'랜섬웨어 공포'..공용 프린터 등 인터넷만 연결돼도 감염

랜섬웨어 사이버 공격이 지난 주말 전세계를 강타한 가운데 14일 서울 송파구

한국인터넷진흥원(KISA)에서 한 직원이 모니터 속 세계 곳곳의 피해 상황 등을

주시하고 있다.

 연합뉴스

눈 부릅뜬 종합상황실 한국인터넷진흥원 인터넷침해대응센터 종합상황실에서

14일 감시요원들이 랜섬웨어 공격에 대비해 전산망을 감시하고 있다.

  김영민 기자 viola@kyunghyang.com

'랜섬웨어 공포'..공용 프린터 등 인터넷만 연결돼도 감염

ㆍ랜선 뽑은 뒤 윈도 방화벽 보안 설정 변경하고 백신 업데이트해야
ㆍ업무 PC 켜는 월요일이 ‘고비’…노트북도 와이파이 끄고 부팅을

랜섬웨어 공격으로 인한 국내 피해는 월요일인 15일 본격화할 것으로 전망된다.

공용 프린터를 쓰거나 데이터베이스에 접근하는 것만으로도 감염이 될 수 있는 만큼 인터넷 랜선을 PC 본체에서 뽑는 것이 가장 중요하다. 노트북은 와이파이 기기 전원을 끈 뒤 켜야 한다고 보안 전문가들은 권고했다.

■ 감염된 파일 복구 사실상 불가능

한국인터넷진흥원은 14일 오후 6시 기준으로 랜섬웨어 공격 관련 문의를 해온 국내 기업은 모두 7곳이며, 이 중 4곳은 정식으로 피해를 신고했다고 밝혔다.

인터넷진흥원 관계자는 “지난 13일 오전부터 컴퓨터에 이상 증상이 나타난다며 어떻게 조치해야 하는지를 묻는 기업들의 문의가 이어지고 있다”며 “문의해온 곳 모두 랜섬웨어에 감염된 것으로 보인다”고 말했다.

이번에 유포된 랜섬웨어 ‘워너크라이’는 컴퓨터가 인터넷에 연결돼 있으면 사용자가 손쓸 틈도 없이 감염되기 때문에

실제 감염 사례는 보다 더 많을 것으로 추정된다.

랜섬웨어 피해를 막기 위해 컴퓨터 사용자들은 먼저 랜선을 뽑아 네트워크를 차단해야 한다. 그 뒤 컴퓨터를 켜고

 윈도 방화벽의 보안 설정을 변경해야 한다.

이후 다시 랜선을 연결하고 윈도 운영체제와 백신 프로그램을 최신 버전으로 업데이트하면 된다.

‘온라인 인질극’이나 다름없는 랜섬웨어 공격자들의 수법이 갈수록 지능화되고 있어 일단 감염되면 돈을 주는 것 이외에 암호를 풀 가능성은 거의 없다.

돈을 지불해도 파일을 살리지 못할 수도 있다.

워너크라이로 인해 유럽 등지에서 피해가 속출했던 것과 달리 국내에서는 외국과의 시차로 주말이 시작되면서 기업 등의 피해가 적었다.

하지만 최근 한국이 랜섬웨어의 주요 공격 대상으로 급부상했던 점을 고려하면 정상 업무가 시작되는 15일부터 국내에서 대규모 피해가 발생할 가능성도 있다.

■ 의심 e메일 삭제, 중요 파일 백업해야

인터넷진흥원에 따르면 올해 1분기 랜섬웨어 명령 제어를 악용된 국가로 중국, 미국에 이어 한국이 3위를 차지했다.

워너크라이 공격자들은 암호를 풀어주는 대가로 돈을 요구하는 페이지에 28개국 언어를 사용 중인데, 이 중에는 한국어도 포함됐다.

보안업체 하우리 관계자는 “직원 중 1명이라도 예방수칙을 어겨 감염되면 공용 프린터를 쓰거나 데이터베이스에

접근하는 것만으로도 감염이 확산될 수 있다”고 지적했다.

기존의 랜섬웨어는 특정 e메일을 열거나 특정 홈페이지에 접속했을 때 공격을 시작했지만, 워너크라이는 네트워크를

 통해 자동 전파된다.

