바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

사상 최대 랜섬웨어를 둘러싼 미스터리

2017-05-31강진규 기자

5월 15일 한국인터넷진흥원 인터넷침해대응센터 종합상황실에서 직원들이 랜섬웨어 관련 상황을 주시하고 있다. [사진=뉴스1]

 전 세계 150여 개 국가를 대상으로 한 사상 초유의 사이버 인질극이 발생했다. 그동안 사이버공격은 특정 시스템이나 홈페이지를 마비시키거나 정보를 유출하는 방식으로 이뤄졌다. 사이버인질극을 벌이는 랜섬웨어(Ransomware)도 지속적으로 나타났지만, 범죄자들이 개인, 기업 등 소규모의 특정 대상에게 돈을 요구하는 수준이었다. 

하지만 이번에 발생한 공격은 수많은 국가의 기업, 기관들의 PC와 시스템을 인질로 잡아 의료 서비스가 마비되고 공장이 멈추는 등 피해 범위가 이전의 사례들과 비교할 수 없을 정도로 컸다. 이번 사건은 4차 산업혁명 시대에 국가 사회, 경제가 사이버공격 위협에 얼마나 취약해질 수 있는 지를 여실히 보여줬다.

150개국 랜섬웨어 피해 속출

지난 5월 12일부터 영국, 러시아, 미국, 스페인, 독일, 중국, 일본 등 전 세계 150여 개 국가에서 동시다발적으로 이상 현상이 나타났다. 기업 컴퓨터, 공장 시스템, 병원 창구 PC, 철도 전광판 등 각종 시스템과 PC가 동작을 멈췄다. 그리고 시스템에는 해커들이 돈을 요구하는 화면이 나타났다. 해커들은 데이터 파일을 암호화했다며 사용자에게 300달러의 몸값을 비트코인으로 지불할 것을 요구했다. 3일 내로 돈을 지불하지 않으면 지불금액이 두 배로 늘어나고, 7일 내에 지불하지 않으면 암호화된 파일은 삭제된다고 경고했다.

보안 전문가들의 조사 결과, 이번 사건은 ‘워너크라이(Wannacry)’ 랜섬웨어에 의한 것으로 드러났다. 랜섬웨어는 사용자 PC, 서버 등을 감염시킨 후 데이터를 암호화하고 비트코인 등으로 돈을 요구하는 악성 프로그램과 범죄행위를 뜻한다. 

그동안 랜섬웨어로 인한 피해는 국내외에서 끊임없이 나타났다. 2016년 4월 미국 핸더슨감리병원 등이 랜섬웨어 공격을 당했으며 2016년 11월에는 미국 샌프란시스코 대중교통시스템이 공격을 받아 업무에 차질을 빚기도 했다.

국내에서도 랜섬웨어 피해가 증가하고 있다. 한국인터넷진흥원(KISA)의 ‘2016년 랜섬웨어 동향 및 2017년 전망’ 보고서에 따르면, KISA에 2015년 랜섬웨어 피해를 당했다는 민원이 770건 접수됐다. 2016년에는 두 배 증가한 1438건이 신고 됐다. 보안 전문가들은 피해를 당하고도 신고를 하지 않은 사람들이 많아 국내의 실제 랜섬웨어 피해는 훨씬 많을 것으로 추정하고 있다.

이번 워너크라이 랜섬웨어는 일부 기업, 개인을 타깃으로 한 것이 아니라 전 세계적으로 불특정 다수를 공격해 피해가 컸다. 기존 랜섬웨어는 이메일이나 웹사이트를 통해 사람들에게 파일을 다운로드 받도록 하는 방식으로 감염시켰지만 워너크라이는 인터넷 접속만으로 감염됐다. 해커들이 마이크로소프트(MS) 윈도 운영체제(OS)의 SMB(Server Message Block) 원격코드 실행 취약점을 악용했기 때문이다. SMB는 윈도 OS에서 폴더, 파일 등을 공유하기 위해 사용되는데, 해커들이 이를 이용해 네트워크에 연결된 다른 PC, 시스템을 감염시킨 것이다.

MS는 지난 3월 해당 취약점에 대한 보안 업데이트를 했지만 많은 사용자가 이를 적용하지 않았다. 또 보안 지원이 중단된 ‘윈도 XP’ 등을 사용하는 시스템이 큰 피해를 입었다.

이번 사건으로 영국에서는 국가보건서비스(NHS) 산하 의료기관 48곳이 진료를 보지 못했다. 러시아에서는 내무부 컴퓨터 1000대가 워너크라이에 감염됐으며, 이동통신업체 메가폰도 공격을 받아 콜센터 업무 등에 차질을 빚었다. 

미국에서는 국제 운송업체 페덱스가 공격을 받았고, 스페인 통신사, 이탈리아 대학도 피해를 당했다. 또 프랑스 자동차업체 르노의 유럽 내 일부 공장이 공격을 당해 가동을 중단했으며, 일본 히타치제작소, 자동차업체 닛산도 공격을 받았다. 

