랜섬웨어 확산방지법 발견…"워나크라이 안 끝났다"

영국의 한 연구원, 워나크라이 확산 방지법 발견
도메인 등록을 통해 확산 막을 수 있어
랜섬웨어 언제든 코드 바꿔 다시 침투 가능

사진=게티이미지뱅크

[아시아경제 황준호 기자] "워나크라이(WannaCry)는 아직 끝나지 않았다."

세계 100개국에 피해를 준 것으로 추산되는 랜섬웨어 워너크라이의 확산 스위치를 찾아 막았다고 밝힌 한 영국의 사이버보안 연구원은 트위터 계정(@MalwareTechBlog)을 통해 13일 이같이 밝혔다.

연구원은 랜섬웨어의 피해를 막기 위해 "사람들은 그들의 컴퓨터 시스템을 가능한 빨리 업데이트해야 한다"며 "그들은(랜섬웨어 유포자들은) 언제든 코드를 바꿀 수 있으며 이를 통해 다시 유포할 수 있다"고 강조했다.

그는 워나크라이가 기본적으로 등록되지 않은 도메인에 의존하고 있었다는 점에서 우리는 도매인을 등록시키는 방식을 통해 악성코드의 확산을 막았다라고 설명했다.

가디언·텔레그래프 등 영국 언론들은 그를 "우연한 영웅"이라고 칭했다. 그는 "나는 나 스스로 도메인을 등록하기 전까지는 치료법을 알지 못했다"며 "그것은 매우 우연하게 발견된 것"이라고 말했다.

다만 그는 워나크라이 치료제를 10.69달러를 지불해야 제공하고 있다. 그는 "이미 감염된 컴퓨터는 치료할 수 없다"고 밝히기도 했다.

한국인터넷진흥원(KISA)는 추가 확산을 막기 위해 이날 오전 보안전문 사이트 '보호나라(www.boho.or.kr)'에 감염 경로와 예방법을 담은 공지문을 올렸다.

KISA는 윈도 파일 공유에 사용되는 서버 메시지(SMB) 원격코드의 취약점을 악용해 워나크라이가 심어졌다며 이메일 첨부파일을 통해 유포되는 일반적인 랜섬웨어와 달리 인터넷 네트워크에 접속만 해도 감염된다고 밝혔다. 워나크라이는 문서파일, 압축파일 등 다양한 파일을 암호화하며, 한국어를 포함한 다국어로 협박 메시지를 보낸다.

KISA는 윈도 보안체제를 최신 버전으로 업데이트해야 감염을 막을 수 있다고 조언했다. 마이크로소프트가 보안 업데이트 지원을 중단한 윈도 비스타 이하 버전도 윈도7 이상의 운영체제로 업그레이드해야 한다고 강조했다.

사진=아시아경제 DB

지난 12일(현지시간)부터 워나크라이는 세계 70여개국에서 랜섬웨어 공격을 일으켜 정부기관, 병원, 기업 등의 업무를 마비시켰다.

특히 영국은 런던, 버밍엄, 노팅엄 등지의 국민보건서비스(NHS) 병원들이 공격을 받아 각종 전산 시스템이 중단됐다. 이에 따라 엑스레이(X-Ray), 각종 검진 결과, 환자 기록들을 이용할 수 없는 상태인 것으로 알려졌다.

또 러시아 내부부, 스페인 통신사 텔레포니카, 미국 유력 물류업체 페덱스도 워나크라이의 영향을 받은 것으로 나타났다.

우리나라의 경우 서울 지역의 한 대학병원에서 랜섬웨어 감염 징후가 발견되면서 비상이 걸렸다.

해당 병원 관계자는 "아직 피해 사례는 없지만, 유관부서가 비상근무하며 대비하고 있다"고 했다.

KISA 관계자는 "아직 피해 사례가 정식 접수된 곳은 없다"고 했다. "접수되더라도 랜섬웨어 종류가 워낙 많아서 이번에 퍼진 랜섬웨어인지는 추가로 확인이 필요하다"고 했다.

워나크라이가 12일부터 공격을 시작했다는 점에서, 우리나라에서는 주말 이후 업무에 복귀하는 15일께 감염 사실을 감지하는 이들이 생겨날 것으로 예상된다.

공격자들은 마이크로소프트 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300∼600달러(34만∼68만원)에 해당하는 비트코인(가상화폐)을 요구하는 것으로 알려졌다.

랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말한다. 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트를 통해 유포된다.(그림 KISA)