 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
랜섬웨어 공격이 국가 간 사이버전을 예고하는 서막이었을까.
워나크라이에 이어 페트야까지 랜섬웨어 공격이 잇따라 발생한 가운데 랜섬웨어가 사이버전의 도구로 활용되기 시작한 것 아니냐는 관측이 나오고 있다. 랜섬웨어란 데이터를 암호화한 뒤 이를 미끼로 금전을 요구하는 사이버 범죄 수법. 전날 등장한 페트야 랜섬웨어의 경우 원천 복구가 불가능할 정도의 파괴력으로 기반시설을 겨냥했다는 점에서 돈벌이 용도보다는 특정국가의 혼란을 노린 사이버 공격일 수 있다는 분석이다.
29일 국내외 보안업계에 따르면 페트야 랜섬웨어 제작자는 공격 초기 우크라이나 공항, 중앙은행, 발전소 등 국가 기반시설을 노렸다. 이를 두고 보안 전문가들은 러시아 해커집단 등 우크라이나 적대 세력이 그 배후일 가능성에 무게를 싣고 있다.
페트야 랜섬웨어가 우크라이나를 타깃으로 삼았다는 근거는 여러 가지다. 우선 우크라이나에서 많이 사용하는 소프트웨어(SW) 업데이트의 취약점을 활용해 초기 랜섬웨어가 유포됐다. 보안기업인 파이어아이에 따르면 우크라이나 기업들이 많이 쓰는 회계 프로그램 ‘메독(MeDoc)’ 업데이트 시간과 랜섬웨어 공격이 최초로 보고된 시간이 일치한다. 이번 공격으로 가장 많은 피해를 입은 곳도 우크라이나다.
아예 한번 감염되면 복구 자체가 힘들도록 설계됐다는 점도 근거 중 하나다. 페트야는 워나크라이 랜섬웨어와는 달리 데이터 파일뿐 아니라 하드드라이브 세그먼트까지 암호화한다. PC 부팅 자체가 불가능하다. 상대적으로 오래된 시스템과 핵심 인프라가 이 공격에 취약하다.
해커집단이 대가로 요구한 금액이 300달러 수준에 불과한데다 지불방법도 복잡하다는 점에서도 금전을 노린 공격이 아니었을 것이란 해석이 나온다. 이형택 한국랜섬웨어침해대응센터 센터장은 “워나크라이도 세상을 떠들썩하게 한 것에 비해 해커들 입장에서 실속은 없었다”며 “고작 300달러를 요구하기 위해 공격을 감행했다는 건 의문”이라고 말했다.
공격 대상을 기반 시설로 확장했다는 점도 심상치 않은 대목이다. 우크라이나에서는 체르노빌 방사능감지시스템과 중앙은행, 수도 키예프의 지하철, 공항 컴퓨터망 등이 공격을 받았다.
결론적으로 해커집단이 보다 정교한 사이버전을 감행하기 위해 랜섬웨어와 결합했을 것이란 분석이다. 최상명 하우리 보안대응실장은 “처음부터 사이버 공격을 가할 경우 공격자의 신분이나 목적이 명확하게 드러나지만 랜섬웨어로 위장하면 상황을 더욱 혼란스럽게 할 수 있다”고 말했다.
해커들의 기술력과 공격 방식이 날로 정교해지면서 국가 차원의 랜섬웨어 대응책이 필요하다는 지적도 나온다. 랜섬웨어 해커들은 한번 사용한 공격 방식을 재사용하지 않는다는 점에서 랜섬웨어 대응 방식에 대한 다각적인 연구가 필요하다는 목소리다. 워나크라이 변종만 280종이 나온 것으로 알려졌다. 이형택 센터장은 “페트야 건은 랜섬웨어를 가장한 다른 목적을 지닌 공격으로 추정된다”며 “해커들이 한번 노출된 기법은 가급적 다시 사용하지 않기 때문에 다음 공격을 예측하기조차 어렵다”고 말했다.
김지민 기자 dandi@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
