150여개국에서 20만여건이 동시다발적으로 발생한 최악의 랜섬웨어 공격이 한 영국 청년의 기지로 일단 멈췄지만, 추가 공격 가능성은 여전히 남아 있다. 이번 공격은 마이크로소프트 윈도의 네트워크 공유 기능의 보안상 약점을 파고들었기 때문에, 공유 기능을 많이 사용하는 정부 및 대형기관, 기업을 중심으로 빠르게 퍼진 것으로 보인다. 업데이트 지원이 끊긴 윈도 엑스피(Windows XP)를 계속 광범위하게 사용한 것도 문제가 됐다.
지난 12일 오후 발생한 랜섬웨어 공격은 영국과 러시아를 비롯한 150여개국에서 정부 및 기업 컴퓨터를 중심으로 빠른 속도로 확산됐다. 공격에 사용된 랜섬웨어는 윈도의 파일공유 기능상의 약점을 이용하는 ‘워나크라이’(WannaCry) 혹은 ‘워나크립트’(WannaCrypt)의 변종으로 알려졌다. 통상 공격은 이메일에 첨부된 파일 등을 클릭하면 진행되지만 이번 공격은 인터넷에 연결만 돼 있으면 네트워크를 통해 퍼져 확산 속도가 빨랐고, 개인보다는 네트워크 공유 기능을 많이 사용하는 정부기관 등의 컴퓨터가 한꺼번에 감염되면서 급속도로 퍼졌다. 랜섬웨어는 컴퓨터에 침투해 내부 데이터를 암호화한 뒤 이를 풀어주는 대가로 돈을 요구하는 악성프로그램이다. 데이터를 ‘인질’로 삼아 ‘몸값’(ransom)을 요구하는 격이라 랜섬웨어라 불린다. 이번 공격에서 해커는 공격당한 컴퓨터마다 300달러(약 34만원)어치의 비트코인을 요구했다. 유럽연합(EU) 형사기구인 유로폴은 150개국 이상에서 20만건 이상의 피해 사례가 파악됐다며 “전례 없는 수준의 공격”이라고 14일 밝혔다.
마이크로소프트는 해당 약점에 대한 보안패치를 3월에 배포했지만, 2014년 업데이트 지원이 종료된 운영체제(OS) 윈도 엑스피 등은 패치의 혜택을 받을 수 없었다. 공격이 처음으로 대규모로 보고된 영국 국민보건서비스(NHS) 산하 병원들은 90%가 윈도 엑스피를 사용하는데 48곳이 피해를 입었다. 이번 공격이 보고되자 마이크로소프트는 엑스피 등 예전 운영체제에 대한 패치도 배포했다.
세계 곳곳에서 대규모 랜섬웨어 공격이 발생한 가운데 일부 국내 기업도 랜섬웨어에 감염된 것으로 파악됐다. 사진은 워나크라이 랜섬웨어 한국어 버전. 이스트소프트 제공/연합뉴스
공격자는 밝혀지지 않았지만, 보안업계에서는 지난해 미국 국가안보국(NSA)을 해킹했다고 주장한 해커단체 ‘섀도 브로커스’(Shadow Brokers)가 배후라는 추측이 나온다. <시엔비시>(CNBC)는 앨런 우드워드 영국 서리대 교수를 인용해 “이번 랜섬웨어는 미국 정보기관에서 유출된 마이크로소프트의 취약점을 이용했다”고 보도했다.
<가디언>과 한국인터넷진흥원(KISA) 등의 설명을 종합하면, 이번 공격은 자신을 ‘멀웨어테크’(MalwareTech·악성소프트웨어 기술자)라고만 밝힌 보안회사에 근무하는 22살 영국 청년의 기민한 대처로 13일 일단 멈췄다. 이번 공격에 사용된 랜섬웨어는 첫번째 단계로 가상의 특정 도메인을 거치도록 돼 있었다. 접속을 시도해 이 도메인이 존재하면 공격을 멈추고 존재하지 않으면 공격을 계속하도록 설계된 것이다. 이 청년은 이 사실은 모른 채 단순히 확산 과정을 보기 위해 이 도메인을 10.69달러(1만2000원)를 주고 사들여 등록해 실제로 존재하도록 했고, 결과적으로 공격 확산이 차단됐다. 다만 이 방식으로는 확산을 멈췄을 뿐 감염된 컴퓨터를 치료할 수는 없었다. 멀웨어테크는 “이게 끝이 아니다. 공격자가 우리가 어떻게 확산을 멈췄는지 알아내 코드를 바꿔 다시 공격을 시작할 것이다. 윈도를 업데이트하고 재부팅하라”고 조언했다. 공격은 주말을 거치며 소강 상태를 보였지만, 많은 피시가 인터넷에 연결되는 월요일이 되면 상황이 다시 심각해질 수 있다는 전망도 나온다.
보안업체들은 이번 공격의 가장 큰 피해국을 러시아로 꼽았다. 러시아에선 1000대 이상의 컴퓨터가 공격을 받았고, 통신업체 메가폰도 표적이 됐다. 러시아 정부는 내무부 컴퓨터 감염 여부에 대해선 부인했다. 공격을 받은 영국 병원들은 환자기록 파일 등을 열지 못해 진료에 차질을 빚었다. 영국 정부는 피해 병원들의 97%가 복구를 마쳤다고 밝혔다. 영국 최대 규모 자동차생산공장인 닛산 선덜랜드 공장도 공격을 받아 생산을 멈췄다. 프랑스에서도 르노자동차 공장의 일부가 생산을 중단했다. 독일에서는 철도 시스템이 공격을 받았지만 출발·도착 안내판 작동에만 문제가 생겨 열차 운행은 정상적으로 이뤄졌다. 스페인의 대형 통신업체 텔레포니카도 공격을 당했다. 미국에선 대형 운송업체 페덱스가 공격을 받았다. 중국에선 일부 대학이 공격을 당한 것으로 알려졌다. 브라질에선 사회보장시스템, 국영 석유기업, 외무부와 법원도 공격을 받았다.
김효진 기자
july@hani.co.kr
![[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가](http://flexible.img.hani.co.kr/flexible/normal/300/180/imgdb/child/2024/0116/53_17053980971276_20240116503438.jpg "[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서](http://flexible.img.hani.co.kr/flexible/normal/800/320/imgdb/original/2023/1228/20231228503768.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서](http://flexible.img.hani.co.kr/flexible/normal/500/300/imgdb/original/2023/1228/20231228503807.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서")
