[랜섬웨어 창궐]①병원·공장 '올스톱'…유례없는 공격

세계 100개국 동시다발…국내도 공격권 데이터 인질 삼아 돈요구, 피해 확산 우려 [비즈니스워치] 임일곤 기자 igon@bizwatch.co.kr

PC나 서버의 데이터를 인질로 삼아 돈을 요구하는 '랜섬웨어'란 사이버 공격이 약 100개국서 동시다발로 발생, 세계가 혼란에 빠졌다.

현재는 랜섬웨어를 억제하는 '킬 스위치'가 작동해 확산 속도가 주춤해졌으나 변종 공격이 나타날 가능성이 있어 안심하기에 이르다는 분석이다.

공격권에 포함된 우리나라에서도 피해 사례가 접수되고 있으며 기업·기관들의 정상 업무가 시작되는 월요일부터 감염 피해가 확산될 가능성이 제기된다.

◇ 컴퓨터 파일 인질 삼아 돈 요구

14일 보안 업계 및 외신에 따르면 지난 12일부터 유럽과 아시아를 비롯한 약 100개국에서 '워너크라이(WannaCry)'란 이름의 랜섬웨어 공격이 진행되면서 피해가 속출하고 있다.

워너크라이는 마이크로소프트(MS) 윈도우 운영체제(OS) 파일 공유에 사용되는 '서버 메시지 블록(SMB)' 원격코드의 취약점을 악용한다. 이메일 등에 첨부된 파일을 열지 않더라도 네트워크에 접속만 해도 감염되기 때문에 확산 속도가 빠르다.

랜섬웨어는 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어다. 컴퓨터 사용자의 파일을 인질로 삼아 돈을 요구하는 악성 프로그램이다. 워너크라이의 경우 영어와 한국어를 포함해 다국적 언어를 지원한다. 암호를 푸는데만 한국돈으로 34만원~68만원 정도를 비트코인 화폐로 요구하고 있다.

이번 공격은 세계 곳곳에서 동시다발적으로 발생했으며 공장과 병원, 은행, 정부기관, 교통운송의 컴퓨터 시스템 등 공격 대상을 가리지 않고 전방위적으로 이뤄지고 있다. 들불처럼 세계적으로 갑작스럽게 번졌다는 점에서, 전에 볼 수 없었던 대규모라는 점에서 이례적인 일이라는 것이 보안업계 분석이다.

랜섬웨어의 감염 상황을 실시간으로 집계하고 있는 '맬웨어테크닷컴(intel.malwaretech.com)'에 따르면 14일 오전 11시 현재 감염된 사례는 20만5579건에 달한다.

▲ 랜섬웨어 감염 상황을 실시간으로 집계하는 멀웨어테크닷컴에 따르면 14일 오전 11시 기준으로 감염된 사례는 20만건을 훌쩍 넘고 있다.

◇ 확산속도 더뎌졌으나 변종 등장

감염 사례는 모든 대륙에서 발견됐다. 국가별로는 러시아를 비롯해 영국과 인도, 미국, 대만 등이 특히 많았다. 우리나라도 예외는 아니어서 일부 피해를 입은 기업들의 사례가 접수되고 있다.

피해가 심각하다. 영국에선 40개 병원이 환자 기록을 보지 못해 진료 예약이 취소되거나 수술이 중단되는 사태가 발생했다. 러시아에선 정부 부처와 수사기관 컴퓨터가 공격을 받았고, 대형 이동통신사 '메가폰'은 이번 공격으로 컴퓨터가 한동안 작동을 멈추기도 했다.

일본 닛산자동차의 영국 공장에선 이번 공격으로 생산 시스템의 영향을 받은 것으로 알려졌다. 닛산과 자본 제휴 관계인 르노 역시 지난 13일부터 유럽 자동차 공장들의 가동을 중단했다.

이번에 유포된 워너크라이 랜섬웨어는 마이크로소프트(MS)의 윈도 운영체제(OS)의 취약점을 이용해 인터넷 네트워크를 통해 유포되는 점이 특징이다.

‘@malwaretechblog’라는 트위터 계정을 쓰는 한 보안 전문가가 우연히 랜섬웨어 확산을 중단하는 '킬 스위치(kill switch)'를 발견해 활성화한 후 확산 속도는 더뎌졌으나 새로운 변종이 등장하면서 재확산할 가능성이 커지고 있다.

◇ 동시다발·광범위 '이례적 공격'



일반적으로 온라인 상에서 사이버 공격은 일상화되어 있고 세계적으로 하루 평균 약 100만명이 피해를 받고 있는 것으로 알려졌으나 이번 공격처럼 동시다발적이고 광범위하게 이뤄진 것은 드물다는 평가다.

무엇보다 병원 등 사람 생명을 다루는 기관이 속수무책으로 당한다는 점에서 우려스럽다. 글로벌 자동차의 주요 공장이 멈춰서는 등 기업들의 피해도 계속될 전망이라 타격이 상당할 것으로 예상된다.

보안 업계에선 하필 12일부터 세계 많은 국가에서 동시다발적으로 피해가 발생했는지, 또 누가 일제히 공격을 벌였는지 등에 대해 뚜렷하게 파악하지 못하고 있다. 현재까지 알려진 것은 컴퓨터나 서버의 정보를 인질로 삼아 "암호를 풀려면 몸값을 달라"는 '몸값 요구형' 정도의 범행이 전부다.

영국 BBC에 따르면 이번 공격의 배후로 지난해 미국 국가안보국(NSA)에서 해킹 툴을 훔쳤다고 주장한 해커단체 '섀도우 브로커스(Shadow Brokers)'가 거론되고 있다. 이 해커 집단은 NSA가 마이크로소프트 시스템의 약점을 파고들어 개발한 해킹 툴을 훔쳐낸 것으로 알려졌다. 국가기관이 만든 해킹 도구를 빼낸 뒤 사이버 공격 수단으로 삼은 것이다.

NSA의 전방위 도청 의혹을 폭로했던 에드워드 스노든은 트위터에서 "NSA 당국이 때를 놓치지 않고 병원 공격에 사용된 결함을 알아차렸을 때 이를 공개했더라면 이번 사태는 발생하지 않았을 것”이라고 지적했다.

마이크로소프트는 지난 3월 해당 취약점에 대한 보안 패치를 제공했으나 보안 업데이트하지 않은 이용자들이 많아 피해가 큰 것으로 추정된다. MS는 지난 13일 공식 블로그와 트위터 등을 통해 윈도 XP, 윈도 8, 윈도 서버 2003용 보안 패치를 배포했다고 밝혔다.


ⓒ비즈니스워치(www.bizwatch.co.kr) - 무단전재 및 재배포금지