5월14일 업계에 따르면 유럽과 아시아를 비롯한 약 100개국에서 사상 최대의 동시다발 랜섬웨어 사이버 공격이 발생했다.
정부기관과 병원, 기업 등의 업무가 마비되거나 차질이 빚어진 곳만 99개국서 7만5,000건이 넘는다. 러시아, 영국, 우크라이나, 대만 등이 주요 공격 대상이 됐지만, 한국에서도 서울의 한 대학병원에서 감염 징후가 나타나기도 했다.
랜섬웨어란 컴퓨터의 파일들을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 일종의 해킹 방식이다. 대게는 이메일에 첨부된 파일을 통해 유포되지만, 이번 랜섬웨어는 네트워크를 통해 유포되는 워너크립트(WannaCrypt), 일명 ‘워너크라이(WannaCry)’의 변종이다. 첨부 파일을 열지 않더라도 인터넷에 연결만 돼 있다면 감염되는 방식으로 급속히 퍼진다.
워너크라이 랜섬웨어는 윈도가 설치된 PC와 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드)이다. PC나 서버가 감염되면 접근 가능한 임의의 IP를 스캔해서 랜섬웨어 악성코드를 확산시킨다.
윈도 운영체제 SMBv2원격코드 실행 취약점 패치가 적용되지 않은 보안이 취약한 PC로 전파되고 있다. 감염되면 PC내 문서 파일과 압축파일, DB파일 등을 암호화해 사용할 수 없게 된다. 공격자들은 감염된 파일을 푸는 대가로 비트코인으로 금전을 요구하는 내용의 다국어(한글 포함)로 작성된 협박 메시지(랜섬노트)를 띄운다. 암호화된 데이터를 복호화하는 대가로 300달러 가치의 비트코인을 요구한다.
당장은 보안전문가들이 랜섬웨어를 분석해 확산을 중단시키는 ‘킬 스위치’를 발견, 이를 작동시키면서 확산세가 주춤해졌다. 하지만 이미 감염된 시스템이 치료되는 것은 아닌데다 변종 바이러스가 추가로 유포될 수 있어 완전히 안심할 수 없는 상황이다.
국내 보안업계 한 관계자는 “이번 랜섬웨어의 경우 전 세계적으로 많이 퍼뜨려져서 상황이 악화 된 것 일뿐, 하루에도 수많은 변종 랜섬웨어들이 생겨나고 있다”면서 “랜섬웨어 공격을 막을 수 있는 방법은 사실상 없다고 봐야한다”고 우려했다.
전문가들은 랜섬웨어 공격을 100% 막을 순 없지만 어느 정도 대비는 할 수 있다고 조언했다. 주요 백신들(노턴·어베스트·V3·알약 등)에 적용된 ‘행위기반 차단’ 기술을 통해서다. 이 기술은 쉽게 말해 랜섬웨어 공격을 대비해 미리 ‘덫’을 놓는 방식이다. 하루에도 수없이 모양과 형태를 바꿔 공격해오는 랜섬웨어들의 최종 목적이 ‘파일 암호화’에 있다는 점에 착안, 가상으로 사용자 컴퓨터에 폴더와 다양한 형식의 파일들을 가상으로 만들어 놓고 공격을 기다리는 것이다. 해커가 이 가상 파일의 암호화를 시도하면 백신이 이를 감지해 모든 악성 행위를 차단 시킨다. 보안업계 관계자는 “행위기반 차단 기술도 랜섬웨어 침투를 막는 게 아닌, 침투 한 후에 피해를 최소화하는 수준”이라고 설명했다.
한편 미국·독일·영국·프랑스·이탈리아·캐나다·일본 등 주요 7개국(G7)은 점증하는 사이버 범죄의 위협에 공동 대처하기로 의견을 모았다. 지난 13일 재무 장관들은 이탈리아 남부 바리에서 열린 G7 재무장관회의 마지막 날 회동의 상당 부분을 사이버 범죄에 맞서기 위한 국제 협력 강화 방안을 논의하는 데 할애하고, 공동 성명을 채택했다. 이들은 성명에서 “사이버 공격으로 세계 경제에 미치는 위협이 커지고 있다”며 “이에 대한 범 세계적인 적절한 정책 대응이 필요하다”고 밝혔다.
예방대책
인터넷진흥원은 랜섬웨어 피해를 예방하기 위해서는 가장 먼저 PC를 켜기 전에 네트워크를 단절한 후, 파일공유 기능을 해제해야한다고 설명했다. 윈도우8.1 이상 PC에서는 '제어판-프로그램-윈도 기능 설정 또는 해제-SMB1.0/CIFS 파일 공유 지원 체크해제' 후 시스템을 재시작해야 한다.
네트워크 연결 후에는 백신 최신 업데이트를 적용하고, 악성코드 감염여부를 검사해야 한다. 또한 윈도 XP, 7, 8, 10을 이용하는 PC나 서버(2003, 2008 등)에 대해 최신 보안 업데이트를 적용해야 한다. 인터넷에 오픈된 윈도우 PC나 서버는 최신 패치를 적용하는 것이 좋다고 했다.