랜섬웨어 워너크라이 정체는?…“도난당한 美 NSA의 해킹 툴로 시작”

[글로벌이코노믹 이재구 기자]
전세계 99개 국가의 병원,철도,가스회사 및 페덱스 등이 정체를 알 수 없는 해커집단의 사이버공격에 의한 컴퓨터바이러스(맬웨어) 감염으로 어려움을 겪고 있다. 독일, 스페인, 미국 등의 컴퓨터는 이른 바 랜섬웨어에 감염돼 IT시스템 및 통신장애를 겪고 있는 것으로 보고 있다. 우리나라에서도 일부 기업들이 감염됐을 가능성이 있는 것으로 알려지고 있으며 15일 업무가 시작되면서 피해사례가 보고되기 시작할 것으로 보인다.

데일리메일은 13일 이같은 전세계적인 해킹 공격이 진행되고 있다면서 그 배경에는 지난 달 미 NSA에서 슈퍼무기로 불리는 해킹 툴을 훔친 ‘섀도 브로커’(The Shadow Brokers)로 불리는 해킹 집단이 있다고 보도했다.

◆영국병원, 러시아정부, 독일 철도회사 감염

이미 해커들은 훔친 무기로 전세계 12개 국가를 해킹했으며 이 사이버 공격은 급속히 퍼져나가면서 전세계 각국의 컴퓨터를 전염시키고 있다. 섀도 브로커는 이미 지난달 영국의 병원, 러시아 정부 및 독일철도회사들을 랜섬웨어를 이용한 사이버 공격으로 다운시켰다.
보안 전문가들은 공격의 배후에 있는 맬웨어 SW는 미 NSA가 자체 정보수집 목적으로 만든 해킹 툴로 밝혀졌으며 MS 윈도의 취약점을 악용하고 있는 것으로 보인다고 말하고 있다. 미 NSA의 도큐먼트는 지난달 '섀도 브로커'라는 알수 없는 집단에 의해 도난당한 후 전세계에 맬웨어가 퍼져나갔다.

여러 보안 전문가들에 따르면, 스스로가 누구인지 밝히지 않은 이들 집단은 ‘이터널 블루’(Eternal Blue,영원한 블루)라고 알려진 NSA 코드를 악용해 웜, 또는 자체적으로 확산되는 맬웨어를 만들었을 가능성이 높다.


섀도 브로커는 지난달 미국정보기관에 속한 해킹툴의 일부인 이터널 블루를 내놓았다. 이는 미정보기관의 강력한 사이버무기가 악의적 목적을 가진 해커에 의해 도난당했다는 점에서 두려움을 불러일으키고 있다.

맬웨어는 컴퓨터에 대한 접근을 차단하고 데이터를 복원하고 데이터를 복구하기 위해 비트코인으로 최대 600달러를 지불하라고 요구하고 있다. 이는 러시아 정부의 컴퓨터를 포함, 최소한 전세계 7만5000대의 컴퓨터에 영향을 주면서 시작된 것으로 알려지고 있다. 있다.


이 바이러스 감염 사고는 12일(현지시간) 오후 영국의 병원 및 영국의 한 금요일 오후, 40개이상의 병원이 바이러스에 감염되면서 시작됐다.

일반개업의 및 국립건강서비스(NHS)소속 병원을 포함한 40개 이상의 병원이 이 바이러스에 감염되기 시작했다.

그러나 이 바이러스가 시간당 500만개의 이메일로 확산되면서 현재 미국, 호주, 벨기에, 프랑스, ​​독일, 이탈리아, 멕시코 등 99 개국에서 수만명의 사용자 컴퓨터가 이 바이러스의 희생자가 되고 있다는 보고가 들어오고 있다.

◆러시아정부, 최악의 피해자

러시아정부가 최악의 피해자인 것으로 드러나고 있다. 14일 현재 내무부에 있는 1000대의 컴퓨터가 랜섬웨어에 감염된 것으로 알려지고 있다. 내무부 대변인 이리나 볼크는 러시아 뉴스통신사와의 인터뷰에서 “기록적인 바이러스공격이 내무부 윈도OS기반 PC에 가해졌다”고 밝혔다.

국제 화물 운송회사 페텍스의 MS윈도시스템도 감염된 것으로 알려졌다. 이들은 컴퓨터치료 단계에 들어갔다고 밝혔다.

독일 철도 시스템역시 랜섬웨어 문제를 겪고 있는 것으로 나타났다.

