랜섬웨어 초비상… 출근 즉시 인터넷선 먼저 뽑고 PC 켜야

업무시작하는 15일 본격 공습 예상

14일 서울 송파구 한국인터넷진흥원 인터넷침해대응센터 종합상황실에서 직원들이 랜섬웨어 피해 접수 상황을 실시간으로 확인하면서 대응책을 논의하고 있다. 왼쪽 하단 모니터 세계지도에 밝은 점으로 표시된 곳이 워너크라이 랜섬웨어 피해지역 도시들이다. 전영한 기자 scoopjyh@donga.com

컴퓨터 보안 전문가들은 이번 랜섬웨어 공격이 출근으로 컴퓨터가 많이 켜지는 15일부터 본격적으로 국내에 상륙할 가능성이 높다고 경고했다. 영국 등에서 워너크라이 랜섬웨어 공격이 시작된 12일 오후(현지 시간)가 한국은 주말이어서 피해가 적었을 것이라는 분석이다. 한국인터넷진흥원(KISA) 측은 “워너크라이에 감염된 컴퓨터를 복구하는 방법은 현재까진 없다”며 예방에 최선을 다해 줄 것을 당부했다.

○ 병원과 공공기관 피해 땐 혼란 커질 듯

워너크라이 랜섬웨어는 사내망에 연결된 단 한 대의 컴퓨터만 감염돼도 보안이 취약한 네트워크상의 다른 컴퓨터들을 순차적으로 감염시킬 수 있다. 김승주 고려대 사이버국방학과 교수는 “이번 랜섬웨어는 네트워크상에서 스스로 확산된다”고 설명했다. 그동안 파일에 암호를 걸고 돈을 요구하는 랜섬웨어는 이메일과 웹사이트에서 바이러스 파일 형태로 유포되는 경우가 많았으나, 이번에는 ‘웜(Worm·자기복제 악성코드)’ 형태로 더 악성이라는 설명이다. 13일 영국 보안 전문가가 이번 랜섬웨어 확산을 일시 중지하는 방법을 발견해 전파 속도를 늦췄지만 변종에 의한 공격까진 막기 어렵다는 게 전문가들의 전망이다.


보안업계는 미 국가안보국(NSA)이 개발한 해킹 툴이 해커그룹의 손에 들어가 사이버 공격이 고도화된 것으로 보고 있다. NSA 해킹 툴은 주로 윈도 XP와 윈도 비스타 등 구형 운영체제를 대상으로 하지만 최신 버전인 윈도 7이나 윈도 10 역시 최신 보안패치를 받지 않았다면 변종 랜섬웨어의 공격을 받을 가능성이 있다.

보안업체 이스트시큐리티 관계자는 “국내 사용자들은 상당수가 업데이트에 둔감해 이번 해킹에 취약할 것으로 보고 있다”고 지적했다. 백신 프로그램인 ‘알약’이 탐지해 막아낸 워너크라이 랜섬웨어 공격은 최근에만 2000건에 달하는 것으로 나타났다. 국내에도 이미 피해를 입고도 확인되지 않은 컴퓨터가 상당히 많을 수 있다는 의미다.

랜섬웨어가 외국의 사례처럼 병원이나 공공기관에 침투할 경우 피해는 걷잡을 수 없이 커질 것으로 보인다. 보안업체 하우리 최상명 침해대응실장은 “이번 랜섬웨어는 병원, 공공기관 등 대상을 가리지 않는 것이 특징”이라며 “국내에서도 영화관이나 백화점 등이 해킹 피해를 입은 것으로 알고 있다”고 말했다. 유명 기업과 기관들은 감염 사실을 숨기는 경향이 있어 국내의 실제 피해는 신고된 것보다 훨씬 많을 것으로 업계는 예상하고 있다.

○ 철벽 사이버보안 자랑하던 유럽도 속수무책

크게보기

프랑스 영국 러시아 독일 등의 병원, 철도, 통신 같은 기간산업이 다 뚫렸다. 유럽연합(EU) 소속의 경찰기구인 유로폴은 14일 “이번 피해는 150여 개국이 공격을 받는 역사상 전례가 없는 수준(unprecedented level)”이라며 “컴퓨터가 본격적으로 켜지는 월요일 아침 출근 이후 피해가 늘어날 것”이라고 우려했다.

이번 랜섬웨어의 공격은 영국에서 가장 먼저 피해가 접수됐다. 12일 밤 영국의 국민보건서비스(NHS·건강보험공단) 산하 248개 병원 중 48곳에서 병원의 컴퓨터와 전화 교환 시스템이 갑자기 작동을 멈췄다. 런던뿐만 아니라 잉글랜드와 스코틀랜드 전역이 피해를 입었다. 병원 환자 진료 기록이 열리지 않거나 수술 일정과 외래 진료 일정이 모두 사라졌다. 영국 NHS는 급한 대로 응급 환자와 비응급 환자를 나눠 수술 및 진료 일정을 다시 잡고 있지만 최대 6주까지 진료가 미뤄지면서 환자들의 불만은 커져 가고 있다.

영국에서는 이미 마이크로소프트(MS)가 3월에 보안패치 업데이트를 배포했는데 NHS는 옛 버전을 계속 사용했다. 수십만 대의 컴퓨터가 여전히 구체제 시스템을 사용하고 있어 추가 감염이 우려되고 있다.

영국 내 최대 자동차 생산 공장인 닛산 선덜랜드공장도 랜섬웨어 공격에 12일 오후 5시부터 생산을 중단했고 프랑스의 대표적인 자동차 회사인 르노도 공격이 이어지자 선제 조치 차원에서 북부 상두빌을 포함해 프랑스 공장 중 몇 군데의 생산을 중단했다.

독일은 하루 4만 대의 열차를 운용하는 국영 철도회사인 반(Bahn)의 역사에 설치된 디지털 단말기가 오작동하는 피해를 입었고, 러시아 내무부는 전체 컴퓨터의 0.1%인 1000대가 이번 공격의 피해를 입었다. 스페인의 이동통신 업체인 텔레포니카, 미국의 운송업체인 페덱스도 피해를 보았다.

임현석 기자 lhs@donga.com / 파리=동정민 특파원