왜 우크라이나를 노렸나···‘킬스위치’도 없는 막강 변종, 랜섬웨어 공격

랜섬웨어 공격을 당한 노트북 화면. EPA연합뉴스

랜섬웨어가 27일(현지시간) 또다시 전세계를 공격했다. 지난달 150여개국을 휩쓴 ‘워너크라이(Wannacry)’보다 세고, 확산을 막는 ‘킬스위치(kill switch)’도 없는 막강한 변종으로 보인다.

공격받은 컴퓨터 화면엔 ‘300달러를 송금하면 복구키를 주겠다’는 경고가 뜬다. 워너크라이와 비슷하다. 윈도의 취약점을 노린 것을 봐선 미국 국가안보국(NSA)가 만들었다가 도난당한 것으로 알려진 해킹도구 ‘이터널블루(Eternal Blue)’를 변형했다는 관측도 있다. 앞서 존재가 드러났던 램섬웨어 ‘페티야(Petya)’가 변형됐다는 분석도 있어 배후를 찾기는 쉽지 않을 전망이다.

보안업체 비트디펜더의 카탈린 코소이는 이날 월스트리트저널에 “특정인을 목표로 한 공격은 아니며 가능한 한 많은 이들에 대한 공격을 시도했다”고 말했다. 또 미국 싱크탱크 애틀랜틱 카운슬의 보 우즈는 파이낸셜타임스에 “워너크라이의 확산을 막았던 ‘킬 스위치’ 없이 만들어졌을 가능성이 가장 우려된다”며 “이 경우 앞으로 수개월간 공격이 가해질 수 있다”고 밝혔다.

프랑스와 독일, 영국과 미국 등 유럽을 중심으로 2000여건의 피해가 접수됐지만 이번 공격의 핵심은 우크라이나에 집중돼 있다.

우크라이나는 각 부처와 키예프보리스필국제공항, 중앙은행 등 정부시설은 물론 우크르에네르고와 우크르텔레콤 등 전력·통신기업 등 100여개 넘는 기관이 피해를 입었다. 이중에는 체르노빌 원자력발전소도 포함돼 있다. 체르노빌은 방사능 감지시스템이 멈춰 현재 수동으로 수치를 점검하고 있다.

우크라이나 보안청(SBU)은 이번 공격이 “사전에 계획된 작전이며 몇 단계 걸쳐 이뤄졌다”고 밝혔다고 키예프포스트가 보도했다.

미국 정보기술(IT) 전문잡지 와이어드(Wired)는 지난주 무차별하게 급증하는 우크라이나의 기업·정부에 대한 사이버공격 위기를 전하며 사이버 전쟁으로 확산될 가능성을 거론했다. 나토 대사 케네스 기어스는 “우크라이나에서 공격을 받지 않은 곳이 없다”고 이 매체에 말했다.

사이버 보안업체 ‘JASK’의 그레그 마틴 최고경영자는 “정치적 환경과 지정학적 요인으로 우크라이나가 지난 몇년간 사이버무기를 시험하는 이들의 표적이 됐다”고 밝혔다. 특히 지난 3년간 이뤄진 우크라이나 전력망에 대한 두차례 공격은 러시아의 이해관계도 연관돼 있다는 것이 전문가들의 분석이다. 25만명이 정전 피해를 입었던 2015년 공격의 경우 프로토콜(IP) 주소를 근거로 라시아가 배후로 지목된 바 있다. 러시아는 이를 부인하고 있다.

이날 랜섬웨어를 이용한 추가 공격이 발생하면서 우크라이나에서는 러시아에 대한 비판이 다시 높아지고 있다. 러시아 국영석유기업 로스네프트와 철강기업 예브라즈(EVRAZ)도 공격을 당했으나 빠르게 복구됐으며, 생산량에는 영향을 미치지 않았다. 게다가 로스네프에 대한 공격은 석유·천연가스를 러시아에 의존하는 우크라이나에도 영향을 미친다.

내무장관 보좌관인 안톤 게라시첸코 의원은 “우크라니아의 불안정을 목표로 하이브리드 전쟁(hybrid warfare)을 벌이고 있는 러시아가 벌인 일이라고 믿는다”고 페이스북에 글을 남겼다. 사이버보안업체 이뮤니티의 알렉스 맥조지는 “우리가 러시아에 대해 알고 있는 건, 이번 공격이 그들의 범행 중 일부이며 그들은 원하는 곳은 어디든 혼란을 심는다는 점”이라며 “우크라이나의 국가 핵심망 공격은 그 목적에 향해있다”고 밝혔다.

JASK의 마틴은 “아직 러시아 소행으로 단정짓기는 이르나 향후 공격은 더 세련되고 파급력이 커질 것”이라고 덧붙였다.

<김보미 기자 bomi83@kyunghyang.com>

▶ 경향신문 SNS [트위터] [페이스북]
▶ [인기 무료만화 보기]
▶ [카카오 친구맺기]

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지