼽힌다. 현재까지 집계된 피해만 100여개국, 7만5000건 이상에 달한다. 영국을 비롯해 러시아, 우크라이나, 대만 등이 집중 공격을 당했고 미국, 한국, 일본 등에서도 피해를 겪고 있다.

이번에 사용된 랜섬웨어는 ‘워너크라이(WannaCry)’ 변종으로, 첨부파일을 열지 않아도 인터넷에 연결돼 있으면 감염되는 방식이다. 현재 이 랜섬웨어의 확산을 중단하는 킬스위치를 발견해 활성화한 상태지만, 또다시 킬스위치를 제거한 변종이 발견돼 다시 감염이 확산되는 추세다.

이번 주말 전세계를 강타한 사이버테러에 한국은 월요일을 주시하고 있다. 워너크라이 공격은 지난 12일(현지시간) 영국에서 시작됐는데, 한국에서는 이 때 주말과 겹쳐 아직까지 피해 수준이 높지 않다. 다만, 기업이 업무에 돌입하는 월요일이 분수령이 될 전망이다.

◆100개국, 최소 7만5000건 피해…계속 늘어날 것=지난 13일(현지시간) 프랑스 사이버범죄 당국은 전세계적으로 최소 7만5000건의 피해가 발생했다고 집계 결과를 공개하며 잠정적 수치일뿐 앞으로 피해규모는 계속 늘어날 것이라고 밝혔다.

랜섬웨어는 파일을 암호화시킨 후 인질로 삼아 금전을 요구하는 악성프로그램이다. 워너크라이로 불리는 이번 랜섬웨어는 파일 복구 조건으로 300~600달러 상당의 비트코인을 요구한 것으로 알려졌다.

주요 외신에 따르면 전세계의 피해사례가 속속 접수되고 있다. 최대 피해국으로 꼽히는 영국에서는 런던, 리버풀, 더비 등에서 병원의 컴퓨터 시스템이 마비됐다. 영국 국민보건서비스 산하 병원 45곳도 환자 진료기록이 열리지 않았다. 최대 자동차 생산공장인 닛산 선덜랜드 공장은 가동을 멈췄다.

러시아에서는 내무부 컴퓨터 1000여대가 감염됐으며 이동통신업체 메가폰의 컴퓨터들도 공격으로 작동을 멈춰 대부분의 사무실은 업무를 중단해야 했다. 중국 내 일부 중학교와 대학교도 공격을 받았다.

독일에서는 역사에 설치된 디지털 단말기가 오작동을 보였고, 미국 운송업체 페덱스도 일부 컴퓨터에 악성 소프트웨 감염이 확인됐다. 프랑스 자동차 회사 르노는 랜섬웨어 공격으로 일부 공장 가동을 중단했으며, 일부 라인에서만 작업을 진행했다.

워너크라이 랜섬웨어에 걸린 ATM 기기도 나타났다. 국내의 경우, 망분리를 원칙으로 하기 때문에 랜섬웨어 발생 확률이 낮다. 그러나 지난 3월 북한발 ATM 기기 공격이 발생했던 만큼 주의를 늦출 수 없는 상황이다.

국내에서도 실제 피해사례가 나타나고 있다. 서울의 한 대학병원에서는 감염 징후가 나타났다. 한국인터넷진흥원(KISA)은 국내 기업 5곳이 랜섬웨어 관련 문의를 했고, 2곳은 정식으로 피해 신고를 했다고 밝혔다. 실제로 감염된 곳은 이보다 더 많을 것으로 추정된다.

최상명 하우리 CERT 실장은 “한국 기업들이 월요일에 컴퓨터를 켜는 순간 감염될 수 있다”며 “개별적으로 해결하거나 민간복구업체에 문의한 곳들이 있는 만큼 한국에서 발생한 피해 사례는 더 많으며, 백화점, 제약회사, 중소기업, 음식점, 병원 등이 포함돼 있다”고 말했다.

이어 “14일 새벽에 변종이 발생해 피해 확산이 우려된다”며 “오늘 저녁이나 내일 정도면 어제 정도 수준으로 퍼질 것으로 예상된다”고 덧붙였다.

◆어쩌다 이 지경까지…미국 NSA 향한 비난의 화살=이러한 사이버 대재앙에 미국 국가안보국(NSA)에 비난의 화살이 쏟아지고 있다.

해커그룹 쉐도우 브로커스(Shadow Brokers)는 지난해 NSA의 해킹툴을 훔쳤다며 이를 공개한 바 있다. 이들은 마이크로소프트(MS)의 윈도 운영체제(OS) 익스플로잇 도구를 공개하며 파장을 예고했다.

이에 각국의 보안전문가들은 이번 랜섬웨어에 대해 미국 정보기관에서 유출된 MS 운영체제 취약점을 이용한 해킹도구가 사용됐다고 입을 모으고 있다.

NSA의 도청과 사찰 의혹을 폭로했던 에드워드 스노든은 트위터를 통해 “NSA 당국이 병원 공격에 사용된 결함을 알아차렸을 때 이를 공개했더라면, 이번 사태는 발생하지 않았을 것”이라고 비난했다.

이번에 발생한 워나크라이 랜섬웨어는 윈도 운영체제 SMBv2 원격코드실행 취약점에 대한 패치를 적용하지 않아 보안이 취약한 PC로 전파되며, PC 내 다양한 문서파일(doc, ppt, hwp 등), 압축파일, 데이터베이스(DB) 파일, 가상머신 파일 등을 암호화하고 있다. SMB(Server Msessage Block)는 MS 윈도 OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식이다.

쉐도우 브로커스가 해킹툴 공개 후 MS는 지난 3월 보안패치를 내놓았은 바 있다. 이 패치를 적용하지 않은 곳들이 주로 감염됐다. 주요 타깃은 윈도 7, 윈도 서버 2008 등이다. 윈도 7 이상이면 업데이트만 실시하면 된다. MS는 윈도 XP, 윈도 8, 윈도 서버 2003용 보안패치를 긴급 배포했는데, 사이버공격 상황이 심각해지자 지원에 돌입한 것이다.

피해 확산을 줄이려면 PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제하고 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부를 검사해 최신 보안 업데이트를 수행해야 한다.

KISA 측은 “기업 또는 개인은 랜섬웨어 공격으로 인한 피해를 입지 않도록 출처가 불분명한 전자우편 열람은 주의하고, 사용 중인 윈도 운영체제는 윈도 7 이상으로 버전 업그레이드 및 최신 보안패치를 반드시 적용해야 한다”며 “랜섬웨어에 감염되는 등 피해가 발생한 경우 한국인터넷진흥원 보호나라 홈페이지 또는 118상담센터(국번없이 118 또는 110)로 즉시 신고해야 한다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널