랜섬웨어 감염 피해 세계지도. 연합뉴스
랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어로, 치명적인 악성프로그램이다. 해커가 불특정 다수의 컴퓨터에 침입해 시스템을 봉쇄하거나 파일을 암호화한 뒤 이를 복원해주는 대가로 금전을 요구하는 등 일종의 사이버 ‘인질극’을 벌인다. 랜섬웨어는 2005년 처음 등장해 다양한 종류와 변종이 나오면서 빠른 속도로 진화하고 있다.
이번에 유포된 워너크라이(WannaCry)는 윈도우 운영체제의 취약점을 노린 랜섬웨어다. 이를 노린 해킹 기법은 다양하지만 랜섬웨어 가운데에선 워너크라이가 처음이다. 거미줄처럼 촘촘하게 연결된 컴퓨터 네트워크 가운데, 윈도우를 쓰는 컴퓨터들이 연결되는 통로의 보안취약점을 노렸다. 워너크라이는 인터넷만 연결돼 있으면 감염됐고, 자기복제를 통해 네트워크망을 옮겨 다니며 다른 시스템까지 감염시키는 ‘네트워크 웜’의 특성까지 갖고 있었다. 한국을 비롯해 전세계 150개국에서 20만 건에 육박하는 사상 최초, 최대의 감염 피해가 나온 건 이 때문이다.
# 사상 최악의 사이버 공격, 배후는 누구?
워너크라이가 전 세계를 혼란에 빠뜨린 건 단지 컴퓨터 무력화 때문만이 아니다. 국내 한 보안 관계자는 “이 랜섬웨어는 프로그램 코드부터 배후까지 분석하면 할수록 이해할 수 없는 점이 한 두 가지가 아니다. 기존 랜섬웨어와 비교하면 상당히 어처구니없는 실수가 나오는가 하면, 치밀한 점도 보여 보안 전문가들도 쉽게 결론을 내리지 못하고 있다”고 말했다.
이 가운데 전문가들을 혼란에 빠져들 게 하는 것은 이 악성 프로그램의 ‘배후’다. 보안업계에 따르면 워너크라이 배포 초반엔 ‘아마추어 해커의 우연한 성공’으로 결론이 내려지는 듯했다. 타깃이나 목표가 뚜렷했던 기존 랜섬웨어와는 달리, 워너크라이는 공격 대상에 일관성이 없었던 데다 요구 금액도 300달러로, 상대적으로 적은 금액이었기 때문이다.
특히 ‘아마추어의 성공’ 주장에 힘을 싣는 건 ‘킬 스위치’의 존재다. 워너크라이가 ‘자살하는 방법’이 그대로 노출돼 있었던 것. 22세의 영국 보안전문가가 워너크라이 코드 안에서 우연히 찾아낸 이 킬 스위치가 이번 대란을 막아냈다. 게다가 비트코인 사용에서도 허술한 점을 보여 베일에 가려진 배포자들이 벌어들인 수익도 금방 추적됐다.
지난 15일엔 구글의 연구원이 워너크라이 초기 버전에서 한 해킹 툴이 발견되면서 용의자가 특정되기 시작했다. 북한이었다. 앞서의 연구원이 발견한 워너크라이 코드 속 툴은 북한이 배후에 있는 것으로 추정되는 해킹 그룹 ‘라자루스(Lazarus)‘가 주력으로 사용하는 툴이었다.
하지만 북한의 소행으로 보기엔 워너크라이가 ‘허술하다’는 시각이 많다. 북한의 사이버 해킹 수법은 지난 5년 새에 급격하게 진화했다. 앞서 북한의 사이버 범죄는 디도스 공격이 전부였지만, 시간이 흐르면서 소니 엔터테인먼트에 침투해 주요 콘텐츠를 유출시키고 시스템을 파괴하는 등 위협적인 모습을 보였다. 가장 최근에는 치밀하게 이뤄진 방글라데시 중앙은행과 전세계 은행 통신망 SWIFT침투 사건의 배후로 지목된 점으로 비춰볼 때, 워너크라이의 배후가 북한일 가능성은 낮다는 게 보안 전문가들의 의견이다.
