구형 윈도 사용자 파일 무더기 암호화...전 세계 13만건 피해사례
복구 조건으로 "300∼600달러어치 비트코인 보내라"
전 세계 100여개국에서 대규모 랜섬웨어(Ransomware) 공격이 12일(현지시간) 발생했다. 랜섬웨어란 컴퓨터에 저장된 문서나 그림 파일 등을 열리지 않도록 만든 뒤 해독용 열쇠 프로그램을 전송하는 것을 조건으로 금품을 요구하는 것을 말한다. 컴퓨터 문서를 볼모로 돈을 요구한다고 해서 랜섬(Ransom, 인질)이라는 단어가 붙었다.
이번 랜섬웨어 공격은 12일 밤 영국 국민보건서비스(NHS) 산하 10여개 병원의 컴퓨터와 전화교환시스템이 갑자기 작동을 멈추고 응급 환자 진료 외의 진료가 중단되면서 알려졌다. 이후 유럽과 미국, 중남미 등 세계 100여 개국에서 유사한 공격이 확인됐다. 유럽연합(EU) 소속의 경찰기구인 유로폴 이번 랜섬웨어 공격에 대해 “역사상 전례가 없을 정도의 수준(unprecedented level)”이라고 평가했다.
랜섬웨어의 감염 상황을 실시간으로 집계 중인 맬웨어테크닷컴 사이트에 따르면 한국시간 13일 오후 8시 40분까지 감염 사례는 13만7115건이었다. 이 시간 기준으로 랜섬웨어에 감염된 컴퓨터 중 온라인으로 활동을 계속하는 것으로 보이는 사례는 분당 1226건이었다.
◆ 랜섬웨어, 러시아, 영국, 우크라이나, 대만 등에서 무차별 공격 확인…韓 15일이 관건
이번 랜섬웨어는 러시아, 영국, 우크라이나, 대만 등이 주요 공격 대상이었다. 러시아 인테르팍스 통신에 따르면, 러시아 내무부 컴퓨터 약 1000대가 감염된 것으로 파악됐다. 중국 신화통신은 중국 내 일부 중학교와 대학교가 공격을 당했다고 보도했다.
스페인의 거대 통신회사 텔레포니카, 미국 운송업체 페덱스, 프랑스 르노, 영국의 국민보건서비스(NHS) 등의 컴퓨터 시스템에 오류가 발생했다.
페덱스는 “컴퓨터의 윈도 운영체제에 악성 소프트웨어 감염으로 문제가 발생했다”면서 최대한 신속하게 복구하려 노력 중”이라고 발표했다. 프랑스 자동차 제조사 르노 대변인도 “이번 공격으로 영향을 받았다”면서 “(이번 공격에)대응하는 등 관련 작업을 진행하고 있다”고 설명했다.
이번 감염 사례는 모든 대륙에서 발견됐다. 특히 러시아·영국·유럽·인도·미국·대만 등에 많았다. 일본·중국 등에서도 사례가 발견됐다. 윤광택 시만텍코리아 상무는 “한국에서도 이미 감염 사례가 보고되고 있다”라며 “주말이 끝나고 기업들이 업무를 시작하는 월요일(15일)에 피해가 급증할 가능성이 있다”고 말했다.
보안업계 관계자는 “국내 병원과 기업에서도 랜섬웨어 감염 의심사례가 발견되고 있다”며 “자신의 컴퓨터 보안패치 상황을 점검할 필요가 있다”고 말했다.
◆ 워너크립트 랜섬웨어는 무엇?…인터넷 연결만으로 감염
이번 랜섬웨어 공격은 ‘워너크립트(WannaCrypt)’ 방식으로 이뤄졌다. 일명 ‘워너크라이(WannaCry)’라고도 불리는 사이버공격 기술은 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고드는 네트워크 웜(worm·자기 자신을 복제하면서 통신망으로 확산하는 컴퓨터 바이러스)이다. 인터넷에 연결만 돼 있다면 감염되는 방식으로 급속히 확산된다. 보안 전문가들은 “이메일을 통해 유포되는 대다수 랜섬웨어와 달리 이번 랜섬웨어는 인터넷에 접속만 해도 감염이 되는 방식이라 피해가 크다”고 입을 모았다.
워나크립트 랜섬웨어는 윈도 운영체제 ‘SMBv2’ 원격코드실행 취약점에 대한 패치를 적용하지 않아 보안이 취약한 PC로 전파되며, PC 내 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화해 사용할 수 없게 만든다.
워싱턴포스트의 보도에 따르면, 미국 국가안보국(NSA)은 MS 윈도에서 해킹 방법을 발견해 이를 첩보에 활용해오다 지난해 8월 해킹 방법이 유출된 것을 확인했다. NSA는 즉각 MS 측에 해킹 공격 가능성을 알렸고 MS는 지난 3월 워나크립트의 보안 패치를 제공했다. 하지만, 이 보안 패치를 업데이트하지 않은 이용자들이 많아 피해가 컸던 것으로 추정된다. MS는 피해가 잇따르자 추가 보안 패치 업데이트를 배포하고 있다.
윈도 10 버전은 자동으로 보안 패치가 업데이트되기 때문에 큰 문제가 없지만, 윈도 7 이하 버전은 설정에 따라 업데이트가 제때 이뤄지 않는다. 윈도 옛 버전을 사용하는 기업 PC의 경우 무차별 감염이 우려된다.
실제로 이번 공격자들은 보안이 상대적으로 취약한 병원을 노렸다. 기업 가운데는 중요한 고객 정보가 많은 배송업체와 대형 통신사들이 주요 타깃이 됐다. 공격자들은 파일을 복구하는 조건으로 300∼600달러(약 34만∼68만원)에 해당하는 비트코인을 요구하는 것으로 전해졌다.
◆ KISA, “보안패치 최신 업데이트 반드시 필요...피해 발생하면 118상담센터”
전세계 주요 국가에서 사이버공격이 일어나면서 우리 정부도 이용자들에게 최신 보안 업데이트를 당부했다. 미래창조과학부와 한국인터넷진흥원(KISA)은 “윈도 취약점을 악용한 랜섬웨어 공격이 최근 전 세계적으로 보고되고 있다”며 “피해 예방을 위해 국내 이용자들도 최신 보안 업데이트가 필요하다”고 밝혔다.
랜섬웨어의 피해를 막기 위해서는 윈도 옛 버전 이용자들은 업데이트 여부를 확인한 뒤 최신 버전으로 업데이트해야 한다. 업데이트를 위해서는 기본 메뉴의 제어판에서 ‘윈도 업데이트’를 실행하면 된다.
특히 MS가 보안 업데이트 지원을 중단한 윈도 비스타 이하 버전 이용자는 윈도 7 이상 운영체제로 업그레이드를 해야 감염을 막을 수 있다.
한국인터넷진흥원 관계자는 “기업 또는 개인은 랜섬웨어 공격으로 피해를 입지 않도록 출처가 불분명한 전자우편 열람은 주의하고, 사용 중인 윈도 운영체제는 윈도 7 이상으로 버전 업그레이드 및 최신 보안패치를 반드시 적용해야 한다"면서 “랜섬웨어에 감염되는 등 피해가 발생한 경우 한국인터넷진흥원 홈페이지나 118상담센터(국번없이 118, 110)로 즉시 신고해야 한다”고 말했다.