무역 -BUSINESS 용어

☞랜섬웨어(ransomware)

최만섭 2017. 5. 15. 09:47

☞랜섬웨어(ransomware)

인질의 몸값을 뜻하는 랜섬(ransom)과 악성코드(멀웨어·malware)를 합성한 말이다. 해커들은 악성코드를 컴퓨터에 침입시켜 문서·동영상 등 중요 파일을 암호화해 접근하지 못하도록 만든 뒤 돈을 뜯어낸다. 이번에 나온 워너크라이 랜섬웨어는 PC가 인터넷에 연결돼 있으면 사용자가 감염된 파일을 열지 않더라도 악성코드에 감염될 수 있다.

오늘 출근하면 인터넷線 뽑고 컴퓨터 켜세요

  • 박건형 기자
  • 조재희 기자
  • 입력 : 2017.05.15 03:14

    ['랜섬웨어' 국내 대학병원도 공격… 오늘 확산 고비]

    한국 7건 피해 의심… 업무 시작되는 월요일 '비상'

    - 전세계 '랜섬웨어' 해킹 비상
    인터넷 접속만으로 20만대 감염… 암호로 파일 잠근 다음 돈 요구

    - 각국 기업·병원 등 피해 속출
    영국, 중환자 수술 연기 잇달아
    러시아, 내무부 PC 1000대 감염

    - 윈도 운영 체계 취약점 파고들어
    美안보국 해킹기법 이용해 침투… 윈도XP·비스타 사용자 피해 집중

    영국, 러시아, 독일 등 약 100개국에서 사상 최대 규모의 '랜섬웨어(ransomware)' 사이버 공격이 발생하면서 전 세계가 혼란에 빠졌다. 랜섬웨어는 몸값(ransom)과 악성 프로그램(malware)의 합성어로, 감염된 컴퓨터의 중요 파일을 암호화해 사용할 수 없게 한 다음 돈을 요구하는 해킹 방식이다〈키워드〉. 이번 공격에서는 마이크로소프트(MS)의 윈도 운영체제를 이용하는 컴퓨터를 집중 공격했다.

    한국 시각으로 12일 밤 시작된 이번 공격으로 지금까지 전 세계 20만대 이상의 컴퓨터가 감염된 것으로 추정된다. 이로 인해 영국 국가보건서비스(NHS)망, 러시아 내무부 등 각국 정부기관과 닛산·페덱스 등 글로벌 기업의 업무가 마비되거나 차질이 빚어지고 있다. 국내에서도 대학병원을 포함한 7건의 공격 신고가 접수됐다. 보안업계에서는 공공기관과 기업이 업무를 시작하는 월요일인 15일부터 한국에서도 본격적으로 피해가 확산될 수 있다고 우려한다. 한국인터넷진흥원은 랜섬웨어 예방을 위해 인터넷 연결을 끊은 뒤 PC를 켜고 보안 수칙에 따라 랜섬웨어의 침입 경로를 차단한 다음 다시 인터넷에 접속해 보안 프로그램을 업데이트해야 한다고 권고했다.

    랜섬웨어 공격 방식 외
    랜섬웨어에 감염된 컴퓨터는 각국 언어로 '파일을 암호화했다'는 붉은색 바탕의 경고창이 뜨면서 작동을 멈춘다. 문서, 음악, 사진 등 컴퓨터에 저장된 모든 파일을 사용할 수 없게 된다. 공격을 주도한 해커들은 암호화된 파일을 푸는 대가로 300~600달러(약 34만~68만원)의 가상화폐(비트코인)를 자신들이 지정한 계좌로 보낼 것을 요구한다. 보안업체 시만텍의 윤광택 본부장은 "해커의 요구대로 돈을 보내도 암호를 풀어줄 가능성은 거의 없다"고 말했다.

    랜섬웨어가 급속도로 확산되면서 세계 각국에서 피해가 속출하고 있다. 가장 큰 피해를 입은 영국은 국가보건서비스망(NHS) 산하 248개 의료기관 중 48곳의 전산망이 마비되면서 환자 예약이 취소되고 중환자들의 수술이 연기되는 사태가 잇따랐다. 자동차업체 닛산의 영국 선덜랜드 공장도 전산망 오류로 가동을 멈췄다. 독일에서는 일부 기차역 발권기가 오작동을 일으키는 사례가 보고됐다.

