세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[워너크라이 랜섬웨어 사태] 어떻게 진행되고 있으며 누가 배후에 있는가?
  |  입력 : 2017-05-14 20:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세계 여러 국가의 반응 정리...배후 세력은 아직 없어 보여
공격 성공케 한 가장 큰 요인은 업데이트 ‘귀차니즘’


[보안뉴스 문가용 기자] 영국의 병원에서부터 알려진 워너크라이 랜섬웨어 공격. 많은 국가들이 이 공격을 받아 어쩔 줄을 모르고 있다. 아직도 데이터를 원상 복구시켰다는 보고는 단 한 군데도 나오지 않고 있는 가운데, 현재 다른 나라 분위기는 어떨까? 누가 과연 이 어마어마한 일을 저지른 걸까?

▲ 귀차니즘은 세계 공통[ⓒ iclickart]


현재까지의 각국 상황
1. 제일 먼저 현지 시각 기준으로 지난 주 금요일 영국 병원 몇 군데에서 랜섬웨어 공격이 일어났고, 현재 매체들 중 일부가 이를 뉴스로 내보냈다. 하지만 조사를 더 진행해보니 영국 병원에서와 같은 공격이 전 세계적으로 진행되고 있음을 파악할 수 있었다.

2. 그 즈음하여 랜섬웨어의 이름이 워너크라이(WannaCry)로 정해졌다. 워너 디크립터(Wanna Decryptor)를 누군가 줄여 부르기 시작한 것이다. 분석 결과 워너크라이는 하드드라이브에 있는 모든 데이터를 암호화했으며, 피해자들에게 약 30만원에서 60만원 정도를 요구했다.

3. 하루가 지났는데도 그 어떤 해킹 단체들도 ‘내가 그랬다’고 나서지 않았다. 해커들은 보통 과시욕이 넘치기 때문에 이렇게 세상을 떠들썩하게 만든 사건을 일으킨 뒤에는 ‘내가 그랬다’고 자랑스레 밝히기 마련이다. 유럽의 사이버범죄센터는 이 사건에 대해 “유례없는 규모의 범죄로, 복잡하고 광범위한 국제 수사 공조가 필요해 보인다”고 발표했다.

4. 74개국이 감염되었다는 소식이 나오기 시작했다. 기업에 따라 99, 104개국이라고 발표하는 곳도 있었다. 말 그래도 전 세계가 패닉 상태에 빠진 것이다. 그러다가 토요일 밤에서 일요일로 넘어가는 시점부터 이른바 ‘킬스위치’에 대한 소식이 전파되기 시작했다. 멀웨어테크(MalwareTech)라는 22살 보안 전문가가 워너크라이 공격에 사용된 일부 도메인을 등록시키니 감염이 줄어들었던 것이다. 하지만 이는 임시방편일뿐이라고 멀웨어테크 자신도 밝혔다.

5. MS도 ‘공식 지원이 끝난’ 윈도우 버전에 대한 패치를 배포하기 시작했다. 공식 지원이 끝난 소프트웨어에 대한 패치를 개발해 무료로 배포하는 건 극히 드문 경우다. 사실상 이 패치를 빨리 적용시키는 것이 가장 확실하고 유일한 워너크라이 대처법이다.

6. 이번 공격으로 큰 피해를 입은 국가는 러시아와 인도라고 알려져 있다. 이 두 나라의 공통점은 공식 지원이 끝난 윈도우 XP가 여전히 광범위하게 사용되고 있다는 것이다. 인도의 국가침해대응센터(ICERT)는 한국의 KISA처럼 ‘밤샘’ 근무를 시작하며 상황을 지켜봤고, 컴퓨터 사용자들에게 최신 윈도우 패치를 얼른 적용시키라고 권고했다. 하지만 러시아 정부는 문제가 전부 해결됐다고 발표했다. 러시아 경찰을 지휘하는 러시아 내무부는 “지엽적인 문제를 겪었을 뿐이며 어떤 정보도 침해되지 않았다”고 했으며, 보건복지부에 해당하는 부서도 “대부분 상황 종료”됐다고 발표했다.

7. 브라질에서는 사회 보장 시스템에 문제가 생겨버렸다. 관련 기관은 컴퓨터를 전부 오프라인으로 만들고, 대민 관련 업무 창구 역시 중단시켰다. 국가에서 운영하는 석유회사인 페트로브라스(Petrobras)와 브라질의 외무부 역시 시스템을 인터넷으로부터 분리시켰다. 페트로브라스와 외무부는 공격을 받아서가 아니라 감염을 예방하기 위해 그와 같은 조치를 취했다고 한다. 곧이어 법정 시스템들도 전부 셧다운 됐다.

8. 독일의 철도공사도 당했다. 철도공사의 발표에 따르면 몇몇 기차역에서 기차의 출발과 도착을 알려주는 화면 출력 시스템이 감염되었으나, 기차 운행 자체와 관련된 시스템에는 별 다른 이상이 없었다고 한다. 하지만 철도공사는 출발 시간과 도착 시간을 알 수가 없어 혼란을 겪은 여행객들을 돕기 위해 직원들을 해당 역들에 추가 파견하는 정도의 조치를 취했다.

