보안

[D데이] 2017.05.12. 전 세계를 충격에 빠트린 워너크라이 사태

이종현

디데이(D-Day). 사전적 의미는 중요한 작전이나 변화가 예정된 날입니다. 군사 공격 개시일을 의미하기도 합니다. 엄청난 변화를 촉발하는 날. 바로 디데이입니다. <디지털데일리>는 정보통신기술(ICT) 시장에 나름 의미 있는 변화의 화두를 던졌던 역사적 디데이를 기록해 보고자 합니다. 그날의 사건이 ICT 시장에 어떠한 의미를 던졌고, 그리고 그 여파가 현재에 어떤 의미로 남았는지를 짚어봅니다. <편집자 주>


[디지털데일리 이종현기자] 몸값(Ransom)과 소프트웨어(Software)의 합성어인 랜섬웨어(Ransomware). 우리 사회를 위협하는 가장 치명적인 사이버공격으로 꼽히는 이 단어가 일반 대중에게도 각인된 것은 2017년 5월 12일, ‘워너크라이(WannaCry)’ 사태의 영향이 큽니다.

워너크라이 또는 ‘워너크립트(WannaCrypt)’라는 이름으로 불린 이 랜섬웨어 툴은 정확한 피해 규모를 파악하기 어려울 만큼 많은 컴퓨터를 감염시켰습니다. 미국 정부는 사태 직후 2017년 5월 15일 기준 150개국 30만대 이상의 컴퓨터가 피해를 입었다고 발표했습니다.

워너크라이는 컴퓨터 내 파일을 모두 암호화시킨 뒤 그에 대한 몸값을 요구하는 방식의 랜섬웨어입니다. 통상 랜섬웨어의 경우 이메일 등을 통해 악성파일을 다운로드하도록 하는 방식으로 감염됩니다. 하지만 워너크라이의 경우 윈도의 서버 메시지 블록(Server Message Block, SMB) 취약점을 이용해 이용해 동일 네트워크상의 다른 컴퓨터로 전파되는 특징을 지녔습니다.

마이크로소프트(MS)는 워너크라이 사태 이전에 해당 취약점을 개선하는 보안 업데이트를 내놨습니다. 하지만 윈도XP 등 당시 보안 업데이트 지원이 종료된 컴퓨터를 중심으로 피해가 확산됐습니다. 개인의 PC를 비롯해 기업이나 공공기관까지 광범위한 피해가 발생했는데, 사상 최대 규모의 무차별 공격이었습니다.

워너크라이로 인해 가장 큰 피해를 입은 국가는 러시아입니다. 정부기관인 내무부 컴퓨터 1000여대를 비롯해 은행과 통신사, 철도업체 등이 감염돼 자체 시스템을 폐쇄했습니다.

불법 복제 소프트웨어(SW) 사용이 판치는 러시아의 특징이 피해를 키운 것으로 전해집니다. 특히 당시 최신 OS인 윈도10의 경우 워너크라이가 이용하는 취약점에 대응하는 보안패치를 이미 내놨었으나 러시아 사용자의 20% 이상은 OS 업데이트를 하지 않은 것도 피해 확산의 원인 중 하나입니다.

중국도 적지 않은 피해를 입었습니다. 러시아와 마찬가지로 불법 설치되거나 패치되지 않은 윈도 사용이 많은 중국은 주요 기업 및 대학, 공공기관의 컴퓨터가 워너크라이에 감염됐습니다. 사태 당시 홍콩의 한 언론은 중국 국영 석유 업체가 워너크라이에 감염돼 2만개의 주유소에서 현금으로만 결제가 가능했다는 내용의 보고서를 발간했습니다.


한국의 경우 러시아나 중국 등에 비해 눈에 띄는 피해 사례가 발생하지는 않았습니다. 워너크라이가 번지기 시작한 것은 한국시간으로 금요일 퇴근무렵부터인데, 기업들과 기관들의 컴퓨터가 대부분 꺼져 있었던 것이 피해를 줄였습니다. 국내 이동통신사가 SMB 특정 포트를 차단함으로써 초기 대응에 일조했습니다.

세계 각국은 워너크라이의 배후로 북한을 지목했습니다. 현재도 활발히 활동 중인 북한 정찰총국 소속의 해커조직 라자루스(Lazarus)가 유력합니다. 유럽연합(EU)은 2020년 북한의 유령기업 조선 엑스포를 제재하기도 했습니다. 조선 엑스포는 라자루스 그룹의 해커 박진혁이 몸담고 있는 기업으로 전해집니다.

2021년에는 미국 법무부가 북한 소속 해커 3명을 기소, 사진을 공개했습니다. 소니픽처스 공격 및 방글라데시 은행 해킹, 워너크라이 공격 등을 기소 배경으로 꼽았는데 ▲박진혁 ▲전창혁 ▲김일 등 3명이 대상입니다.

워너크라이 이후 가장 흔한 사이버공격이 된 랜섬웨어는, 최근 다시 기승을 부리는 중입니다. 과거에는 파일을 암호화한 뒤 복구하려면 금전을 지불하라는 단순한 방식을 취했지만, 최근에는 파일을 암호화하는 동시에 이를 훔쳐내 “금전을 지불하지 않으면 데이터를 유출하겠다”는 식의 협박을 하는 방식으로 진화했습니다. 백업만으로는 랜섬웨어에 충분히 대응할 수 없어 각 기업을 비롯해 정부도 골머리를 앓고 있습니다.

한편 초기 워너크라이에 감염될 경우 요구한 것은 300달러 상당의 비트코인(BTC)입니다. 2017년 5월 12일 당시 1BTC는 약 1700달러였습니다. 2022년 5월 12일 현재 1BTC는 약 3만1000달러가량입니다. 1700%가량 올랐는데, 만약 당시 워너크라이에 감염돼 해커에게 비트코인을 지불했다면 속이 쓰릴 듯합니다.

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널