다수의 컴퓨터가 하나의 네트워크에 연결돼 있는 기업의 경우 전 직원이 컴퓨터를 켜기 전 인터넷 랜선을 뽑는 등

 세심한 대응이 필요하다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다”며 “e메일을 통한 랜섬웨어 공격이 증가하고 있는 만큼 의심스러운 e메일은 삭제하고, 중요 파일은 백업을 해두는 것이 안전하다”고 말했다.

<이효상 기자

오늘 출근하면 인터넷線 뽑고 컴퓨터 켜세요

영국, 러시아, 독일 등 약 100개국에서 사상 최대 규모의 '랜섬웨어(ransomware)' 사이버 공격이 발생하면서 전 세계가 혼란에 빠졌다.

랜섬웨어는 몸값(ransom)과 악성 프로그램(malware)의 합성어로, 감염된 컴퓨터의 중요 파일을 암호화해 사용할 수 없게 한 다음 돈을 요구하는 해킹 방식이다〈키워드〉.

이번 공격에서는 마이크로소프트(MS)의 윈도 운영체제를 이용하는 컴퓨터를 집중 공격했다.

한국 시각으로 12일 밤 시작된 이번 공격으로 지금까지 전 세계 20만대 이상의 컴퓨터가 감염된 것으로 추정된다.

이로 인해 영국 국가보건서비스(NHS)망, 러시아 내무부 등 각국 정부기관과 닛산·페덱스 등 글로벌 기업의 업무가

 마비되거나 차질이 빚어지고 있다. 국내에서도 대학병원을 포함한 7건의 공격 신고가 접수됐다.

 보안업계에서는 공공기관과 기업이 업무를 시작하는 월요일인 15일부터 한국에서도 본격적으로 피해가 확산될 수

있다고 우려한다.

한국인터넷진흥원은 랜섬웨어 예방을 위해 인터넷 연결을 끊은 뒤 PC를 켜고 보안 수칙에 따라 랜섬웨어의 침입 경로를 차단한 다음 다시 인터넷에 접속해 보안 프로그램을 업데이트해야 한다고 권고했다

랜섬웨어에 감염된 컴퓨터는 각국 언어로 '파일을 암호화했다'는 붉은색 바탕의 경고창이 뜨면서 작동을 멈춘다.

문서, 음악, 사진 등 컴퓨터에 저장된 모든 파일을 사용할 수 없게 된다.

공격을 주도한 해커들은 암호화된 파일을 푸는 대가로 300~600달러(약 34만~68만원)의 가상화폐(비트코인)를 자신들이 지정한 계좌로 보낼 것을 요구한다.

보안업체 시만텍의 윤광택 본부장은 "해커의 요구대로 돈을 보내도 암호를 풀어줄 가능성은 거의 없다"고 말했다.

랜섬웨어가 급속도로 확산되면서 세계 각국에서 피해가 속출하고 있다.

 가장 큰 피해를 입은 영국은 국가보건서비스망(NHS) 산하 248개 의료기관 중 48곳의 전산망이 마비되면서 환자 예약이 취소되고 중환자들의 수술이 연기되는 사태가 잇따랐다.

자동차업체 닛산의 영국 선덜랜드 공장도 전산망 오류로 가동을 멈췄다.

독일에서는 일부 기차역 발권기가 오작동을 일으키는 사례가 보고됐다.

러시아 인테르팍스통신은 "러시아 내무부 컴퓨터 1000대가 감염됐고, 수사기관들도 공격을 당했다"고 보도했다.

러시아 이동통신업체 메가폰의 컴퓨터 상당수도 이번 공격으로 작동을 멈추면서 콜센터가 마비됐고, 중국에서는

일부 중학교와 대학교가 공격을 받았다.

미국 운송업체 페덱스와 프랑스 자동차 업체 르노 역시 컴퓨터들이 감염되면서 운송과 생산 작업이 중단되는 등

 업무에 차질을 빚고 있다.

인도네시아에서도 국립 암센터를 비롯한 대형 종합병원 컴퓨터가 작동을 멈추면서 환자 진료가 중단됐다.

 영국 테리사 메이 총리는 "이번 공격은 전 세계적으로 광범위하게 전개된 사이버 테러"라고 규정했다.

◇미국 국가안보국 해킹 기법 이용한 듯

보안업계에서는 이번 랜섬웨어 공격의 배후로 해커 단체 '셰도 브로커스(Shadowbrokers)'를 지목하고 있다.

셰도 브로커스는 지난해 미국 국가안보국(NSA)에서 해킹 기법(툴)을 훔쳤다고 공개한 집단이다.