이 때문에 워너크라이가 북한으로 시선을 돌리기 위한 ‘위장술’을 썼다는 주장에 힘이 실린다. 워너크라이 자체가 미국 국가안보국(NSA)의 해킹툴을 빼돌려 만든 프로그램인 만큼, 앞서의 라자루스의 툴 정도는 충분히 흉내 낼 수 있다는 얘기다. 특히 사이버 범죄 사건에 있어 용의자들이 자신을 숨기기 위해 다른 사람인 척 위장하는 방식이나 공격 경로를 우회하는 경우가 빈번한 점도 이 주장에 힘을 보탠다. 최근 워너크라이를 자신들이 배포했다고 주장한 해커그룹 ‘섀도 브로커스(Shadow Brokers)’가 나타나면서 ‘위장술’에 대한 설득력은 더욱 높아지고 있지만, 이 그룹의 주장 역시 신뢰할 수 없는 상태다.
# “아직 끝나지 않았다”
현재 각 국가의 정보기관과 보안 업체, 해커 그룹들이 워너크라이 배포자를 찾고 있지만, 추적은 쉽지 않다. 추가 피해가 늘어날 가능성이 높은 이유다. 배포자들은 익명 네트워크인 ‘토르(Tor)’를 활용해 추적을 피하고 있다. 토르 브라우저는 일반 웹브라우저가 아닌 ‘딥웹’ 전용 브라우저로 접속가능한 인터넷이다. 해킹툴·마약·음란물·총기 등 불법 행위에 사용될 수 있는 상품들이 거래된다(일요신문 1228호-딥웹으로 통하는 ‘문’ ‘토르’ 브라우저의 세계).
더 큰 문제는 딥웹 내부에서 해킹 시장이 상당히 활성화돼 있다는 점이다. 누구나 쉽게 쓸 수 있는 해킹툴이 서비스 상품 형태로 판매되고 있어, 돈만 내면 랜섬웨어나 변종을 만들 수 있다. 실제로 보안 패치가 없어 공격을 막을 수 없는 해킹 도구인 ‘제로데이’는 수천 달러에, 보안 패치가 나온 지 하루가 지난 해킹 도구인 ‘원데이’는 수백 달러에 거래되고 있다.
또한 PC나 노트북을 넘어 스마트폰이나 IoT기기에 대한 공격으로 확대‧진화할 가능성도 높게 점쳐지고 있다. 특히 한국의 경우 ‘워너크라이 대란’은 없었음에도 보안 전문가들이 “아직 끝난 게 아니다”라며 긴장을 풀지 않는 이유다. 실제로 이번 워너크라이로 인한 피해 사례 가운데에는 CJ CGV도 포함돼 있다. CGV는 지난 15일 광고 서버가 랜섬웨어에 감염돼 영화 상영 전 광고영상이 나오지 않았다. 한 아파트의 경우엔 메인서버가 공격당해 공동현관이 열리지 않아 수동으로 개방하는 일도 있었다. 한 보안 전문가는 “카카오톡이나 문자메시지로도 확산이 가능한 스마트폰용 랜섬웨어가 나오면 그 피해 규모는 추정도 불가능할 정도”라고 강조했다.
한편, 워너크라이 확산 과정에서 일부 국내 보안업체들이 ‘100% 복구’를 약속하는 등 허위, 과장광고를 하는 일도 발생하고 있다. 보안업계와 경찰 등에 따르면, 40여 종의 구형 랜섬웨어를 제외한 모든 랜섬웨어는 복구 기술이 존재하지 않는다. 워너크라이를 비롯해 대부분의 랜섬웨어 복구는 사실상 불가능하다.
하지만 업체들은 100만 원가량의 복구비를 요구하며 피해자들의 귀를 솔깃하게 하고 있다. 그러나 복구 방식은 업체 자체 기술이 아니다. 업체는 앞서의 복구비를 받아 비트코인을 구매해 해커그룹과 ‘협상’을 하는 방식을 활용한다. 이를 밝히는 곳도 있지만, 대부분의 업체는 이 방법을 복구비를 받은 이후에도 밝히지 않는다. 한 보안업계 관계자는 “업체에 복구를 맡겨도 복구율은 30%에도 못 미친다. 현재까지는 예방이 최선의 방어다”라고 말했다.
문상현 기자 moon@ilyo.co.kr