워너크라이는 어떤 원리로 작동하며, 아직도 위협적인가요?

이 글을 읽고 계신 여러분은 모두 워너크라이 랜섬웨어 공격(wannacry attack)에 대해서 들어본 적이 있으실 겁니다. 워너크라이 랜섬웨어가 수많은 사이버 공격 중에서도 가장 악명 높으면서도 엄청난 파괴력으로 많은 이들을 강타했기 때문입니다. 피해자들을 정말 울고 싶게 만드는 워너크라이 공격에 관해 더 알아보겠습니다.

워너크라이 랜섬웨어(wannacry ransomware)는 2017년 5월 12일부터 배포되기 시작하여, 당시 미국, 영국, 러시아 등 150여 개국 내 30만대의 PC를 감염시키며 전 세계 병원, 은행, 기업 등의 컴퓨터 네트워크를 마비시켰습니다. 해커들은 윈도우 OS의 취약점을 공략하여 중요한 파일을 암호화한 후에 파일 복구를 조건으로 비트코인을 요구하는 수법을 악용하였습니다.

당시 워너크라이 랜섬웨어는 영국 공립병원, 프랑스 자동차 제조사 르노, 스페인 통신업체 텔레포니카, 닛산 등의 PC를 마비시켰습니다. 이에 영국에서는 수술이 미뤄지고, 공장이 가동 중단되는 등 전 세계적으로 막대한 피해를 입혔고 경제적 피해도 상당했습니다. 한 조사 기관에 따르면, 워너크라이 랜섬웨어로 인한 피해 규모가 약 40억 달러 내지 80억 달러에 이른다고 합니다.

이때 워너크라이의 무자비한 공격을 막아낸 것은 한 영국 청년이었습니다. 이 청년은 ‘멀웨어테크(MalwareTech)’라는 닉네임으로 알려졌지만, 나중에 ‘마커스 허친스’라는 IT 전문가로 신원이 밝혀졌습니다. 허친스는 워너크라이 랜섬웨어(wannacry ransomware)를 막는 킬 스위치를 발견하고 활성화하여 워너크라이의 추가 확산을 막아냈습니다.

워너 크라이 랜섬 웨어가 정확히 누구의 소행인지 공식적으로 밝혀진 바 없지만, 2017년 말 토머스 보서트 백악관 국토 안보 보좌관은 백악관 기자회견을 통해 워너크라이 공격이 북한의 소행이라는 증거를 확보했다고 발표했습니다. 이에 덧붙여, 영국, 호주, 캐나다, 일본 등의 파트너 국가들에서도 북한의 소행이라는 결론에 동의하였다고 밝혔습니다.

2017년 5월, 미국 보안업체 시만텍 또한 북한과 연계된 조직인 라자루스 그룹에서 워너크라이 랜섬웨어를 만들었을 수도 있다는 분석을 내놓았습니다. 이에 북한 당국은 ‘모략 날조 소동’이라고 반발하였습니다.

워너크라이 (Wannacry)는 피해자 데이터를 암호화하여 데이터를 인질로 잡아서 몸값(ransom)을 요구합니다. 해커들은 피해자에게 위의 스크린샷과 같은 메시지를 화면에 띄우며 데이터 복구를 위해서 비트코인 결제를 유도했습니다.

피해자들은 3일 이내로 해커에게 비트코인을 제공하면 파일의 암호화 해독할 수 있는 해독 키를 받을 수 있지만 3일이 지났으면 파일을 영구적으로 복구할 수 게 되였다. 해커들은 워너크라이 사이버 공격을 통해 성공적으로 약 300~600달러 상당의 비트코인을 요구했습니다.

위에서 설명했듯이 워너크라이 랜섬웨어는 윈도우 OS의 취약점을 악용하여 만들어진 랜섬웨어입니다. 이 취약점들은 원래 미국 국토안보부 (NSA)에서 개바한 이터널 블루 (EternalBlue)라는 해킹 툴에서 착취해서 악의적으로 생성되었습니다.

미국 국토안보부는 전 세계를 상대로 도청하기 위한 목적으로 이터널 블루를 개발하였는데, 이터널 블루를 다루던 관계자들도 이터널 블루가 얼마나 강력한지 혀를 내두를 정도였다고 합니다. 하지만, 미국 국토안보부는 윈도우 OS의 취약점을 알고도 끝내 마이크로소프트에 알리지 않고 비밀에 부쳤습니다. 그리고 이렇게 미국 국토안보부에서 개발한 이터널 블루는 ‘섀도 브로커스(ShadowBrokers)’라는 해커 집단에 의해 유출되었습니다.