영국 BBC는 "NSA는 윈도 운영체제의 보안상 취약점을 파고드는 해킹 툴을 개발해 광범위하게 사용해왔다"면서

"이번 랜섬웨어의 작동 방식이 NSA의 방식과 유사하다"고 보도했다.

기존의 랜섬웨어 공격은 이메일 첨부 파일이나 인터넷 주소를 클릭하면 감염되기 때문에 사용자가 주의하면 예방할 수 있다.

하지만 NSA의 방식을 이용한 이번 랜섬웨어는 '워너크라이(WannaCry)'라는 신종 해킹 기법으로, 감염된 컴퓨터와

네트워크로 연결돼 있으면 자동으로 감염된다.

사실상 인터넷에 연결만 돼 있으면 감염되는 형태이기 때문에 확산 속도가 기존 어느 악성 프로그램보다 빠르다.

감염 상황을 실시간으로 집계하고 있는 보안감시업체 멀웨어테크닷컴에 따르면 한국 시각 14일 정오까지

전 세계적으로 21만대 이상의 컴퓨터와 서버가 랜섬웨어에 감염됐고, 피해는 계속 확산되고 있다.

13일 영국의 한 보안 전문가가 랜섬웨어 전염을 막는 방법을 찾아냈지만 곧바로 변종이 등장하면서 피해 확산을 완전히 멈추지는 못했다.

이번 사태에 대해 마이크로소프트(MS)는 "지난 3월 배포한 윈도 보안 업데이트가 설치돼 있으면 랜섬웨어 공격을 받아도 감염되지 않는다"고 밝혔다.

하지만 MS가 업데이트 서비스를 중단한 구형 윈도 프로그램(XP와 비스타) 사용자들은 랜섬웨어 공격에 무방비로 노출될 수밖에 없다.

실제로 영국 의료기관 등 이번에 큰 피해를 입은 곳은 대부분 XP나 윈도비스타를 사용하고 있는 것으로 알려졌다.

이에 따라 MS는 13일 XP와 비스타 등 구형 윈도 버전에 대한 긴급 보안 프로그램을 배포했다.

한국은 랜섬웨어에 취약한 XP와 비스타 운영체제를 이용하는 PC가 70만대 이상인 것으로 추산된다.

윤광택 시만텍 본부장은 "윈도7이나 10 같은 최신 버전을 사용하고 있더라도 자동 업데이트 기능을 꺼놨다면 랜섬웨어에 감염될 수 있다"면서 "신속하게 업데이트를 받는 것이 감염을 막을 수 있는 유일한 방법"이라고 말했다.

◇한국 내 확산 오늘이 고비

한국인터넷진흥원은 "14일 현재 7건의 의심 사례가 접수됐고, 이 중 4곳에 대한 조사가 진행 중"이라고 밝혔다.

다른 나라에 비해 아직 국내 피해가 적은 것은 이번 랜섬웨어가 한 주 업무가 마무리된 금요일 밤부터 공격을 시작했기 때문으로 분석된다.

보안업체 이스트시큐리티 김윤근 팀장은 "월요일인 15일 아침에 직장인들이 출근을 해 컴퓨터를 켜는 순간부터 본격적으로 랜섬웨어가 확산될 수 있다"면서 "해외에 지사가 있거나 외국계 회사의 한국 지사 같은 경우에는 해외에서 확산된 랜덤웨어가 네트워크를 타고 침입할 가능성이 있다"고 말했다.

☞랜섬웨어(ransomware) 인질의 몸값을 뜻하는 랜섬(ransom)과 악성코드(멀웨어·malware)를 합성한 말이다.

해커들은 악성코드를 컴퓨터에 침입시켜 문서·동영상 중요 파일을 암호화해 접근하지 못하도록 만든 뒤 돈을 뜯어낸다. 이번에 나온 워너크라이 랜섬웨어는 PC가 인터넷에 연결돼 있으면 사용자가 감염된 파일을 열지 않더라도 악성코드에 감염될 수 있다.

세계 곳곳 공장 멈추고 환자파일 '먹통'..국내 대학병원도 감염

지난 주말 랜섬웨어 워너크라이(WannaCry) 공격으로 세계 곳곳에서 공장이 멈추고 병원 환자파일이 먹통이 되는 등

 혼란이 일었다. 글로벌 보안업체들은 지금까지 총 21만건 이상의 해당 랜섬웨어 감염 사례를 발견했다. 한

국에서도 감염 의심사례가 등장하면서 피해가 커질 가능성이 있다는 우려가 나온다. 보안 전문가들은 대부분 직장인이 업무를 시작하는 월요일(15일)이 국내 피해 규모를 가늠할 분수령이 될 것으로 보고 있다.

