‘워너크라이, 워너크라이, 워너크라이.…’
마이크로소프트(MS)의 윈도(Window)7 기술 지원 종료 소식에 수없이 회자된 단어다. 많은 기사에 윈도7만큼이나 자주 언급되며 사안의 심각성을 강조하는 데 쓰였다. 워너크라이가 무엇이기에 이렇게 끊임없이 대중의 입방아에 오르내리는 것일까?
워너크라이는 ‘워너크립트'로 알려진 랜섬웨어의 변종이다. MS 윈도 운영체제(OS)의 보안 취약점을 파고들어 PC를 감염시킨다. 네트워크의 특징을 이용해 좀비 PC 양산을 급속도로 진행, 피해를 대규모로 키우는 해킹 수법이다.
보안 업계는 윈도7 이슈에 앞서 랜섬웨어를 새해 보안 이슈로 주목하기도 했다. 랜섬웨어 공격이 지능형지속공격(APT) 형태로 발전하면서 과거보다 위협을 키운다는 설명이다. APT 공격은 해커가 미리 점친 표적 대상의 정보를 모아 약점을 파악한 뒤 지능적으로 공격하는 것을 말한다.
IT조선은 워너크라이를 포함한 랜섬웨어의 여러 범행이 유명세를 떨치는 이유를 살피고자 사이버보안 전문가인 문종현 이스트시큐리티 이사를 찾았다. 문종현 이사는 자사 시큐리티대응센터(ESRC)에서 다양한 사이버 위협 대응 방안을 모색하는 센터장이기도 하다.
랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어이다. 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤 금전을 요구하는 악성 프로그램이다.
랜섬웨어 등장은 오래됐지만 여전히 곳곳에서 랜섬웨어 피해가 발생한다. 랜섬웨어 대응 방안이 없기보다는 연일 새로운 모습으로 랜섬웨어가 변모하는 탓이다.
대중에게는 워너크라이가 랜섬웨어의 대명사로 읽힌다. 하지만 2019년만 해도 ▲소디노키비 ▲넴티 ▲스캐럽 ▲저먼와이퍼 ▲티플라워 ▲리락드 등 다수 신종・변종 랜섬웨어가 모습을 드러내 사이버상에서 위협을 가했다.
문종현 이스트시큐리티 이사는 "다양한 랜섬웨어 변종이 발생한다는 것은 그만큼 글로벌 사이버 범죄 시장이 활발하면서 견고하다는 근거일 수 있다"며 "창(해킹)과 방패(보안)의 싸움을 지속하다 보니 해커는 연일 새로운 랜섬웨어를 유포하고 보안 업체도 시시각각 발견되는 악성 프로그램을 탐지해 치료한다"고 평가했다.
한국랜섬웨어침해대응센터에 따르면 랜섬웨어 공격에 따른 유무형 금전 피해액은 2019년 1조8000억원에 달했다. 2015년 1090억원이던 피해 규모가 2016년(3000억원), 2017년(7000억원), 2018년(1조2000억원)으로 해를 거듭할수록 급증하는 추세다.
해외에서는 랜섬웨어로 한 업체에서만 5500만달러(637억1750만원)의 피해액이 발생하기도 했다. 스웨덴의 알루미늄 제조 기업 노르스크 하이드로 사례다. 이 회사는 2019년 3월 랜섬웨어 공격으로 공장이 마비되는 사태를 겪었다. 글로벌 최대 알루미늄 생산 업체의 휘청임에 당시 세계 알루미늄값이 1.2% 상승하는 결과까지 빚어졌다.
문종현 이사는 "랜섬웨어는 PC 사용자나 기업의 중요 정보를 암호화해 보상을 요구하다 보니 금전 피해로 이어지는 경우가 많다"며 "해커가 금전 요구 시 비트코인 등의 암호화폐를 요구한다. 추적을 회피하는 데 용이한 수익 모델을 갖췄다"고 설명했다.
한국에서는 어떤 랜섬웨어가 두드러진 활동을 보일까. 문 이사는 "과거에는 해커가 영어로 된 이메일을 보냈다. 이제는 유창한 한국어로 만든 가짜 이메일로 랜섬웨어를 뿌린다"며 "한국 맞춤형 이메일을 보내 PC를 감염시키는 사례가 꾸준히 발생한다"고 진단했다.
실제 채용 관련 메일을 사칭하거나 공공기관에서 보낸 이메일처럼 꾸며 PC 사용자를 현혹하는 사례가 발생한다는 게 문 이사의 설명이다. 일례로 2016년부터 한국에서 활동하는 랜섬웨어 ‘넴티’는 입사지원서, 상담・문의 등을 가장하거나 공정거래위원회를 사칭한 이메일을 보내 피해를 야기했다.
올해는 윈도7 지원 종료에 따른 변종 랜섬웨어의 공격이 보안 업계의 가장 큰 우려다. 워너크라이 사태처럼 피해를 키우지 않으려면 윈도10 등의 OS 업그레이드나 리눅스, 국산 OS로의 교체가 필수라는 게 업계 공통 의견이다.
문 이사는 "윈도7 지원이 종료했다고 해서 즉각적으로 피해를 보는 것은 아니다. 윈도7이든 윈도10이든 취약점은 언제든 발생할 수 있다. 다만 윈도10은 취약점이 발견될 시 보안 패치로 바로 업그레이드를 할 수 있지만 윈도7은 그럴 수 없기에 위험도가 높다"고 강조했다.
워너크라이는 2017년 5월 기술 지원이 종료됐던 윈도XP 취약점을 노려 세계 150개국 30만대에 달하는 PC에 피해를 줬다. 세계 정부 기관과 기업이 일시에 업무 중단 사태를 겪었다. 한국에서는 CGV 영화관의 일부 상영관 광고 서버가 랜섬웨어에 감염돼 영상 송출이 중단되는 사고가 벌어졌다.
워너크라이가 세계 곳곳에 피해를 미칠 수 있던 이유는 인터넷 연결만 돼 있어도 자동으로 감염되는 경로였기 때문이다. 이메일 첨부 파일 실행이나 특정 웹사이트 방문으로 PC를 감염시키는 보통의 랜섬웨어와 달랐다. 윈도의 파일 공유 네트워크 기능(SMB)의 취약점을 파고들면서 네트워크에 연결된 여러 PC를 일제히 감염시키는 웜(Worm) 특성까지 보여 피해를 삽시간에 키웠다.
실제 영국 국가보건의료서비스(NHS) 소속 병원은 2017년 워너크라이에 감염돼 수많은 환자의 건강 정보를 담보로 해커와 협상을 벌여야 했다. 향후 약물 주입기 등의 특정 의료 장비에 랜섬웨어가 침투하면 데이터가 아닌 환자의 생명을 담보로 해야 한다는 게 보안 업계 우려다.
문 이사는 "최신 OS 보안 업데이트를 항시 유지해야 한다. 신뢰할 수 있는 보안 제품을 사용해 악성 프로그램을 감시하고 치료하는 일이 필요하다"며 "랜섬웨어 외에도 한국에서는 문서 기반 위협이 많은 편이다. 사용하는 문서 작성 프로그램도 최신 버전으로 설치해 관리하면 좋다"고 조언했다.