또한 해커들은 더블펄사 (DoublePulsar)를 악용하여 워너크라이 랜섬웨어를 확산시켰습니다. 이터널 블루를 통해 백도어 멀웨어인 더블펄사를 주입하여, 더블펄사가 워너크라이 페이로드로 시스템을 감염시키도록 하였습니다. 워너크라이가 피해자의 컴퓨터에 주입되면, 이 워너크라이가 악성 응용 프로그램 구성 요소(예: 앱 암호화 및 데이터, 암호화 키가 있는 파일의 암호화 해제)를 추출하는 방식입니다.

워너크라이가 시스템에 침투하면, 멀웨어 확산을 멈추는 킬 스위치 도메인 이름이 있는지 먼저 확인합니다. 못 찾는 경우에는 시스템에 있는 가장 중요한 파일 형식들은 (doc, mp3, mkvs 등) 암호화하기 시작합니다.마지막으로 이터널 블루 취약점을 악용하여 멀웨어에 감염된 네트워크뿐만 아니라 공공 인터넷으로 멀웨어를 퍼뜨립니다.

2017년 워너크라이 공격이 전 세계를 강타하기 전에, 마이크로소프트에서는 해당 취약점에 대한 패치를 이미 배포한 바 있었습니다. 그럼에 도 불가하고, 당시 많은 윈도우 OS 사용자들이 패치를 적용하지 않았기 때문에 워너크라이 랜섬웨어의 피해를 고스란히 남아 있습니다.

당시 워너크라이 공격을 통해 전 세계적으로 패치의 중요성을 깨닫게 되었음에도, 아직도 윈도우 OS의 취약점을 패치하지 않은 곳이 많습니다. 워너크라이는 파괴력이 엄청난 랜섬웨어임에도, 그에 비해 경각심이 높지 않은 편입니다. 게다가, 변종만 12,000개가 넘는다고 하니 워너크라이의 악몽은 아직도 끝나지 않았다고 말할 수 있습니다.

이처럼, 아직도 인터넷 곳곳에 워너크라이의 위험이 도사리고 있습니다. 그렇다면 워너크라이와 같은 사이버 공격은 어떻게 예방할 수 있을까요? 다음의 몇 가지 예방법을 확인해보세요

• 항상 소프트웨어 업데이트 상태를 최신 보전과 최신 보안 패치를 적용하세요. 위에서 설명했듯이, 워너크라이는 보안 취약점을 악용하여 전 세계로 퍼져 나갔습니다. 워너크라이의 피해자들이 사전에 적절한 보안 패치를 적용하고 업데이트를 시행하였다면 피해를 줄일 수도 있었습니다.
• 바이러스 및 위협 방지와 같은 최신 버전의 사이버 보안 도구를 이용하여 멀웨어를 원천 차단하세요.
• 의심스러운 링크, 배너, 첨부파일은 절대 클릭하지 마세요. 특히 의심스러운 웹사이트에서 소프트웨어를 다운로드하지 마세요. 이러한 소프트웨어에는 악성 코드가 숨어 있을 수 있습니다.
• 100% 신뢰할 수 없는 USB는 가급적이면 PC에 연결하지 마세요. 감염된 USB를 통해서 기기로 멀웨어가 전파될 수 있습니다.
• 안전이 보장되지 않은 공용 와이파이에 연결할 때는 반드시 VPN을 이용하세요. VPN을 이용하면 IP 주소를 숨겨서 개인정보를 보호하고 익명을 유지해줄 뿐만 아니라, 사이버 범죄자들이 트래픽을 가로채지 못하도록 보호해줍니다.
• 정기적으로 백업을 하세요. 평소에 백업해두면 혹시 랜섬웨어 공격을 당하더라도 피해를 최소화할 수 있습니다. 업무용으로 이용되는 중요한 문서, 개인적으로 중요한 문서 등은 백업을 하시고 외장하드 등의 외부 저장 장치에 별도 저장하시는 것을 추천해드립니다.

오늘 보안을 확보하고 미래의 안전을 보장하세요.