침해사고/위협동향

랜섬웨어가 한국서 맥못춘 이유…“킬스위치, 주말, 정부, 통신사”

최민지

[디지털데일리 최민지기자] 워너크라이 랜섬웨어가 소강상태에 진입했다. 한국시간으로 지난 14일부터 확산되기 시작한 워너크라이 랜섬웨어가 한국에서 나흘만에 진정 국면을 맞은 것이다.

이 랜섬웨어는 전세계 150개국에 영향을 미쳤지만, 한국은 주요 국가와 비교해 피해규모가 크지 않은 편이다. 이를 가능하게 한 요인은 한국시간으로 주말에 랜섬웨어가 확산된 것, 킬스위치가 발견된 점, 정부의 발 빠른 대처를 들 수 있다.

잘 알려지지는 않았지만, 통신사들의 SMB(Server Message Block) 포트 차단 조치도 숨은 공신으로 꼽힌다. 문제가 되는 포트를 사전에 차단해 사용자들의 대규모 감염을 막았다는 평가다.

◆한국, 워너크라이 랜섬웨어 신고건수 14건=17일 오후 5시 기준 한국인터넷진흥원(KISA)에 기업 및 기관 대상 피해 접수·신고 현황을 살펴보면 총 16건 접수건 중 신고건수는 14건으로 조사됐다.

118 상담센터를 통한 랜섬웨어 관련 상담 현황은 ▲14일 517건 ▲15일 2863건 ▲16일 1256건 ▲17일(오후 5시 기준) 442건이다. 15일을 기점으로 일반인들의 랜섬웨어 관련 문의도 점차 줄어들고 있는 것을 확인할 수 있다.

앞서, 15일(현지시간) 미국 백악관 정부 대변인은 150개국 30만대 컴퓨터 피해가 있었다고 발표했다. 일부 나라에서는 랜섬웨어로 인한 혼란을 겪었다. 심지어 러시아는 내무부 컴퓨터 1000여대가 감염되는 사태에 직면했다. 은행과 통신사, 철도업체도 자체 시스템을 폐쇄하기도 했다.

중국도 직격탄을 맞았다. 국영석유회사는 2만여곳의 주유소에서 현금밖에 사용할 수 없는 상태에 놓였으며, 일부 대학에서도 감염 사례가 나왔다. 영국 내 최대 자동차 생산공장인 닛산 선덜랜드 공장도 가동을 중단한 바 있다.

이에 비해 한국은 예상보다 선방했다. 병원과 공장, CGV, 전광판 등에서 일부 감염 사례가 발생하기는 했지만 주요 국가들에 비해 피해규모는 미미한 편이다.

◆“잘한 건 칭찬하자”=워너크라이 랜섬웨어의 국내 피해를 줄일 수 있게 한 숨은 공신으로 ▲킬스위치 발견 ▲주말 ▲발 빠른 정부 대처 ▲통신사들의 포트 차단을 꼽을 수 있다.

이 랜섬웨어는 12일(현지시간) 오후부터 퍼지기 시작했는데, 당시 한국시간으로는 금요일 퇴근시간 무렵이었다. 주말이 겹친 기간이라 기업들과 기관들의 PC 대부분은 꺼져 있는 상황이었다. 악재를 비껴 나갈 수 있었던 주요 이유다.

발견 하루만에 100여개국으로 퍼져나간 워너크라이 랜섬웨어의 질주를 늦춘 1등 공신은 단연 킬 스위치(kill switch) 발견한 영국의 22세 청년 마쿠스 허친스다.

그는 악성코드를 분석한 결과 특정 도메인에 접속한다는 사실을 발견했다. 이후 10.69달러(한화 1만2000원)을 내고 해당 도메인 이름을 등록해 활성화해 랜섬웨어를 무력화시켰다. 현재 킬스위치를 피하는 변종이 나타났지만, 더 큰 피해를 확산을 막은 공로로 인정받고 있다.

최상명 하우리 CERT 실장은 “실제로 킬스위치 발견 전인 12일 워너크라이 랜섬웨어에 대부분 감염됐다”며 “변종이 나왔지만 실제 유포되지 않는 샘플 형태로, 이미 백신 업체들이 이를 확보해 탐지하고 있는 상황”이라고 말했다.

