토픽브리핑 | “경계는 필수, 과장은 금물” 워너크라이 랜섬웨어 사태 점검

ITWorld
2주 전 월요일, 주말을 보내고 회사에 출근한 많은 직장인들은 두려움에 떨며 컴퓨터를 켜야했다. 주말 내내 미디어의 주목을 받은 랜섬웨어 때문이다. 하지만 이러한 현상이 다소 과한 미디어의 보도와 보안 업체들의 경고 때문에 실질적인 위협보다 더 과장되어 있다는 지적도 있다.

"NSA 공격도구 악용한 워너 디크립토 랜섬웨어, 전세계 확산 중

워너 디크립토(Wanna Decryptor) 또는 워너크라이(WannaCry)라고도 불리는 이 랜섬웨어는 인터넷에 유출된 윈도우의 취약점을 악용한 것으로 밝혀졌다. 다른 랜섬웨어와 마찬가지로 PC의 모든 파일을 암호화하고, 암호를 풀기 위해 300달러를 비트코인으로 내라고 주장한다. 다만, 웜 성격을 띄어서 PC 한 대를 감염 시키면, 해당 PC가 연결되어 있는 다른 PC로 퍼져 나간다는 점이 일반 랜섬웨어와는 다르다.

“정체부터 해결책까지” 워너크라이 랜섬웨어에 대해 알아야 할 모든 것
“도메인 등록”으로 워너크라이 확산 속도 감소… 변종 나올 가능성 높아
섀도우 브로커 “윈도우 공격 툴 더 있다”…구독 서비스로 판매 계획
워너크라이 랜섬웨어, 몸값을 지불해도 자동으로 해독 안된다

한 보안 연구원이 워너크라이 공격에 사용된 미등록 도메인을 정식 등록함으로써 초기 확산을 막을 순 있었지만, 곧 변종이 나왔으며, 윈도우 취약점 공격 툴을 공개한 해커 집단 섀도우 브로커가 더 많은 공격 툴을 공개할 예정이라고 경고한 만큼 향후에도 지속적인 경계가 필요할 것으로 보인다.

"워너크라이 랜섬웨어, 북한과 연계됐을 가능성 있지만 단정은 못한다 
"워너크라이 랜섬웨어 배후로 라자러스 그룹 소행 확신"…시만텍

보안 업계에서는 워너크라이의 배후로 라자러스 그룹을 지목하고 있다. 이 그룹은 과거 소니 픽처스나 은행 강도 사건과 연루되어 있는 것으로 알려져 있으며, 북한을 위해 일하고 있는 것으로 추정된다. 하지만 워너크라이 초기 버전과 라자러스 그룹이 사용하는 해킹 툴 간의 유사성만 확인되었을 뿐, 100% 단정하긴 어려운 상황이다.

중국, 워너크라이 랜섬웨어에 직격…높은 윈도우 XP 점유율로 큰 피해 
“워너크라이 랜섬웨어 사태, 윈도우 XP가 원흉은 아니다” 카스퍼스키 랩

마이크로소프트는 윈도우 XP와 윈도우 서버 2003 등 구형 운영체제에 워너크라이가 사용하는 취약점이 남아있다고 판단, 이례적으로 공식 지원이 끝난 이들 운영체제에 보안 패치를 배포했다. 하지만 카스퍼스키 랩이 확인한 바에 따르면, 워너크라이 랜섬웨어는 윈도우 XP를 표적으로 작성된 것이 아니며, 실제로 해당 운영체제의 피해 규모는 윈도우 7에 비하면 아주 미미하다고 한다.

국내에서는 크게 이슈화되지 않는 일반적인 해외발 보안 이슈와달리, 이번 워너크라이는 영화관 CGV의 광고 서버가 랜섬웨어에 감염되어 랜섬 노트가 그대로 관객들에게 노출되면서 불안감을 증폭시켰다. 주말에 랜섬웨어를 경고하는 기사들이 쏟아졌고, 본격 업무가 시작된 월요일에는 대비책을 제공하는 KISA의 보호나라 사이트가 한 때 접속자 증가로 다운되기도 했다.

이러한 보도에 미디어 및 보안 업계가 과학에 공포심을 조장하고 있다는 지적도 적지 않다. 특히, 이번 랜섬웨어는 윈도우 10을 구동하고 있거나 윈도우 7이나 8도 3월 14일에 배포된 보안 업데이트를 시행했다면 안전하다는 것. 실제로, KiSA에 따르면 5월 26일 현재 워너크라이 피해 접수가 신고된 것은 21건에 불과해, 미디어를 통해 접한 것과는 온도차가 있다.

업데이트 : 랜섬웨어 피해를 예방하고 극복하기 위한 '전투 계획 
섀도우 브로커 “윈도우 공격사용자 별 랜섬웨어 대응 방법과 초간단 PC 백업 - ITWorld How To 

그럼에도 불구하고, 워너크라이와 같은 랜섬웨어는 앞으로 더욱 증가할 것으로 보인다. 즉각적으로 수익을 얻을 수 있다는 점에서 사이버범죄자들에게 매력적인 공격 기법이기 때문이다. 사용자들은 정기적인 PC 백업과 최신 보안 업데이트 등을 통해 랜섬웨어로부터 스스로를 보호해야 할 것이다. editor@itworld.co.kr