preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

'사이버 아마겟돈' 현실로... 280여개 변종 랜섬웨어, 두번째 파도 왔다

CJ CGV 영화관 광고판에 표시된 랜섬웨어 감염 알림. [사진 최상명 하우리 CERT 실장 페이스북]

CJ CGV 영화관 광고판에 표시된 랜섬웨어 감염 알림. [사진 최상명 하우리 CERT 실장 페이스북]

 150개국에서 20만 건이 넘는 피해를 발생시킨 랜섬웨어 '워너크라이(WannaCry)'가 다양한 변종코드를 양산해가며 진화하고 있다. 이른바 '두 번째 파도(Second Wave)'의 출현이다. 랜섬웨어는 데이터를 암호화해 인질(ransom)로 잡고 돈을 내놓으라고 요구하는 악성코드다. 국내에서도 피해 사례가 속속 보고되고 있어 보안업계는 파장을 주시하고 있다.
 
 유럽을 중심으로 한 초기 공격은 어느 정도 잦아든 분위기다. 영국의 22세 보안 전문가 마커스 허친스가 개발한 ‘킬스위치’가 큰 역할을 했다. 킬스위치는 악성코드의 약점을 활용해 특정 도메인 등록을 유도, 공격을 중단시키는 장치다. 업무가 마비됐던 영국 국가보건의료서비스(NHS) 산하 16개 병원과 프랑스 르노자동차의 자동화 공장, 독일의 국영철도회사와 미국의 페덱스 등은 피해를 어느 정도 복구한 것으로 알려졌다.  
 
문제는 이 킬스위치를 무력화하는 변종 코드가 출현하고 있다는 것이다. 15일 보안업계에 따르면 이 킬스위치 작동을 피해 가는 변종 랜섬웨어는 지난 사흘간 280여 종이나 등장했다. 
뉴욕타임즈는 14일(현지시간) 아랍에미리트의 보안 전문가를 인용해 “해커들은 악성코드의 변종들을 유포하기 시작했다”며 “이번 공격은 애초 생각한 것보다 훨씬 복잡한 양상으로 진행될 것”이라고 전망했다.
 
한국 정부는 보안업계와 손잡고 변종 악성코드와의 전투를 벌이고 있다. 신대규 한국인터넷진흥원 침해사고분석단장은 “국내외 보안업체와 ‘사이버위협인텔리전스네트워크’를 구성해 실시간 대응을 벌이고 있다”며 “13일까지 모두 48종의 변종에 대해 분석을 완료했고 추가적으로 확인되는 변종에 대해 샘플을 확보해 분석할 예정”이라고 설명했다.
 
국내 음식점 카드결제 단말기 화면에 표시된 랜섬웨어 감염 알림. [사진 최상명 하우리 CERT 실장 페이스북]

국내 음식점 카드결제 단말기 화면에 표시된 랜섬웨어 감염 알림. [사진 최상명 하우리 CERT 실장 페이스북]

국내에서도 감염 사례가 속속 보고됐다. 국내 최대 멀티플렉스 영화관인 CJ CGV는 15일 오전 1시쯤 “50여 개 상영관의 광고판이 랜섬웨어에 감염됐다”고 신고하는 등 이날 오후 3시까지 13건의 감염 의심 사례가 접수됐다. 이 중 8건은 감염 증상이 확인돼 신고됐다.
 
세계에서 수십만 건의 감염 사례가 발견되는데 국내 감염 사례는 수십 건에 그친 이유는 뭘까. 일단 이번 랜섬웨어가 2000년에 출시된 ‘윈도XP’의 취약점을 파고들었다는 게 첫 번째 이유다. 
보안업체 펜타시큐리티의 한인수 기획실 이사는 “윈도XP는 마이크로소프트에서 단종시켜버려 보안패치조차 구할 수 없는 운영 프로그램”이라며 “우리나라는 상대적으로 운영체제를 빨리 업그레이드하는 편이기 때문에 유럽·러시아보다는 피해가 적었을 것”이라고 설명했다.  
 
해커들의 공격 자체가 유럽과 러시아에 집중됐다는 분석도 있다. 
임종인 고려대 정보보호대학원 교수는 “공격 횟수를 보면 유럽과 러시아가 압도적으로 많아 인근 지역의 해커 소행이 아닌가 의심된다”고 말했다. 
그는 또 “국내에도 일부 은행자동화기기(ATM)나 병원 전산 시스템 등이 윈도XP 운영체제를 탑재한 걸로 알려져있어 결코 안심할 수 없다”며 “지난해 세계에서 랜섬웨어 공격을 세 번째로 많이 받은 나라가 한국”이라고 강조했다.
 
오락실 비트매니아 화면에 표시된 랜섬웨어 감염 알림. [사진 최상명 하우리 CERT 실장 페이스북]

오락실 비트매니아 화면에 표시된 랜섬웨어 감염 알림. [사진 최상명 하우리 CERT 실장 페이스북]

문제는 악성코드에 감염되고도 정부에 이를 신고하지 않는 사례도 많다는 것이다. 실제 15일 인터넷 커뮤니티에는 식당의 카드결제 단말기, 건물의 전광판, 오락실 기기 등이 랜섬웨어에 감염된 사례가 사진으로 보고되고 있지만, 한국인터넷진흥원에는 이들 사례가 보고되지 않았다. 
보안업체 이스트시큐리티의 김진욱 팀장은 “감염 피해를 외부에 알릴 경우 보안에 취약하다는 비난을 받을까 두려워 대부분의 기업이 이를 보안업체하고만 상의하는 경우가 많다”며 “실제로 정부에 신고해도 정보를 복구할 수 있는 방법이 없고 ‘데이터 몸값’을 내거나 포맷을 하는 수밖에 없다”고 말했다. 
 
이번 사태는 통신으로 온 세계가 연결되는 '초연결사회'가 어떤 위험을 안고 있는지 적나라하게 드러냈다. 소수의 공격으로 세계가 마비될 수 있는 ‘사이버 아마겟돈(Cyber Armageddon)’의 경고다. 특히 금융ㆍ유통 등 주요 거래부터 전력ㆍ국방 등 기간시설까지 전산으로 연결된 현대 사회에선 "초연결사회가 초위험사회나 마찬가지"라는 게 전문가들의 지적이다. 
테러리스트들이 국가 전산망을 장악해 교통신호부터 전력ㆍ수도 시스템까지 교란시킨다는 영화 ‘다이하드4’의 내용이 실제로 일어날 수 있다는 얘기다. 
임종인 교수는 “북한의 사이버전략사령부 인력이 1만 명에 달하는 걸로 알려져있는 데 반해 우리 군의 사이버 전력은 600명에 불과하다”며 “주요 해킹 사건이 발생할 때마다 보안 관련 책임자들을 처벌하는 후속 대책에 힘쓸게 아니라 사전에 문제를 예방하기 위해 보안 관련 투자를 늘려야 한다”고 지적했다.
  
개인과 기업들도 사이버 보안에 각별한 주의를 기울여야 한다. 손영동 한양대 융합국방학과 초빙교수는 “올해 가장 창궐할 걸로 보이는 악성코드가 랜섬웨어”라며 “범정부차원의 대처도 중요하지만 개개인이 보안패치를 잘 깔고 백신을 업데이트하는 노력이 가장 중요하다”고 조언했다. 임미진ㆍ김유경ㆍ김도년 기자 mijin@joongang.co.kr
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.