[랜섬웨어 습격]CGV 광고판까지 감염…'블랙 사이버 먼데이'(종합)

정상 근무 시작되는 15일 국내 확산 분수령
카드결제 단말기 등 윈도 패치 미적용 PC 피해 발생
감염문의 8곳…예방안내 '보호나라' 사이트는 마비
감염 IP 총 4180개 확인…국내감염 비율 1.8% 수준

15일 서울 송파구 한국인터넷진흥원 인터넷침해대응센터에서 '워너크라이' 랜섬웨어 확산을 방지하기 위해 직원들이 바쁘게 움직이고 있다. 오전 기준 국내에서 5건의 감염신고가 확인됐다. (사진=백소아 기자)

[아시아경제 한진주 기자] 랜섬웨어 피해가 국내에서도 확산되고 있다. 15일 새벽에는 CGV 영화관에서도 '워너크라이(WannaCry)' 랜섬웨어에 감염된 화면이 등장했다. 기업ㆍ기관들의 정상 근무가 시작된 오늘부터 국내에서도 워너크라이 발 '블랙 사이버 먼데이'가 현실화되는 모습이다.

CGV 상영관에서 영화 상영 전 광고 화면과 옥외 광고판에 '워너크라이'에 감염됐으니 비트코인을 지불하라는 경고 화면이 노출됐다. 일부 상영관의 광고 서버 등이 랜섬웨어에 감염돼 피해가 발생했다.

최상명 하우리 CERT실장은 "CGV 광고판을 비롯해 카드결제 단말기 등 윈도 패치를 적용하지 않은 PC에서도 피해가 발생했다"며 "아직까지 워너크라이에 감염된 경우 복구할 수 있는 툴이 없으므로 감염을 예방하는 것이 최선책"이라고 설명했다.

국내 기업들의 피해 신고도 늘고 있다. 인터넷진흥원에 따르면 15일 오전 현재 워너크라이에 감염됐다고 문의한 기업ㆍ기관은 총 8곳이었다. 인터넷진흥원은 직접 신고한 5곳에 대해 현장 조사를 진행중이다. 지난 13일부터 국내에서 확산되기 시작해 정상 정상 근무가 시작되는 15일부터 피해가 급증할 것으로 전망됐다.

설상가상으로 오전 8시부터 워너크라이 예방법을 안내하는 웹사이트 '보호나라'가 마비됐다. '보호나라'는 인터넷진흥원이 운영하는 해킹, 바이러스 정보 제공 사이트다. 워너크라이 예방법을 숙지하려는 이용자들이 몰리면서 2시간 넘게 사이트 접속이 불가능한 상황이 연출됐다.

미래창조과학부 고위 관계자는 "보호나라에 대해 홍보를 했지만 이렇게까지 접속자가 몰릴 것으로 예상하지 못했다"며 "포털 사이트 등 여러 통로로 대국민 예방법을 안내하고 있으며 공공기관과 각 기업의 보안담당자에게 별도로 대응하고 있다"고 설명했다.

보안업체 하우리 집계로 보면 14일 기준 국내 워너크라이 랜섬웨어 감염 IP는 총 4180개에 달한다. 세계적으로는 감염 IP가 총 22만개였다. 국내 감염 비율은 약 1.8%다.

한국어로 작성된 워너크라이 랜섬노트(출처=이스트시큐리티)

다른 랜섬웨어와 달리, 워너크라이는 세계적으로 점유율이 높은 '윈도'의 취약점을 노렸다. 특히 보안 업데이트 제공이 중단된 윈도 XP 이하 구형 PC들이 직격탄을 맞았다. MS가 뒤늦게 지원을 중단한 윈도XP와 윈도 서버 2003, 윈도 8용 패치까지 제공했지만 이미 수십개국에서 감염 피해가 발생한 후였다.

워너크라이는 자가복제해 패치가 적용되지 않은 취약한 PC를 대상으로 전파되는 '네트워크 웜'이다. 윈도 파일 공유 네트워크인 SMB 프로토콜을 통해 전파된다. 감염을 막으려면 인터넷 연결부터 차단하고, SMB 설정을 해제한 후 윈도 패치를 업데이트 해야 한다.

이스트시큐리티 관계자는 "워너크라이는 어떤 네트워크상에 있는 시스템이 한 대라도 감염되면 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결된 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적"이라며 "워너크라이 변종이 150개 이상 발생했고 변종이 계속 생성될 수 있으므로 MS가 제공하는 윈도 보안패치를 최신 버전으로 업데이트 하는 것이 필수"라고 설명했다.

<용어 설명>
◆랜섬웨어 = 데이터를 인질로 삼아 사용할 수 없도록 암호화한 후, 풀기 위한 비용을 지급하도록 요구하는 악성코드

◆워너크라이= MS의 윈도를 사용하는 컴퓨터 중 취약점을 겨냥한 랜섬웨어. PC나 서버가 감염되면 접근 가능한 임의의 IP를 스캔해서 랜섬웨어 악성코드를 확산시킨다. 윈도 운영체제 SMBv2원격코드 실행 취약점 패치가 적용되지 않은 PC를 대상으로 한다. 감염되면 파일 확장자가 '.WNCRY'로 변경되고 암호화된 파일을 복호화하는 비용으로 300달러 이상의 비트코인을 요구한다.

한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>