랜섬웨어 ‘워나크라이’ 감염 시 컴퓨터에 뜨는 화면. 시만텍 제공
‘주말에 쉬고 월요일(15일) 출근한 경우, 컴퓨터를 켜기 전에 인터넷을 끊어라. 인터넷과 분리된 상태로 컴퓨터를 켜 윈도 운영체제의 파일 공유 기능을 해제한 다음 다시 인터넷을 연결하고 마이크로소프트(MS) 업데이트 누리집에 접속해 보안패치를 받아 설치하라.’
전세계 100여개 나라의 병원과 기업 등의 컴퓨터가 동시다발적으로 랜섬웨어 ‘워나크라이(WannaCry)’ 공격을 받아 일부는 먹통이 되는 피해까지 발생한 가운데, 국내에서도 피해 사례가 잇따라 신고되고 있다. 한국인터넷진흥원(KISA)은 14일 “6곳이 문의해왔고, 3곳은 감염된 것으로 확인돼 기술지원을 하고 있다. 이번 공격이 우리나라 시간으로 주말에 발생한 것이라 월요일에 피해가 확산될 가능성이 크다”고 밝혔다. 미국의 세계적인 보안업체인 시만텍도 “워나크라이 공격의 확산 가능성”을 경고했다.
인터넷진흥원은 이번 랜섬웨어 공격을 피하기 위해서는 ‘에스엠비(SMB) 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’(한국인터넷진흥원 보호나라 누리집(www.boho.or.kr)에 올려져 있음)에 따라 월요일 출근해 컴퓨터를 사용할 때는 켜기 전에 인터넷부터 끊을 것을 권했다. 한국엠에스는 “인터넷 선을 분리한 상태로 컴퓨터를 켜 제어판, 프로그램, 윈도 기능 설정 또는 해제를 차례로 선택한 뒤 ‘SMB1.0/CIFS 파일 공유 지원’ 체크를 해제하고 컴퓨터를 재부팅하면 된다”고 설명했다.
이후 다시 인터넷 선을 연결한 뒤
엠에스 업데이트 카탈로그 누리집(www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에 접속해 보안패치를 내려받아 설치하면 이번 공격을 피할 수 있다. 엠에스는 윈도 파일 공유 기능의 보안 취약점을 악용한 랜섬웨어 공격이 전세계에서 동시다발적으로 발생하자, ‘윈도XP’ 등 보안 지원을 중단했던 옛 윈도에 대해서도 보안패치 프로그램을 배포했다.
하지만 이 방법은 워나크라이만 막을 수 있을 뿐이다. 인터넷진흥원은 “해커가 워나크라이 변종을 만들어 추가 공격에 나설 수 있으니 가능하면 윈도를 최신 버전으로 바꾸고, 랜섬웨어에 감염된 것으로 의심되면 바로 신고(국번없이 118이나 110번)하거나 문의해줄 것”을 당부했다.
랜섬웨어란 컴퓨터에 저장된 자료 파일을 암호화해 사용할 수 없게 만든 뒤 요구를 들어주면 암호화한 것을 풀어주겠다고 하는 신종 공격 방식이다. 주로 기업 등으로부터 돈을 뜯어내려는 목적으로 활용되고 있다. 이번에도 컴퓨터에 저장된 데이터 파일을 암호화한 뒤 300달러를 비트코인으로 보내라고 요구했다. 3일 내에 지불하지 않으면 금액을 두배로 올리고, 7일이 지나도록 보내지 않으면 암호화된 파일은 삭제된다고 으름장을 놓고 있다. 기존 램섬웨어 공격은 대부분 이메일 첨부파일에 악성코드를 숨겨 배포하는 방식이었던데 비해, 워나크라이는 윈도 파일 공유 기능의 보안 취약점을 악용해 네트워크를 통해 유포되도록 했다. 인터넷에 연결만 돼 있기만 해도 감염된다.
컴퓨터 보안 업계에선 지난해 미국 국가안보국(NSA)이 개발한 해킹 프로그램을 훔쳤다고 주장하던 ‘섀도 브로커스’(Shadow Brokers)란 해커 단체가 이번 공격을 주도한 것 같다는 분석도 나온다. 영국 서리대학의 앨런 우드워드 교수는 “워나크라이에는 미국 정보기관에서 유출된 해킹도구가 사용됐다”고 말했다. 미국 국가안보국의 전방위 도청·사찰 의혹을 폭로했던 에드워드 스노든은 이번 랜섬웨어 공격 사태와 관련해 트위터에 올린 글에서 “미국 국가안보국이 윈도의 보안 취약점 발견 즉시 공개했더라면 이번 사태는 발생하지 않았을 것”이라고 지적했다.
컴퓨터 보안업체인 어베스트 등에 따르면, 이번 랜섬웨어 공격은 100여개 나라에서 동시다발적으로 발생해 역대 최대 규모로 꼽히고 있다. 신고된 피해사례만도 7만5천건이 넘고, 일부 나라에서는 정부기관·병원·기업 등의 컴퓨터가 감염돼 업무에 차질이 빚어지기도 했다.
나라별로는 러시아·영국·우크라이나·대만 등의 피해가 컸다. 러시아에선 내무부 컴퓨터 1천여대가 감염됐고, 언론사와 수사기관들도 공격을 당했다. 한 이통사는 이번 공격으로 콜센터 등의 가동이 일시 중단되기도 했다. 영국에선 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직) 산하 40여개 병원이 환자 기록 파일을 열지 못해 진료에 차질이 빚어졌다.