소셜미디어에 드러난 사진들은 각 역에 있는 티켓 발급용 컴퓨터가 사이버 공격의 영향을 받은 것으로 드러나고 있다.

스페인에서는 이통사 텔레포니카 휴대전화망, 전력회사 이베르드로라 및 시설물 제공업체인 가스 내추랄이 모두 바이러스 공격으로 고통을 겪고 있는 것으로 드러났다. 스페인의 몇몇 대기업들은 국가암호센터가 발령한 “엄청난 랜섬웨어 공격”이라는 경고에 따라 이 공격을 막기위한 선제적 조치를 취했다.

스페인 이베트로라와 가스내추럴은 스페인 보다폰 사업부와 함께 직원들에게 컴퓨터 작동을 멈추게 하거나 인터넷 접속 차단에 대비해 인터넷을 차단하도록 요청했다. 하지만 이미 스페인 텔레포니카와 전력회사 이베르드로라, 가스회사 가스내추럴이 바이러스피해를 입은 것으로 알려졌다.


사이버 보안 회사인 베라코드의 크리스 와이소팔 최고기술책임자(CTO)는 “텔레포니카와 같은 대형통신사가 타격을 입으면 모두가 걱정하게 될 것”이라고 말했다.

랜섬웨어는 더 복잡한 보안작업을 하는 대기업에도 영향을 미치고 있다.

사이버 보안 연구원은 “현재 랜섬웨어 확산을 막을 수 있는 킬 스위치를 발견한 것으로 보인다”고 말했다.

영국에서는 긴급하지 않은 약속 및 수술은 전역에서 연기됐고 일부 병원에서는 환자의 안전을 보장하기 위해 구급차를 인근 병원으로 우회했다. 컴퓨터 시스템이 꺼져 있거나 고정되어 있으며 의사를 위한 삐삐 시스템을 비롯한 핵심 서비스가 중단된 것으로 알려졌다.

◆킬스위치 발견했나?

‘@MalwareTechBlog’라는 트위터 ID를 사용하는 한 연구원은 “우연히 맬웨어가 사용하는 도메인네임을 등록하면 확산이 중단된다는 사실을 발견했다”고 말했다.

그러나 그는 “그돌은 본질적으로 등록되지 않은 도메인에 의존했고 그것을 등록시킴으로써 우리는 맬웨어 확산을 중단 시켰다”고 AFP에 보낸 개인 메시지에서 말했다. 그러나 이 연구원은 “공격을 피하기 위해 최대한 빨리 시스템을 업데이트 할 필요가 있다”며 “위기는 끝나지 않았으며 항상 코드를 변경해 공격을 다시 시도할 수 있다”고 덧붙였다.


이 사이버 공격은 미국 NSA를 해킹한 툴을 가지고 MS윈도의 취약점을 이용해 전세계의 많은 보안에 취약한 컴퓨터를 감염시킨 것으로 보인다.

작년 12월 기준으로 영국 NHS 트러스트의 90%가 여전히 MS의 윈도XP를 사용하는 것으로 드러났다. 2년 6개월이 지난 현재 MS는 이 시스템 지원을 중단했다.


미국의 소프트웨어 회사 시트릭스는 63개 NHS트러스트에 정보공개요청서를 보냈다. 그 중 42곳이 답신을 보내왔다. 24개 트러스트는 업그레이드할 시기를 확실히 알지 못한 것으로 전해졌다.

윈도XP는 무려 15년 전에 출시됐으며 특히 바이러스에 취약하다. MS는 지난 2015년 노후화된 윈도XP에 대한 바이러스 경고 제공을 중단했다.

이스트 서섹스 셰필드, 가이스, 세인트 토머스같은 많은 영국의 병원들이 오래된 윈도OS 소프트웨어를 계속 사용하고 있다.

◆업그레이드된 패치 쓴 컴퓨터도 감염

사이버 공격소식이 알려진 지 수시간 만에 MS 대변인은 “MS의 무료 안티바이러스SW를 사용하고 있는 고객 및 윈도업데이트를 한 고객들은 공격으로부터 보호 받았다”고 말했다.

하지만 왜 이 OS를 사용하고 있는 영국 NHS 병원 컴퓨터들이 랜섬웨어로부터 보호받지못한 것에 대한 의문이 등장하고 있다.

이에 대해 MS대변인은 “오늘 우리 기술자들은 ‘랜섬: 윈도.워너크립트’(Ransom: Win32.WannaCrypt)로 알려진 새로운 악성SW에 대한 탐지 및 보호기능을 추가했다”고 밝혔다.

이재구 기자 jklee@g-enews.com