글로벌 랜섬 쇼크 '워너크라이' 이모저모

전세계를 강타한 랜섬웨어 '워너크라이' 후폭풍이 상당하다. 5월 12일 영국에서 처음 발원한 것으로 추정되는 워너크라이는 단 3일 만에 150개국에서 20만 대에 달하는 PC를 감염시키며 세계를 랜섬 쇼크(Ransom Shock)에 빠트렸다. 무엇보다 인터넷에 접속만 돼 있어도 감염되는 새로운 특징 탓에 대응이 쉽지 않았던 것이 피해 규모를 키운 원인이었다. 16일 현재 적극적인 대응으로 감염은 소강 상태에 접어들었지만 변종의 2차 공격이 예견되는 만큼 안심은 이르다. 

랜섬웨어?

랜섬웨어는 몸값을 뜻하는 랜섬(Ransom)와 소프트웨어(Software)의 합성어다. 몸값을 요구하는 프로그램이란 뜻인데, 일반적으로 감염되면 사용자의 PC파일 대부분을 해독이 어려운 암호화(RSA-1024, AES-128) 방식으로 잠가 버린 후 암호를 풀어주는 대가로 비트코인 계좌를 통한 몸값을 요구한다. (워너크라이의 경우 평균 300달러) 만약 해커가 제시한 시간 내에 몸값이 지불하지 않으면 파일을 영영 복구 불가능한 상태로 만들기도 한다. 애초에 대단히 복잡한 암호를 사용하기 때문에 사실상 복호화 키 없이는 복구가 불가능하다. 몸값을 지불한다고 해도 반드시 키를 받는 것도 아니므로, 일단 랜섬웨어에 걸렸다면 포기하는 것이 상책이다. 일부 구형 랜섬웨어의 경우 복호화 키가 공개 돼 있거나, 노모어랜섬 같은 단체를 통해 작은 복구 가능성이 있지만 이마저도 여의치 않은 경우가 대다수다.

( 워너크라이 한국어 감염 화면 :: 사진=이스트시큐리티)

워너크라이 ?

워너크라이는 랜섬웨어 계의 신성이라고 할 수 있을 만큼 기존 랜섬웨어들과는 비교의 궤를 달리한다. 일반적인 랜섬웨어는 대부분 이메일 첨부 파일이나, 웹 사이트 접속시 플래시 취약점 등을 사용하기 때문에 사용자의 주의, 혹은 백신의 사전 탐지 도움을 받을 수 있다면 크게 위협적이지 않았다. 사실 이는 대다수 악성코드에도 해당되는 부분이다. 하지만 워너크라이의 경우 윈도우 운영체제의 파일 공유 프로토콜(SMB 1.0)의 취약점을 통해 스스로 네트워크를 타고 이동하며 무차별 공격을 가한 형태로, 운이 나쁘면 가만히 켜둔 PC에도 감염될 만큼 대응이 어려웠던 특징이 있다.

현재 워너크라이를 개발한 배후에는 북한의 해커 조직으로 알려진 '라자루스'가 용의 선상에 올라있다. 이는 워너크라이 초기 코드의 형태가 이 조직이 사용하는 코드 형태와 일치하는 부분이 발견됐기 때문인데, 그렇다고 단정 짓기는 어렵다. 단지 이러한 공격의 주요 발원지로 꼽혀왔던 러시아와 중국도 큰 피해를 보았기 때문에 북한이 더욱 부각되는 것이다. 만약 북한이 배후라면, 외화벌이의 한 수단으로 랜섬웨어를 유포했을 가능성이 점쳐진다.

어떤 컴퓨터가 감염되나?

모든 컴퓨터가 공격에 속수무책인 것은 아니다. 워너크라이의 기반 기술은 미국국가안전보장국(NSA)에서 유출된 해킹툴 중 하나인 '이터널블루'로 추정되는데, 해당 툴이 유출된 이후 3월, 마이크로소프트는 관련 허점을 막는 보안 패치를 배포한 바 있다. 즉 평소에 윈도우즈 자동 업데이트로 꾸준히 보안 패치를 수행해온 PC의 경우 이번 공격에서 안전했다는 의미다. 게다가 윈도우 10 이상은 아예 자동 업데이트를 운영체제에서 강제하기 때문에 워너크라이에서 상대적으로 자유로울 수 있었다.

이번 공격에서 가장 큰 피해를 본 것은 해당 업데이트를 진행하지 않은 윈도우 7,8 계열 PC와 보안 업그레이드 중단으로 허점이 그대로 노출돼 있던 윈도우 XP 계열 기기들이다. 특히 아직도 기업용 소프트웨어, 장비와의 호환성을 이유로 구형 XP를 그대로 사용하던 각국 공공 기관이나, 병원, 기업 등에서 큰 타격을 입었다. 병원의 경우 환자 진료 기록이 전부 암호화되며 수술과 진료에 큰 차질을 빚기도 했다. 러시아는 내무부 컴퓨터 약 1천대가 워너크라이에 감염되며 가장 큰 피해를 본 정부 기관으로 꼽힌다. 국내의 경우 16일 오전까지 공식적으로 10곳의 기업이 감염 사실을 알렸고, 개인 피해는 크지 않은 것으로 파악된다. 국내에서는 비교적 늦게 발생한데다, 적극적인 홍보를 통해 초동 대처가 잘 이뤄진 탓이다. 이밖에 워너크라이 오리지널 버전의 킬스위치(랜섬웨어 확산과 작동을 막는 여타의 방법을 의미)가 영국 보안 연구원에 의해 발견되며 확산이 더뎌진 이유도 있다.

