최악의 랜섬웨어 ‘워너크라이’가 지난 주말 전 세계를 뒤흔들었다. 영국 런던 시간으로 12일 오전 8시 24분께 유럽 내 한 컴퓨터 사용자가 부지불식간에 이메일에 첨부된 ZIP 압축파일을 연 것이 재앙의 시작이었다고 14일(현지시간) 파이낸셜타임스(FT)가 보도했다.
이 사용자가 첨부파일을 열면서 워너크라이가 컴퓨터에 심어진 것은 물론 네트워크를 통해 빠르게 확산되기 시작했다. 유럽연합(EU) 경찰 기구인 유로폴은 병원과 석유회사, 은행과 기타 기관 등 피해 건수가 최소 20만 개 이상이라고 분석했다.
워너크라이의 코드에 심어진 한 명령어는 사용자가 치는 키보드 문자열을 파악해 불특정 웹주소와 접속을 시도하려 했다. 영국의 한 보안 관련 연구원이 이와 관련해 워너크라이를 비활성화할 수 있는 ‘킬 스위치’를 발견해 조치를 취했다. 이는 워너크라이의 아킬레스 건이었지만 이미 처음 수시간 동안 악성 프로그램이 방해를 받지 않고 전파된 뒤였다.
워너크라이 감염의 두 번째 단계는 컴퓨터에 어떤 파일이 있는지 찾아내서 악용하는 것이다. 이 작업에는 미국의 비밀무기가 사용됐다고 FT는 전했다. 바로 미국 국가안보국(NSA)에서 지난해 도난 당해 온라인으로 유출된 사이버 공격 도구 ‘이터널블루(EternalBlue)’가 쓰인 것이다.
스페인 최대 이동통신업체 텔레포니카는 12일 오전 워너크라이 공격을 받았다고 밝힌 대규모 조직 중 하나였다. 같은 날 오전 늦게 영국 전역의 병원과 보건기구들이 문제가 발생했다고 보고했다. 유럽에서 프랑스 자동차업체 르노와 독일 국영 철도업체 도이체반 등도 피해를 보고했다. 러시아는 내무부와 이통사 메가폰, 은행 스베르방크 등이 희생양이 됐다. 미국은 워너크라이가 크게 확산되지는 않았지만 페덱스 등 대기업이 피해를 봤다.
이터널블루와 함께 워너크라이는 이전 랜섬웨어와는 차원을 달리하는 피해를 입혔다고 FT는 강조했다. 이터널블루는 마이크로소프트(MS)의 운영체제(OS) 윈도의 보안 허점을 악용해 사용자 허가 없이 악성코드가 드롭박스 등의 문서와 데이터베이스 공유 프로그램을 통해 확산되도록 한다.
대런 톰슨 시만텍 최고기술책임자(CTO)는 “조직 사이의 파일공유가 광범위하게 사용되면서 사이버 범죄자들의 꿈이 어느 정도 실현됐다”며 “파일공유 취약점을 악용하면 수십만, 더 나아가 수백 만 명의 사용자에게 접근할 수 있다”고 설명했다.
전문가들은 해커들이 킬스위치가 없는 변종을 얼마든지 만들 수 있다며 대응책을 마련하고 적용하는 것이 시급하다고 입을 모았다. 각국 법 집행기관들이 워너크라이를 전파한 해커 추적에 나섰지만 범인을 찾는 것은 매우 어려울 것이라고 FT는 덧붙였다.