PC 및 서버용 윈도 운영체제(OS) 보안 취약점을 겨냥한 랜섬웨어의 공격 위협이 수그러들기보다는 확대 추세다. 세계 100개국에서 발생한 피해 사례가 한국으로 번질 우려가 커지고 있다. 국내 사이버보안 전문업체는 기업 휴무였던 주말 이틀새 국내서 차단된 공격만 2천건에 달해, 업무를 시작하는 15일(월요일)부터 피해가 급증할 수 있다고 경고했다.
랜섬웨어는 사용자의 컴퓨터에 저장된 파일과 데이터를 '인질'로 삼는 악성코드 프로그램을 가리킨다. 컴퓨터를 감염시켜 일단 저장된 중요 파일을 못 쓰게 만든 다음, 복구할 수 있게 해주는 대가로 금전을 요구한다. 이번에 세계 각지 다수 개인과 기업에 피해를 입히고 있는 랜섬웨어는 '워너디크립터(Wanna Decrypt0r)' 또는 이를 줄인 워너크립트(WannaCrypt) 또는 워너크라이(WannaCry)라는 이름으로 알려졌다.
워너크라이는 3ds, ai, asf, asm, asp, avi, doc, docx, gif, gif, gpg, hwp, java, jpeg, jpg, mp3, mp4, mpeg, ost, pdf, png, ppt, pptx, pds, pst, rar, raw, rtf, swf, tif, tiff, txt, wav, wma, wmv, zip 등 확장자를 쓰는 파일을 암호화하고 파일명 뒤에 .wcry 확장자를 추가한다. 이후 사용자에게 300달러치 비트코인을 3일 안에 지불하라고 요구한다. 3일 이후에는 요구액수를 2배로 늘리고, 7일 뒤엔 파일을 지우겠다고 협박한다.
워너크라이 랜섬웨어 피해는 지난 12일 영국 국가보건의료서비스(NHS) 소속 병원 사례로 먼저 알려졌다. 직후 카스퍼스키랩과 어베스트 등 보안업체는 감염 피해가 영국, 러시아, 우크라이나, 인도, 중국, 이탈리아, 이집트, 타이완 등 세계 74개국 또는 99개국에서 수만건을 기록했다고 전했다.
지난 13일 영국 일간지 가디언 보도에 따르면 앞서 악성코드추적사이트 '맬웨어테크'의 한 보안연구자는 워너크라이 랜섬웨어를 멈출 방법을 발견했다. 인터넷의 특정 도메인을 활성화해 확산을 멈출 수 있는 기능이 악성코드에 내장돼 있다는 걸 알아내, 해당 도메인을 실제로 활성화한 것이다. 당시 실제로 활성화된 특정 도메인을 인식한 워너크라이는 확산을 멈췄다.
그러나 악성코드 제작자가 변종을 만들어 다시 공격할 것이기 때문에 근본 문제가 해결된 건 아니었다.
실제로 이후 감염 피해는 확산되고 있다. 스페인 통신사 텔레포니카, 프랑스 자동차제조사 르노, 독일 철도공사, 다국적 배송업체 페덱스, 중국 대학교, 러시아 내무부 등이 주요 피해 사례로 알려졌다. 유로폴 롭 웨인라이트 총괄 디렉터는 14일(현지시간) 미국 뉴욕타임스 보도를 통해 150개국 20만대 이상 컴퓨터가 공격을 당했다고 밝혔다.
주말새 한국에서도 한국인터넷진흥원(KISA)과 국내외 보안업체들의 사고대응활동이 이어지고 있다. 연합뉴스 보도에 따르면 14일 오후 6시20분까지 국내 기업 4곳이 피해 신고를 했다. 보안업체 이스트시큐리티는 지난 12~13일 2일 사이에만 백신 '알약'으로 탐지한 공격이 2천여건에 달했으며, 지난 14일에도 지속적으로 공격이 탐지되고 있어 국내에 관련 보안 위협이 급속 확산 중이라고 전했다.
워너크라이 랜섬웨어가 전세계에서 대규모로 확산되고 있는 이유는 알려진 마이크로소프트(MS) 윈도 취약점을 악용해, 사용자 활동과 관계 없이 기업 네트워크 내에서 스스로 확산될 수 있는 능력을 갖췄기 때문이다. 워너크라이는 마이크로소프트(MS) 윈도OS의 서버메시지블록(SMB) 원격코드실행 취약점(MS17-010)을 이용해 다른 컴퓨터로 전파된다.
최신 윈도 보안 업데이트가 적용되지 않은 컴퓨터는 감염 위험이 크다. 워너크라이는 관련 패치를 하지 않은 윈도10, 8.1, 8, 7, 비스타, XP, 윈도서버2016, 2012, 2008, 2003 버전을 감염시킨다. MS는 지난 3월 윈도10, 8.1, 7, 비스타, 윈도서버2016, 2012, 2008용 패치를 내놨다. 최근 공식지원을 중단한 윈도XP, 8, 윈도서버2003용 패치도 배포하기 시작했다.
이스트시큐리티 시큐리티대응센터 측은 "워너크립터 랜섬웨어 감염시 나타나는 비트코인 결제 유도 화면에서 한국어 안내문을 사용하는 등 워너크립터 랜섬웨어 주요 공격 대상에 한국도 포함돼 있다"며 "기업뿐아니라 일반 사용자에게 무차별 확산하고 있기 때문에, PC에 저장된 중요 자료를 외부 저장장치에 복사해 두는 등 랜섬웨어에 감염될 경우를 위한 대비를 해 둬야 한다"고 권고했다.
관련기사
- 랜섬웨어 워너크라이, 효과적으로 막으려면2017.05.15
- 랜섬웨어 피해 100개국 확산…한국도 경보2017.05.15
- 두 대선주자의 닮은듯 다른 사이버보안 정책2017.05.15
- "윈도서버 2분내 감염"…美 NSA 공격툴 악용 랜섬웨어 등장2017.05.15
지난 14일 김준섭 이스트시큐리티 부사장은 "현재 보안 기업과 기관에서 확산 방지를 위해 적극적인 대응을 하고 있음에도 불구하고 업무가 시작되는 월요일(15일)부터 관련 피해가 급격히 증가할 가능성이 있다"며 "KISA 보호나라 사이트에 공지된 피해 확산 방지 안내를 숙지하고 피해가 없도록 사전에 대비해야 한다"고 당부했다.
이날 윤광택 시만텍코리아 CTO는 "향후 랜섬웨어와 웜이 결함된 형태의 공격이 늘어날 가능성이 많기 때문에 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다"며 "특히 이메일을 통한 랜섬웨어 공격이 증가하고 있기 때문에 의심스러운 이메일은 삭제하고, 중요한 파일은 미리 백업을 해두는 것이 안전하다"고 말했다.
