구독상품안내
전세계가 랜섬웨어 비상에 걸렸다. 랜섬웨어 ‘워너크라이’는 5월 12일부터 단 사흘만에 전세계 150개국 23만 여 대의 컴퓨터를 감염시켰다. 영국은 국민건강서비스(NHS)를 비롯해 16개 대형병원이 감염됐으며, 스페인의 대형 통신사 텔레포니카, 프랑스의 르노 자동차, 미국의 페덱스, 칠레의 라탐 항공 등 다수의 기관들이 피해를 입었다.
한국에서는 CJ CGV가 워너크라이에 감염됐다. CGV는 5월 15일 연합뉴스와의 인터뷰에서 “새벽부터 일부 상영관의 광고 서버가 감염돼 영화 시작 전 상영되는 광고와 상영관 외부 광고판에 랜섬웨어 경고 메시지가 뜨고 있다”고 밝혔다. 16일 기준으로 국내기업의 피해 신고 건수는 12건이다.
랜섬웨어는 몸값을 의미하는 랜섬(ransom)과 소프트웨어(software)가 합쳐진 말로, 사용자의 문서를 인질 삼아 돈을 요구하는 악성 프로그램을 일컫는 말이다. 랜섬웨어에 감염되면 사용자 PC에 저장된 다양한 문서파일(doc, ppt, hwp 등), 압축파일, 데이터베이스 파일 등이 암호화돼 알아볼 수 없게 된다. 랜섬웨어는 2014년부터 기승을 부리기 시작했다. 워너크라이는 이전의 랜섬웨어와는 여러 가지가 다르다. 그 차이를 세 가지 키워드로 뽑았다.
1 달라진 감염 경로
한국인터넷진흥원(KISA)에서 2016년 발표한 랜섬웨어 예방을 위한 5가지 보안수칙을 보면 랜섬웨어의 주요 감염 경로를 알 수 있다. 발신인을 알 수 없는 e메일 열람 금지, 불법 콘텐츠 공유사이트 방문 금지 등이다. 즉, 이전의 랜섬웨어는 e메일이나 특정 사이트를 통해 사용자의 PC를 감염시켰다.
반면 워너크라이는 컴퓨터를 켜면 가장 먼저 실행되는 윈도우 운영체제를 이용해 사용자의 PC에 침입했다. 윈도우가 파일 공유에 사용하는 프로토콜(SMB) 원격코드의 보안 취약점을 악용한 것이다. ‘이터널블루’라 불리는 이 취약점은 미국 국가안보국(NAS)이 밝혀낸 것으로, 4월 14일 해커 단체 ‘섀도우 브로커스’가 내용을 훔쳐 유출하면서 이를 악용한 워너크라이가 탄생했다. 더구나 워너크라이는 보통의 바이러스가 아니라 ‘네트워크 웜’이다. 네트워크 웜은 스스로 복제할 수 있는 프로그램으로, 어떤 중재자 없이도 네트워크를 통해 자신의 복사본을 전달할 수 있다. 인터넷만 연결해도 워너크라이에 감염될 수 있고, 복제된 워너크라이는 네트워크가 연결된 다른 PC로 퍼져 나간다.
2 돈 욕심 없는 해커들?
워너크라이는 목적이 돈이 아닌 듯한 인상을 여기저기서 풍긴다. 랜섬웨어는 사용자의 파일을 인질로 삼아 돈을 얻어내는 게 목적이다. 그러려면 해커와 사용자 간의 신뢰가 무엇보다 중요하다. 만약 사용자가 돈을 지불했는 데 해커가 암호키를 주지 않는다면, 어떤 사용자도 돈을 내지 않으려고 할 것이다. 워너크라이는 이 점에서 다른 랜섬웨어와 다르다.
해커와 사용자는 가상 화폐인 비트코인으로 거래한다. 비트코인의 중요한 특성 중 하나는 돈을 송신한 사람과 수신한 사람의 정보가 모두 암호화돼 식별할 수 없다는 점이다. 즉, 해커가 누가 보낸 돈인지를 파악하려면 사용자들에게 서로 다른 비트코인 주소를 부여해야 한다. 일종의 가상계좌 같은 것이다. 그래야 돈을 보낸 사람에게 정확한 암호키를 전달할 수 있다.
그런데 미국 기술 잡지 ‘와이어드’에 따르면 워너크라이는 사용자에게 지정된 4개의 비트코인 주소 중 하나를 제공한다. 그럼 누가 보낸 돈인지를 식별할 방법이 없다. IT솔루션 회사 티티비의 김동건 연구원은 “PC에 직접 고유 코드를 심어놓는 등 식별 방법이 있겠지만, 그렇다 하더라도 수동으로 확인 작업을 거쳐야 하기 때문에 암호키를 전달하는 데까지 시간이 오래 걸릴 것”이라고 말했다. 와이어드 역시 “이 정도 규모의 랜섬웨어면 자동으로 수신을 확인하고 암호키를 보내야 하는데, 워너크라이의 코드만 봐서는 이 작업이 불가능하다”며 “실제 돈을 지불한 피해자들이 암호키를 받지 못하고 있다”고 밝혔다.
더구나 워너크라이가 피해자들에게 요구한 금액은 300달러(약 33만 원) 정도다. 기업이 아닌 일반인을 대상으로 하는 랜섬웨어의 경우 30만~70만 원 정도의 금액을 요구하는 것이 일반적이지만, 이런 대규모 공격에 30만 원은 너무 적다는 것이 전문가들의 의견이다. 이런 이유로 워너크라이의 목적에 대해 ‘해커들이 자신들의 존재를 알리기 위함이다’, ‘아마추어들의 공격이 우연히 성공한 것이다’, ‘배후에 북한이 있다’ 등 의견이 분분한 상황이다.
3 실수인가 의도인가, 킬 스위치
목적이 돈이 아닐 것이라는 주장의 또 다른 근거는 워너크라이의 코드 안에 ‘킬 스위치’가 존재한다는 점이다. 킬 스위치는 한 번에 기기의 작동을 멈출 수 있는 스위치다. 워너크라이에 감염된 PC는 비활성화된 도메인에 접속하도록 돼 있다(비활성화된 도메인이란 서버와 연결돼 있지 않은 도메인으로, 구매가 가능한 도메인이다).
이를 이상하게 여긴 영국의 한 보안 전문가(@malwaretechblog)가 이 도메인을 구매했더니, 엄청난 수의 사용자가 접속했고, 워너크라이의 전파 속도가 줄어들었다. 즉, 특정 도메인의 활성화가 워너크라이의 작동을 멈추는 킬 스위치였던 셈이다. 곧 이를 보완한 워너크라이 2.0이 배포됐지만, 이미 세계적으로 존재가 알려진 뒤라 전파 속도는 현저히 줄어들었다. 김 연구원은 “만약 실수로 킬 스위치를 만든 것이라면 정말 아마추어가 뒷걸음 치다 쥐 잡은 격이고, 일부러 넣었다면 진짜 목적에 대해 해석할 여지가 많다”고 말했다.
한국인터넷진흥원(KISA)은 5월 14일 사이버위기 경보단계를 ‘관심’에서 ‘주의’로 상향 발령했다. PC를 켜기 전 네트워크 연결을 끊고 파일 공유 기능을 해제시킨 뒤, 운영체제를 ‘윈도우 7’ 이상으로 업그레이드시킬 것을 권고했다.
