전 세계 100여개 국가를 공격한 랜섬웨어 피해가 국내에서도 나타나고 있다. 전문가들은 국내에서도 다수의 PC가 감염된 것으로 보고 있지만 신고, 조치를 제대로 하고 있지 않은 것으로 보고 있다. 15일 월요일 기업, 기관들의 업무가 시작되면 피해가 크게 늘어날 것으로 우려된다. 이에 정부는 사이버위기 '주의' 경보를 발령했다.

14일 보안업계 등에 따르면 한국인터넷진흥원(KISA)에 워나크라이(WannaCry) 랜섬웨어로 인한 피해가 4건 신고돼 조치를 받고 있다. 하지만 실제 피해는 훨씬 많은 것으로 추정된다.

외신들에 따르면 12일(현지시각)부터 영국, 러시아, 미국, 스페인, 독일, 중국 등 100개국에서 악성 프로그램으로 PC, 시스템 등을 감염시킨 후 파일과 데이터를 암호화한 후 돈을 요구하는 사이버공격 랜섬웨어가 확산됐다.

이번 공격으로 영국에서는 국민보건서비스(NHS) 병원들이 피해를 당했으며 스페인 통신회사 텔레포니카(Telefonica)와 미국 화물특송 업체 페덱스(FedEx)도 공격을 받았다. 또 러시아 이동통신사와 내무부, 은행 등이 피해를 당했고 프랑스 로노자동차도 공격을 당해 유럽 내 일부 공장들이 가동을 중단했다. 영국 BBC는 이번 공격으로 12만5000대의 컴퓨터 시스템이 피해를 당했다고 보도했다.

국내 이미 감염된 PC 수 천 대

국내에서는 KISA에 공식적으로 신고된 것이 4건으로 상대적으로 적은 수치다. 하지만 실제 감염은 이보다 훨씬 많은 것으로 추정된다. 최상명 하우리 CERT 실장은 “해외에 이번 공격을 분석하고 있는 전문가와 연락을 통해 랜섬웨어에 감염된 국내 컴퓨터가 4000대가 넘는 것으로 파악했다“며 ”해당 랜섬웨어에 감염이 되고도 신고를 안 한 곳들이 많다“고 우려했다.

보안업체 이스트시큐리티도 백신 소프트웨어(SW) 알약이 12일 942건, 13일 1167건 등 2000건의 워나크라이 랜섬웨어 공격을 탐지했다고 밝혔다.

실제로 국내에서 비공식적으로 워나크라이 랜섬웨어에 감염됐다는 이야기들이 인터넷 공간에 속속 올라오고 있다. 이는 피해를 당한 기업, 개인들이 피해 사실을 숨기고 있기 때문인 것으로 보인다.

그러나 이로 인해 피해가 더 커질 수 있다는 우려도 나오고 있다. 시만텍코리아는 워나크라이 랜섬웨어가 전 세계에서 대규모로 확산되고 있는 이유가 사용자의 활동과 관계없이 기업 네트워크 내에서 스스로 확산될 수 있는 능력을 가지고 있기 때문이라고 지적했다. 조치를 하지 않을 경우 기업 네트워크를 통해 계속 확산될 위험이 있는 것이다.

외신들에 따르면 영국 보안전문가가 등록되지 않은 특정 도메인과 이번 악성코드가 연결된 것을 보고 이를 이용해 킬 스위치를 작동시키면서 랜섬웨어 확산이 주춤했다.

그런데 이미 변종이 나타나 다시 확산될 조짐을 보이고 있다. 최상명 실장은 “기존 악성코드는 도메인을 이용해 킬 스위치를 작동시킬 수 있었지만 새로 나타난 변종은 그런 방식이 통하지 않는다”고 말했다. 이에 따라 전 세계 보안 전문가들과 기업, 기관들이 긴장하고 있다.

국내에서는 월요일 기업, 기관들의 업무가 시작되면 피해가 더 확산될 수 있다는 지적도 나오고 있다. 더구나 국내에서는 아직 보안 업데이트가 중단된 윈도XP 시스템을 사용하는 사례가 많고 보안 업데이트를 하지 않은 윈도 시스템들도 많아 피해가 클 수 있다는 우려가 나오고 있다.

정부 사이버위기 주의 경보 발령...랜선 뽑고 PC 켜야

국가정보원과 미래창조과학부, 한국인터넷진흥원(KISA)이 이번 랜섬웨어 공격으로 국내 피해가 예상된다며 사이버위기 '주의' 경보를 14일 발령했다. 미래부와 KISA도 사이버위기 경보 단계를 '관심'에서 '주의'로 상향 조정했다.

국정원은 주의 경보 발령에 따라 각급 기관들에게 보안활동을 강화하고 국가 정보통신기반시설 전반에 보안 태세를 강화할 것을 주문했다.
각급 기관 및 보안관제 센터는 근무보강 등 비상근무태세를 유지하고 전산망 장애, 사이버공격 등 특이 징후 포착 시 국가사이버안전센터 및 국가안보실(위기관리센터)로 즉시 통보해달라고 당부했다.

또 미래부와 KISA는 월요일 PC를 켜기 전 랜선을 빼는 등 네트워크를 단절시킨 후 파일 공유 기능을 해제할 것으로 권고했다. 또 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사하고 윈도 PC(XP, 7, 8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트를 적용해줄 것도 당부했다. 만약 피해를 당한 경우 KISA 인터넷침해대응센터(국번없이 118)로 연락해 안내받을 수 있다고 밝혔다.

한편 외신들은 이번 공격이 지난해 8월 미국 국가안보국(NSA)을 해킹한  '섀도우 브로커스(Shadow Brokers)'라는 해킹조직과 관련 있다고 지적하고 있다. 해커들이 NSA에서 사용하던 해킹도구를 이용해 이번 공격을 했다는 것이다. 이미 지난해 이로 인해 우려가 높았는데 현실로 나타나고 있다는 것이다.

일각에서는 이번 사건이 러시아 범죄조직과 연루된 해커들의 소행으로 보인다는 주장을 제기하고 있다. 또 북한 해커들이 관여됐다는 주장도 나오고 있다.  이번 사건으로 인한 파장이 전 세계적으로 확대되고 있어 배후 찾기와 대응을 놓고 각국 정부가 적극적인 대응에 나설 것으로 보인다.

[테크M = 강진규 기자(viper@techm.kr)]