사이버위기 경보 ‘주의’로 상향 

또 외신들에 따르면, 중국 보안업체 치후360 정보위협센터는 이번 랜섬웨어 공격으로 중국 내에서 약 3만 개 기관과 기업이 공격을 받았다고 주장했다. 중국석유천연가스그룹이 랜섬웨어 공격을 당했고 대학, 철도역, 쇼핑몰 등에서도 피해가 나타났다.

국가정보원, 미래부, 한국인터넷진흥원은 5월 14일 랜섬웨어 확산에 따라 사이버위기주의 경보를 발령했다. [사진=뉴스1]

전 세계적인 랜섬웨어 사태에 국내에서도 긴장감이 높아졌다. 5월 14일 국가정보원과 미래창조과학부, KISA가 사이버위기 경보 단계를 ‘관심’에서 ‘주의’로 상향 조정했다. 각 기관, 기업들은 랜섬웨어 피해를 막기 위해 대비에 나섰다.

국내에서는 5월 19일 기준으로 KISA에 공식 접수된 신고가 20건으로 집계됐다. 하지만 실제 피해는 이보다 많은 것으로 알려지고 있다. 보안업체 하우리는 워너크라이에 감염된 국내 PC, 시스템 인터넷주소(IP)가 4000여 건에 달한다고 분석했다. 보안업체 이스트시큐리티도 백신 소프트웨어(SW) ‘알약’이 12일 942건, 13일 1167건 등 약 2000건의 워너크라이 랜섬웨어 공격을 탐지했다고 밝혔다. 

한 IT업체 보안 전문가는 “이번 랜섬웨어로 인한 피해가 알려진 것보다 많은데 신고하지 않은 것 같다”며 “일부 회사에서는 직원들이 랜섬웨어 감염 사실을 확인하고도 회사 보안팀에 알리지 않았다가 나중에 확인됐다는 이야기도 있다”고 말했다.

실제로 CJ CGV 광고 서버가 공격을 받아 영화관 내 광고가 중단됐으며, 충청도의 버스 정보 시스템과 정육점, 카페 등의 판매시점정보관리(POS) 시스템이 마비된 사례도 나왔다. 한 아파트에서 출입통제 시스템 서버가 랜섬웨어 공격을 당했다는 소식도 전해졌다. 20일에는 일부 IBT 토플 시험장 PC가 랜섬웨어에 감염돼 시험이 취소됐다.  

그나마 피해가 더 확산되지 않은 것은 보안업체 크립토스에서 일하는 22세의 영국 청년 마쿠스 허치슨스가 워너크라이 동작을 중지시키는 ‘킬 스위치’ 기능을 발견해 작동시킨 것이 영향을 줬다. 이후 킬 스위치의 영향을 받지 않는 변종 워너크라이 악성코드들이 등장했지만, 전 세계 기관, 기업들이 대응할 수 있는 시간을 벌어줬다는 분석이다.

피해액 7만달러…범죄 동기 아리송

전 세계를 대상으로 발생한 이번 사건의 책임과 해커들의 의도, 그리고 배후를 놓고 의견이 분분하다. 통상적으로 해커들은 돈을 갈취하기 위해 랜섬웨어를 유포한다. 이에 따라 사건 초기 일부 외신들은 해커들이 러시아 범죄조직과 손잡고 이번 사건을 일으켰을 수 있다고 관측했다. 그러나 이번 사건으로 해커들이 갈취한 금액이 생각보다 크지 않은 것으로 알려지고 있다.

한국어를 지원하는 워너크립터(위), 워너크립터 감염시 바탕화면(아래) [출처: 이스트 시큐리티]

톰 보서트 미국 백악관 국토안보보좌관은 5월 15일(현지시간) 백악관 정례 브리핑에서 워너크라이 공격으로 약 7만 달러(약 7800만 원)가 공격자에게 전달됐다고 밝혔다. 150개국에서 30만 건의 공격이 발생한 것을 감안하면 해커들이 받은 돈이 미미한 수준이다. 이는 해커들이 돈을 보내도 암호화를 해제해 주지 않았기 때문인 것으로 알려지고 있다. 일부 보안 전문가들은 애초 해커들이 풀어줄 생각을 하지 않고 암호화를 했다는 분석도 하고 있다. 그런데 이는 돈을 갈취하는 랜섬웨어 공격에서는 이해하기 어려운 상황이다. 

한 보안업체 관계자는 “해커들이 암호화한 데이터를 풀어줄 수 있다는 점을 보여주거나 실제로 사례를 만들어야 피해자들이 돈을 지불한다”며 “때문에 랜섬웨어 공격자들은 일부 데이터를 풀어주거나 풀어준 사례를 만든다. 데이터를 풀어주지 않는 것으로 볼 때 돈을 벌기 위한 공격인지 의심스럽다”고 말했다.