    러시아 인테르팍스통신은 "러시아 내무부 컴퓨터 1000대가 감염됐고, 수사기관들도 공격을 당했다"고 보도했다. 러시아 이동통신업체 메가폰의 컴퓨터 상당수도 이번 공격으로 작동을 멈추면서 콜센터가 마비됐고, 중국에서는 일부 중학교와 대학교가 공격을 받았다. 미국 운송업체 페덱스와 프랑스 자동차 업체 르노 역시 컴퓨터들이 감염되면서 운송과 생산 작업이 중단되는 등 업무에 차질을 빚고 있다.

    인도네시아에서도 국립 암센터를 비롯한 대형 종합병원 컴퓨터가 작동을 멈추면서 환자 진료가 중단됐다. 영국 테리사 메이 총리는 "이번 공격은 전 세계적으로 광범위하게 전개된 사이버 테러"라고 규정했다.

    미국 국가안보국 해킹 기법 이용한 듯

    보안업계에서는 이번 랜섬웨어 공격의 배후로 해커 단체 '셰도 브로커스(Shadowbrokers)'를 지목하고 있다. 셰도 브로커스는 지난해 미국 국가안보국(NSA)에서 해킹 기법(툴)을 훔쳤다고 공개한 집단이다. 영국 BBC는 "NSA는 윈도 운영체제의 보안상 취약점을 파고드는 해킹 툴을 개발해 광범위하게 사용해왔다"면서 "이번 랜섬웨어의 작동 방식이 NSA의 방식과 유사하다"고 보도했다.

    기존의 랜섬웨어 공격은 이메일 첨부 파일이나 인터넷 주소를 클릭하면 감염되기 때문에 사용자가 주의하면 예방할 수 있다. 하지만 NSA의 방식을 이용한 이번 랜섬웨어는 '워너크라이(WannaCry)'라는 신종 해킹 기법으로, 감염된 컴퓨터와 네트워크로 연결돼 있으면 자동으로 감염된다. 사실상 인터넷에 연결만 돼 있으면 감염되는 형태이기 때문에 확산 속도가 기존 어느 악성 프로그램보다 빠르다. 감염 상황을 실시간으로 집계하고 있는 보안감시업체 멀웨어테크닷컴에 따르면 한국 시각 14일 정오까지 전 세계적으로 21만대 이상의 컴퓨터와 서버가 랜섬웨어에 감염됐고, 피해는 계속 확산되고 있다. 13일 영국의 한 보안 전문가가 랜섬웨어 전염을 막는 방법을 찾아냈지만 곧바로 변종이 등장하면서 피해 확산을 완전히 멈추지는 못했다.

    이번 사태에 대해 마이크로소프트(MS)는 "지난 3월 배포한 윈도 보안 업데이트가 설치돼 있으면 랜섬웨어 공격을 받아도 감염되지 않는다"고 밝혔다. 하지만 MS가 업데이트 서비스를 중단한 구형 윈도 프로그램(XP와 비스타) 사용자들은 랜섬웨어 공격에 무방비로 노출될 수밖에 없다. 실제로 영국 의료기관 등 이번에 큰 피해를 입은 곳은 대부분 XP나 윈도비스타를 사용하고 있는 것으로 알려졌다. 이에 따라 MS는 13일 XP와 비스타 등 구형 윈도 버전에 대한 긴급 보안 프로그램을 배포했다. 한국은 랜섬웨어에 취약한 XP와 비스타 운영체제를 이용하는 PC가 70만대 이상인 것으로 추산된다. 윤광택 시만텍 본부장은 "윈도7이나 10 같은 최신 버전을 사용하고 있더라도 자동 업데이트 기능을 꺼놨다면 랜섬웨어에 감염될 수 있다"면서 "신속하게 업데이트를 받는 것이 감염을 막을 수 있는 유일한 방법"이라고 말했다.

    한국 내 확산 오늘이 고비

    한국인터넷진흥원은 "14일 현재 7건의 의심 사례가 접수됐고, 이 중 4곳에 대한 조사가 진행 중"이라고 밝혔다. 다른 나라에 비해 아직 국내 피해가 적은 것은 이번 랜섬웨어가 한 주 업무가 마무리된 금요일 밤부터 공격을 시작했기 때문으로 분석된다. 보안업체 이스트시큐리티 김윤근 팀장은 "월요일인 15일 아침에 직장인들이 출근을 해 컴퓨터를 켜는 순간부터 본격적으로 랜섬웨어가 확산될 수 있다"면서 "해외에 지사가 있거나 외국계 회사의 한국 지사 같은 경우에는 해외에서 확산된 랜덤웨어가 네트워크를 타고 침입할 가능성이 있다"고 말했다.