이어 “현재는 확신이 많이 잠잠해진 상태며, 1등 공신은 킬스위치로 볼 수 있다”며 “대부분의 국민들이 보안패치를 한 상태라서 새로운 변종이 발생해도 이전처럼 파급적이지는 않을 것”이라고 덧붙였다.

정부와 보안기업들은 랜섬웨어 감염 피해를 막기 위해 주말 기간 비상태세를 유지하며 초동 대응에 집중했다. 미래창조과학부와 KISA는 국내 주요기업 정보보호 최고책임자 대상으로 메일을 발송하고 주의·권고·보안공지를 내렸다. 악성코드 및 피해확산에 대한 종합분석을 진행했으며 대국민 행동요령을 배포하고 각종 포털 등을 통해 지속 홍보했다.

보안기업들도 즉각적인 조치에 나섰다. 안랩, 이스트시큐리티 등 백신 업체들은 랜섬웨어 예방 프로그램을 무료 배포했고, 보안기업들은 비상태세를 유지하며 모니터링 등을 통해 랜섬웨어 확산 방지에 나섰다.

또, 국내 및 글로벌 보안기업들은 블로그, 보도자료, 공지, 소셜네트워크서비스(SNS) 등을 활용해 해당 랜섬웨어의 위험에 대해 알리고 대응방안을 적극 홍보했다.

각 기업 및 기관들, 국민들은 PC를 켜기 전 인터넷 연결부터 차단하라는 기본 수칙에 대해 인지할 수 있게 됐다. 공포의 월요일이라고 부를 정도로 우려가 컸으나, 1차적 감염 확산을 막기 위한 최소한의 조치가 알려진 만큼 최악은 면할 수 있었다.

통신사들의 포트 차단 조치도 공격 저지에 한몫했다. 통신사들은 워너크라이 랜섬웨어가 한국에서 급속도로 확산되기 전 SMB(Server Message Block) 특정 포트를 차단시켰다. 통신사들은 유무선 인터넷 서비스를 제공하고 있다. 해당 포트는 대국민 행동요령에서도 차단하라고 명시돼 있다. 다른 루트를 통해 침입하는 멀웨어까지 막지는 못하지만 초기 대응에는 일정 도움을 준 셈이다.

정보통신망법에 따르면 주요 정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생해 이용자 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있다면, 이용자에게 보호조치를 취하도록 요청하고 접속을 일시적으로 제한할 수 있다.

KT, LG유플러스, SK브로드밴드 등 통신사들은 개인고객에 대한 해당 포트는 전면 차단시켰으며, 기업고객의 경우 통신사마다 상이하나 요청이 들어오거나 위협이 감지되는 경우 차단 조치를 취하는 것으로 알려졌다.

◆워너크라이로 강화된 보안, 그래도 안심은 금물=이번 사태로 한국의 보안 수준은 이전보다 강화됐을 것으로 전망된다. 대다수 사용자들이 차일피일 미루던 보안패치와 업데이트 설치를 마쳤기 때문이다.

상당수의 악성코드는 워너크라이 랜섬웨어처럼 윈도 운영체제(OS) 취약점을 악용해 유입되기 때문에, 새로운 공격이 들어와도 과거처럼 무차별적으로 확산되지는 않을 것으로 전망된다.

일단 한숨은 돌렸지만, 완전히 안심하기는 이르다. 새로운 형태의 변종들이 매일 잇따라 등장하고 있기 때문이다. 이에 보안업계는 이제부터라도 개인 스스로 보안위협에 자각심을 갖고 보안업데이트를 충실히 이행해야 한다고 목소리를 모으고 있다.

최 실장은 “이번 사건을 계기로 워너크라이 랜섬웨어뿐 아니라 다른 악성코드에 감염되지 않도록 관련 조치를 취할 수 있게 됐다”며 “한국의 보안 수준이 한 단계 업그레이드된 셈이며, 자동업데이트를 설정하는 등 보안에 주의를 기울이기를 바란다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr

디지털데일리가 직접 편집한 뉴스 채널