(워너크립트 실행파일을 백신이 제거한 경우 노출되는 화면 = 이스트시큐리티)

어떻게 막아야 하나?

앞서 설명한 것처럼 윈도우즈의 최신 보안 업데이트를 상시 수행할 것을 권장한다. 특히 이번 워너크라이 랜섬웨어의 경우, 이미 공개된 보안 허점을 이용했고, 관련 보안 패치가 일찌감치 제공됐기 때문에 적어도 윈도우 7 이상의 PC에서는 그 피해가 작았어야 했다. XP계열의 경우 MS가 긴급히 배포한 보안 핫픽스를 다운받아 설치해야 한다.(KB4012598)

업데이트와 함께 공격 루트로 활용된 포트를 물리적으로 차단하는 방법도 있다. 이번 사태를 앞두고 한국인터넷진흥원(KISA)는 윈도우에 인바운드 규칙을 적용해 SMB 포트를 차단하는 방법을 공지했다. 아직 윈도우 업데이트가 진행되지 않은 PC의 경우 워너크라이를 막는 방법으로 사용할 수 있으나 굉장히 단편적인 대처법으로, 이미 280개 이상의 워너크라이 변종이 발견된 지금, 안전한 방법이라고 볼 수 없다. 만일 컴퓨터를 다루는 데 익숙하지 않다면, 5월 15일 발표된 이스트시큐리티와 안랩의 워너크라이 차단 툴을 활용하는 것을 추천한다. (링크참조) 이 역시 임시방편에 불과하므로, 꼭 윈도우즈 업데이트를 병행하도록 하자.

비록 워너크라이는 지금 그 세가 약해졌지만, 윈도우 네트워크 취약점을 활용한 이번 공격을 계기로 비슷한 방식의 랜섬웨어가 급증할 가능성이 농후하다. 만약 아직 알려지지 않은 취약점을 통한 공격이 들어온다면 이번보다 속수무책일 수 있으므로 중요한 자료는 항시 이중 삼중으로 백업하고, PC와 물리적으로 분리해 두는 것이 좋다. 

(사진=픽사베이)

복구할 수 있나?

다시 강조하지만, 사실상 복구가 어렵다. 일반적인 랜섬웨어의 경우 대가를 보내면 정말로 복구 키를 주는 경우도 있다. 해커들 역시 그런 신뢰 관계를 만들지 않는 이상, 랜섬웨어로 돈을 버는 게 어려워지기 때문이다. 그러나 그것은 초기 이야기고, 지금처럼 온갖 랜섬웨어가 판을 치는 지금은 돈만 받아 챙기는 랜섬웨어가 대부분이다. 특히 워너크라이의 경우 150개국에서 무차별 공격을 통해 일시에 수십만 대 감염PC를 확보했기 때문에 해커가 그 모든 해독키를 일일이 가지고 있으리라 보긴 어렵다. 실제로 이번 워너크라이 공격에는 대가를 지불하는 비트코인 계좌 3개가 공개됐는데, 여기에 한화로 약 4천700만원 가량의 몸값이 지불된 것으로 파악되고 있다. (비트코인은 거래 장부가 공개되기 때문에 돈이 오간 흔적까지는 조회가 가능) 그러나 해독키를 받았다는 사람은 전무한 실정이다.

또 흔히 인터넷에서 랜섬웨어를 복구해주겠다고 나서는 업체들도 상당수 믿을만하지 않다. 이들 역시 결국은 해커에게 몸값을 지불하고 키를 받아내는 방식인 경우가 많기 때문이다. 결국 원래 해커에게 지불해야 했을 몸값에 업체 수수료까지 더해 훨씬 비싸지는 셈이니, 가급적 민간 복구업체에 맡기는 행동은 자제하길 권고한다. 

워너크라이를 제외한 기존 랜섬웨어의 경우 '노모어랜섬(NMR, No More Ransom)'이라는 국제 비영리 단체가 운영하는 사이트를 통해 복구가 가능한 경우도 있다. 해당 사이트는 현재 한국어도 지원하므로 다른 랜섬웨어 피해를 입고 있는 사람들이라면 한번 접속해보자.

(사진 = 노모어랜섬홈페이지)

대응

랜섬웨어는 잘만하면 공격자에게 거액의 돈을 벌어다 줄 수 있다는 특징 때문에 해가 지날수록 그 숫자는 급증하는 추세다. 오죽하면 RaaS(Ransomware as a Service), 즉 랜섬웨어를 만들 수 있는 도구까지 암암리에 판매되는 현실이다. 이 때문에 온갖 변종 랜섬웨어가 판을 치는 것이다. 우리가 랜섬웨어에 대응할 수 있는 가장 좋은 방법은 결코 몸값을 지불하지 않는 것이다. 랜섬웨어란 결국 수익을 목적으로 하기 때문에 몸값을 지불하지 않는 네티즌 의식, 문화가 정착해야만 자연히 그 수요를 감소시킬 수 있다. 소중한 자료를 생각한다면 쉽지 않은 일이지만, 랜섬웨어는 언제고 다시 나를 찾아올 수 있는 감기 같은 존재다. 두 번은 없다는 생각보단 랜섬웨어를 근절하기 위해 나부터 몸값을 주지 않는 것이 중요하다.