9. 프랑스의 유명 자동차 제조사인 리놀트(Renault)가 슬로베니아에서 가동 중인 조립 공장에도 워너크라이 공격이 발견되었고, 생산은 중단되었다. 슬로베니아의 뉴스에 따르면 이 공장은 랜섬웨어 확산을 막기 위해 시스템을 셧다운 시켰다고 한다.

10. 스페인의 통신사인 텔레포니카(Telefonica) 역시 워너크라이에 당했다. 이 사실은 영국의 NHS 계열 병원들이 당한 것과 비슷한 시점에 보도가 되었다. 노르웨이에서는 축구 경기의 티케팅 시스템이 마비됐다. 피해를 본 곳은 IF Odd라는 곳으로 132년이나 된 축구 클럽이다.

11. 일본의 사이버 보안 전문가인 윌리엄 사이토(William Saito)는 “많은 기업들이 감염된 사실을 모르고 있을 뿐”이라고 말했다. “월요일, 출근을 시작하면 더 많은 감염 보고가 쏟아질 것으로 봅니다.” 월요일이 두려운 건 한국도 마찬가지로, 많은 전문가들이 SNS 등을 통해 “월요일이 진짜 비상사태일 것”이라고 말하고 있다. 중국은 일부 윈도우 사용자들이 감염됐다고 밝혔다. 중국 국영통신사인 신화통신에 따르면 일부 고등학교와 대학 기관이 워너크라이에 감염되었다.

12. 유독 캐나다에 대한 피해 사례가 보고되지 않았다. ‘캐나다에 어떤 비결이 있길래?’라고 전문가들은 궁금해 할 수밖에 없었다. 캐나다 라이어슨 대학(Ryerson University)의 정보기술관리 학과의 아티 마샤탄(Atty Mashatan) 교수는 “단순 운”이라고 일축한다. 그러면서 “영국과 캐나다 간의 이메일 교환 등의 트래픽은 이상하게 낮은 편”이라며 “그런 게 일부 도움이 되지 않았을까 한다”고 말했다. 사건이 처음 발견된 것이 영국의 병원들이기 때문에 그쪽이 진원지로 이해되고 있는 분위기를 볼 수 있기도 하다.

누가 그랬어? 북한이야?
워너크라이라는 랜섬웨어 공격이 발생하면서 ‘전 세계 수십개 국가 동시 감염’이라던가 ‘역대급 규모’와 같은 수식어가 등장하자 헬스클럽을 운영하고 있는 한 지인은 “누가 그랬어? 북한이야?”를 제일 먼저 물어왔다. 사건이 일어나면 범인과 동기가 가장 궁금하기 마련이다. 특히 ‘전쟁 중’인 우리나라에서는 말이다.

하지만 아직까지 뚜렷한 용의자가 등장하지는 않고 있다. 게다가 수사가 비교적 쉬운(고로 용의자의 범위를 좁히기에 편한) ‘표적형 공격 같지는 않다’는 것이 보안 업계의 중론이 되어가고 있다. 별로 사이버 공격에 조예가 깊지 못한 누군가가 운 좋게 이런 사태를 불러일으켰다는 것이다. 그 근거로는 1) 당한 국가나 기관에 일관성이 없고, 2) 요구 금액이 무척 낮은 편이라는 것이다.

IS와 같은 거대한 배후 세력이 나타나지 않았기 때문에 현재는 NSA가 가장 큰 ‘욕’을 먹고 있는 상황이다. 워너크라이가 NSA에서 유출된 것으로 보이는 문건을 통해 공개된 취약점을 익스플로잇하기 때문이다. “치명적인 취약점을 발견했으면 진작 알렸어야 할 것 아니냐”라든가 “애초에 왜 그런 취약점을 익스플로잇하고 있었는가?”라는 비난이 재탕되고 있다.

하지만 첫 번째 비난은 온당치 못하다. 해당 취약점은 이미 MS의 3월 패치를 통해 해결된 것이기 때문이다. 지원이 종료된 윈도우는 빨리 업그레이드 해야 한다는 뉴스와 권고도 수없이 나왔다. NSA가 이 취약점을 미리 밝혔어도 지금과 같은 사태가 벌어졌을 가능성이 높다. 이번 사건의 가장 거대한 배후 세력은 전 세계 컴퓨터 사용자 사이에 만연한 패치와 업데이트에 대한 ‘귀차니즘’이다.

여기까지 말하자 그 지인은 “랜섬웨어 범인들이나 헬스클럽 운영이나 동일하다”고 말했다. “우리도 사실 귀차니즘 때문에 먹고 사는 거잖아요. 우리 규모에 딱 맞는 회원들만 모집하면 손해를 볼 수밖에 없습니다. 수용이 가능한 수보다 훨씬 더 많은 회원들을 불러모아야 수익이 남지요. 그게 가능한 건 등록만 해놓고 귀찮아서 오지 않는 회원들 때문이고요.”

지나친 안일함 때문에 누군가는 더 건강할 기회를 잃고, 소중한 데이터를 잃는데 누군가는 돈을 번다. 워너크라이의 대처 방법은 대부분 사이버 보안 사건이 그러하듯 매우 간단하고 기초적이다. “이미 한참 전에 나온 업데이트를 귀찮아하지 말고 당장 적용할 것.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)