이틀간 약 100개국이 랜섬웨어 감염 피해를 본 데 대해 보안업계는 한 단계 진화한 확산 방식을 핵심 원인으로 지목하고 있다.
인터넷 네트워크가 주요 침투 경로로 지목되는 가운데 한국은 대부분의 기업과 공공기관이 업무에 복귀하는 15일(월요일) 인터넷 접속이 늘면서 추가 피해가 우려된다.
◇ 인터넷 연결만 돼도 감염…공유파일 타고 순식간에 확산
14일 보안업계에 따르면 지난 12일(현지시간) 유럽을 중심으로 유포된 워너크라이(WannaCry) 랜섬웨어는 인터넷 네트워크를 통해 급속도로 유포됐다.
|
(사진=연합뉴스-이스트시큐리티) |
워너크라이는 실행 파일을 열지 않더라도 인터넷에 연결만 돼 있다면 감염된다.
기존 랜섬웨어는 이메일 첨부파일이나 광고 서버, 플래시 플레이어 등을 통해 감염되는 경우가 많아 첨부 파일 실행이나 웹사이트 접속 자제 등 대응할 여지가 많았지만, 이번에는 대응할 시간조차 없이 감염되는 셈이다.
더욱이 자기 복제를 해 다른 시스템까지 감염시키는 네트워크 웜(worm) 특성도 갖고 있어 보안에 취약한 PC를 찾아내 무작위로 공격 시도를 한다.
보안업체 시만텍은 "사용자의 활동과 관계없이 기업 네트워크 내에서 스스로 퍼질 수 있는 능력을 갖추고 있어 급속도로 확산하고 있다"고 설명했다.
워너크라이가 마이크로소프트(MS) 윈도 운영체제(OS)의 취약점을 침투 경로로 택한 점도 급속한 확산에 한몫했다.
보안업계는 해커들이 미국국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구 '이터널 블루(Eternal Blue)'를 훔쳐 랜섬웨어를 제작한 것으로 보고 있다. NSA가 확보해 둔 윈도의 취약점을 활용해 침투 경로를 설계했다는 분석이다.
글로벌 시장조사업체 스탯카운터에 따르면 올해 4월 기준 PC와 노트북 OS 시장에서 윈도가 차지하는 비중은 84%에 달한다.
워너크라이는 압도적인 보급률을 자랑하는 운영체제의 취약점을 이용해 빠르게 먹잇감을 확보했다.
AP통신은 이를 두고 "NSA가 워너크라이 제작자들에게 청사진(blueprint)을 넘겨준 셈"이라고 꼬집었다.
◇ 보안 업데이트 소홀한 옛 윈도 버전이 주요 먹잇감
기업과 개인이 보안 패치 업데이트를 소홀히 한 점도 원인으로 지목된다.
MS는 해당 취약점을 인지하고, 3월에 보안 배치를 배포했지만, 윈도 XP 이하 옛 버전에는 적용되지 않아 피해가 컸던 것으로 추정된다.
영국에서 주요 타깃이 된 국민보건서비스(NHS) 산하 병원 상당수가 윈도 XP를 사용한 것으로 파악됐다.
보안업계 관계자는 "기업들은 비용 문제와 업데이트로 인한 시스템 중단 우려 때문에 패치 적용에 소극적"이라며 "패치를 적용하는 데 따르는 리스크와 적용하지 않는 것으로 인한 해킹 리스크 중 당장 피해가 없는 후자를 택하는 경우들이 있다"고 지적했다.
MS의 대응책에 대한 비판도 나온다.
MS가 옛 버전에 대한 무료 보안 패치 업데이트를 중단하면서 추가 비용을 감당할 수 있는 대기업을 제외한 중소기업과 소규모 사업자들을 위험에 빠뜨렸다고 AP통신은 지적했다.
MS는 부랴부랴 12일 옛 버전에 대한 보안 패치를 무료로 제공했지만, 이미 수십개국이 감염된 후였다.
◇ 월요일 추가 피해 우려…최신 보안 버전 업데이트해야
한국은 대부분의 기업과 공공기관이 근무를 시작하는 월요일(15일) 추가 확산이 우려된다.
특히 윈도 옛 버전을 여전히 사용하는 중소기업들과 소상공인, 지방 기관들에서 피해가 클 가능성이 있다.
해외 업체와 네트워크가 연결된 국내 기업도 감염될 수 있다. 실제로 해외에 지사나 본사를 둔 국내 일부 기업이 감염된 것으로 알려졌다.
이미 주말 사이 피해 사례도 속속 확인되고 있다.
한국인터넷진흥원(KISA)은 이날 오후 4시 30분까지 기업 세 곳에서 정식 피해 신고가 들어왔다고 밝혔지만, 신고하지 않은 기업까지 합하면 실제 감염 사례는 더욱 많을 것으로 예상된다.
피해 기업들은 감염 사실이 외부로 알려질 것을 우려해 노출을 꺼리는 것으로 알려졌다. 신고하더라도 암호화된 파일 복구가 쉽지 않다는 점도 기업들이 신고를 꺼리는 원인으로 지목된다.
보안업체 이스트시큐리티의 통합 백신 '알약'이 탐지한 공격 건수도 12일 942건, 13일 1천167건으로 이틀간 2천건을 넘었다.
이스트시큐리티 김준섭 부사장은 "대부분의 기업과 기관이 쉬는 주말인 점을 고려하면 매우 심각한 수준"이라며 "업무가 시작하는 월요일부터 관련 피해가 급증할 가능성이 있다"고 분석했다.
시만텍코리아 윤광택 CTO(최고기술책임자)는 "워너크라이는 랜섬웨어와 웜이 결합한 형태로 웜은 패치가 업데이트되지 않으면 원격으로 자동 감염될 가능성이 크기 때문에 위험도가 높다"라며 "향후 랜섬웨어와 웜이 결합한 형태의 공격이 늘어날 가능성이 커 패치 업데이트와 소프트웨어를 최신 상태로 유지하는 것을 생활화해야 한다"고 조언했다. (연합뉴스)