[디지털데일리 최민지기자] 워너크라이 랜섬웨어로 시끄러웠던 지난주, 국내 인터넷서비스사업자(ISP) 중 하나인 A사 홍보팀장으로부터 연락을 받았다.

배송을 요청한 적도 없는데 배송업체에서 메일이 왔다는 것이다. 첨부파일을 열면 폭탄이 터질 것 같다는 우스갯소리와 함께, 그는 관련 메일을 전달했다. 내용은 이러하다.

친애하는 고객님께,
고객님의 물품이 5월 17일 저희 페덱스 사무실에 배송완료됐습니다. 하지만 부득이하게 배송직원이 직접 전달해드릴 수 없는 상황입니다. 고객님의 물품을 전달받기 위해서 첨부해드린 영수증과 INVOICE를 출력하시고, 가장 가까운 FedEX사무실을 방문해 물품을 전달받기 바랍니다. 고객님의 개인정보 보호를 위하여 비밀번호를 설정했습니다. 비밀번호: ‘gnsfus’

이메일을 통한 랜섬웨어 기법이 분명했다. 보안담당 기자의 사명감이 순간 발동했다. 국내 보안전문기업에게 해당 메일 분석을 요청했다.

약 한 시간이 지난 후 보안기업에서는 “아직 더 조사를 해 봐야 알겠지만, 비너스락커 신종으로 추정된다”며 “해커의 명령제어(C&C) 서버가 아직 동작하지 않고 있는데, A사만을 타깃으로 하고 있어 해당 기업의 전산실을 통해 메일 원본을 받고 싶다”고 말했다.

비너스락커는 각종 변종을 생산하며 국내에 확산되고 있는 한국 맞춤형 랜섬웨어로 알려져 있다. 랜섬웨어 파일을 첨부한 이메일을 보내는데, 한국어로 교육일정표 등을 보내 사용자들의 감염을 유도한다.

워너크라이 랜섬웨어로 전세계가 들썩이는 이 때, 또다른 한국형 랜섬웨어 신종까지 나타나다니. 기사 욕심이 먼저 나지 않았다면 거짓말일 것이다. 하지만 한 기업의 정보를 노리고 접근하고 있는 랜섬웨어부터 해결하자는 결론을 냈다. A사 홍보팀장도 긴장한 모습이 역력했다.

이에 보안기업의 의견을 ISP 사업자에게 전달하려던 그 때, 내부 상황을 파악 중이던 A사 팀장으로부터 전화가 걸려왔다. “다행이에요. 놀란 마음에 뛰어가 상황을 물어보니, 한국인터넷진흥원(KISA)과 민관합동 모의훈련 중이었다고 해요.”

어쩐지…. 해커 서버가 동작하지 않은 것도, 보통 사용하지 않는 자바 스크립트가 들어간 것도, A사를 콕 집어 코드에 넣은 것도, 이제야 이해가 갔다. 허탈한 마음이 들었지만 안심이 됐다. 정부와 기업이 보안의식을 높이기 위해 실시한다고 밝힌 여러 활동 중 하나를 실제로 겪었기 때문이다.

KISA는 이러한 중요 정보를 보유한 기업들과 모의훈련 등을 실시하며 직원들의 보안의식을 제고하고 있다. 이번 워너크라이 랜섬웨어 사태 때도 보안기업들과 공조하며 감염 확산을 막기 위해 전력을 다하기도 했다.

올해 들어 단 한 번도 정상으로 내려간 적 없는 사이버위기경보단계에 KISA를 비롯한 보안기업들은 365일 비상체제를 유지하고 있다.

KISA에서 근무하는 한 담당자는 워너크라이 랜섬웨어 확산 당시 하루에 3시간만 겨우 눈을 붙이고 비상사태를 주시했다고 한다. 보이지않는 곳에서 묵묵히 소임을 다하는 이들의 노력으로, 이번 랜섬웨어 사태가 조금은 한국을 비켜간 게 아닌가라는 생각이 든다.

<최민지 기자>cmj@ddaily.co.kr