그렇다고 이번 사건을 장난으로 보기에는 무리가 있다. 한 보안 관계자는 “이번 공격은 규모나 정교함으로 볼 때 개인의 소행이 아니라 해커들이 조직적으로 움직인 것으로 보인다”며 “영국 보안 전문가가 킬 스위치를 작동시키자 바로 영향을 받지 않는 변종을 퍼트리는 등 대응 상황을 보면서 작전처럼 공격을 했다”고 지적했다.

이에 따라 전 세계적으로 혼란을 주거나 해킹 기술을 과시하거나 사이버무기를 테스트한 것이 아니냐는 주장이 나오고 있다.

NSA 책임 공방과 북한 배후설

이와 관련해 미국 국가안보국(NSA) 해킹 도구에 대한 의혹이 제기되고 있다. 지난해 8월 ‘섀도우 브로커스(Shadow Brokers)’라는 해킹조직이 미국 NSA가 사용하는 해킹 도구 중 일부를 공개하고 이를 경매를 통해 판매하겠다고 주장해 논란이 있었다. 

그런데 워너크라이 사건을 전후해 ‘스팸테크’라는 신생 해커조직이 트위터 등을 통해 자신들이 이번 사건을 일으켰으며 섀도우 브로커스 해커들이 스팸테크에 참여하고 있다고 주장하고 있다. 미국 NSA로부터 빼낸 도구와 정보를 이번 공격에 사용했다는 것이다.

이와 관련해 푸틴 러시아 대통령은 15일 중국에서 열린 일대일로 행사에 참석해 이번 사건에 “러시아는 절대 연관되지 않았다”며 미국 정보기관들이 관련됐을 수 있다는 의혹을 제기했다.

또 MS의 브레드 스미스 최고법률책임자(CLO)는 5월 14일(현지시간) 성명을 내고 미국 NSA가 사용해온 해킹 프로그램이 해커들에 의해 유출되면서 사용자들이 피해를 입고 있다고 주장했다.

일각에서는 미국 NSA가 윈도 취약점을 확인하도고 이를 MS에 알려주거나 보안 조치를 하지 않고 오히려 사이버무기로 사용하려 했다고 비판하고 있다. 반면, 톰 보서트 미국 백악관 국토안보보좌관은 랜섬웨어가 “미국 NSA에 의해 개발된 것이 아니다”라며 “범죄자나 외국에 의해 개발된 것일 수 있다”고 부인했다.

이같이 의견이 분분한 가운데 북한 배후설까지 나오면서 혼란이 가중되고 있다. 구글 닐 메타 연구원은 워너크라이 코드를 분석할 결과 라자루스 그룹이 사용하는 악성코드와 같은 부분이 발견됐다고 밝혔다. 이어 러시아 카스퍼스키랩, 미국 시만텍, 아랍에미리트연합(UAE) 코매테크놀로지 등도 워너크라이 악성코드와 라자루스가 사용한 악성코드가 논리구조, 소스 등에 유사점이 있다고 지적했다.

해커집단인 라자루스 그룹은 2011년부터 운영된 것으로 추정되고 있으며, 2014년 소니 픽처스 해킹 사건, 2016년 방글라데시 중앙은행 해킹 등을 주도한 것으로 알려져 있다. 미국 FBI와 보안 전문가들은 라자루스가 북한이 만든 해커 조직이거나 북한과 관련이 있는 조직으로 보고 있다.

이에 따라 이번 사건을 북한이 일으킨 것인지에 대해 의견이 엇갈리고 있다. 한 보안전문가는 “해커들이 제각각 고유한 논리 구조와 방식을 사용하기 때문에 워너크라이 해커들이 북한 라자루스 그룹과 관련됐을 가능성이 높다”고 말했다. 반면 다른 보안 전문가는 “해커들이 조사에 혼란을 주기 위해 일부러 코드를 가져다 사용했을 수 있기 때문에 유사성만으로 북한 소행이라고 단정하기는 어렵다”며 “면밀한 조사가 진행돼야 한다”고 주장했다.

6월 2차 공격 예고에 긴장

이런 상황에서 섀도우 브로커스는 워너크라이 공격이 자신들의 소행이라며 6월 2차 공격을 예고했다. 해커들은 ‘윈도10’ 등을 겨냥한 공격을 할 것이며 러시아, 중국, 이란, 북한 등의 핵과 미사일 관련 정보도 공개했다고 주장했다. 일각에서는 이 같은 예고가 배후를 감추기 위한 것으로 분석하고 있다. 해커들이 공개적으로 사이버공격을 예고한 만큼 당분간 사이버위협으로 인한 긴장이 높아질 것으로 보인다. 

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제50호(2017년 6월) 기사입니다>

 

뉴스