영국·러시아·중국 등 전세계 21만건 피해사례 발견

이번 사이버 공격은 지난 12일 영국 국민보건서비스(NHS) 산하 10여개 병원의 컴퓨터와 전화교환 시스템이 갑자기

작동을 멈추면서 알려졌다. 이들 병원은 응급환자 외 진료를 중단하고 예약을 취소했다.

영국 내 최대 자동차 생산공장인 닛산 선덜랜드 공장도 타격을 입었다.

이 공장은 이날 오후 5시부터 가동을 중단했다.

프랑스 르노자동차도 상두빌 공장의 가동을 일부 중단했다. 회사 관계자는 “(공장 가동 중단은) 바이러스 확산을

 막기 위한 선제적인 조치”라고 설명했다.

유럽연합(EU) 경찰기구인 유로폴에 따르면 지금까지 영국 러시아 등 150여개국에서 피해 사례가 접수됐다.

랜섬웨어 감염 상황을 실시간으로 집계하고 있는 맬웨어테크닷컴에 따르면 지금까지 감염 사례는 21만건을 넘어섰다. 추가 피해 접수가 이어지고 있어 피해 규모는 더 커질 전망이다.

롭 웨인라이트 유로폴 국장은 “역사상 전례가 없을 정도 수준”이라고 했다.

아시아에서도 피해 사례가 잇따랐다. 중국 최대 국영에너지기업인 중국석유천연가스집단(CNPC)과 일부 대학의 피해 사례도 나왔다.

인도네시아에서는 국립 암센터 등 대형 종합병원 두 곳의 컴퓨터 시스템이 손상됐다.

인도네시아 자카르타에 있는 다르마이스병원 관계자는 “병원의 거의 모든 컴퓨터가 감염됐다”고 말했다.

공격 배후로는 지난해 미국 국가안보국(NSA)에서 해킹 툴을 훔쳤다고 주장한 해커단체 ‘섀도 브로커스(Shadow

 Brokers)’ 등이 거론되고 있다.

이번 사태를 일으킨 해커들은 상대적으로 사이버 보안이 취약한 병원과 기업을 노렸다. 중요한 고객 정보가 많은 배송업체와 대형 통신사도 주요 공격 대상이 됐다.

이들은 윈도 파일 공유에 사용되는 서버메시지(SMB) 원격코드의 취약점을 악용한 것으로 파악된다.

한국도 안전지대 아니다…윈도 구버전 사용자 특히 취약

한국인터넷진흥원( KISA)에 따르면 14일까지 국내에서 총 7건의 워너크라이 피해 관련 문의가 들어왔다. 이와 별도로 민간 보안업체와 데이터 복구업체 등이 접수한 피해 사례도 상당한 것으로 파악된다.

업계 관계자는 “상당수 업체가 대외 이미지를 고려해 피해를 외부에 알리는 것을 꺼리고 있어 피해 규모 파악이 쉽지

않다”고 전했다.

일부 인터넷 댓글이나 소셜네트워크서비스(SNS)에 올라온 글을 보면 백화점이나 음식점 결제 단말기 등에서도 피해

 사례가 확인되고 있다.

보안 전문가들은 국내에서도 피해 규모가 커질 수 있다고 경고했다.

워너크라이는 이메일 첨부 파일을 통해 유포되는 대부분 랜섬웨어와 달리 인터넷에 접속만 해도 감염되는 방식이어서 전파 속도가 빠르다.

보안업체 하우리의 최상명 침해대응실장은 “주말이 끝나고 기업들이 업무를 시작하는 월요일(15일)에 피해가 급증할 가능성이 있다”고 말했다.

모바일 보안업체 스틸리언의 박찬암 대표는 “보안 업데이트 지원이 아예 종료됐거나 자동으로 업데이트되지 않는

윈도 구버전 사용자가 특히 취약할 것으로 보인다”고 분석했다.

■ 랜섬웨어

랜섬웨어 사용자의 PC를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom·몸값)’이란 수식어가 붙은 악성코드.

공격자가 사용자의 컴퓨터에 잠입해 파일에 암호를 걸어 열지 못하도록 잠근 뒤 열쇠 프로그램을 전송해 주는 대가로 금품을 요구하는 사이버 범죄 수법.

유하늘/추가영 기자