랜섬웨어의 무차별 공격을 막는 데 결정적인 역할을 한 도메인 두 개가 화제다.
지난 주말 워너크라이(Wanna Cry) 랜섬웨어 공격으로 전 세계에 비상이 걸렸다. PC를 인질로 잡은 뒤 돈을 요구하는 랜섬웨어는 한 번 감염되면 별다른 해결책이 없을 정도로 무서운 존재다.
특히 이번에 등장한 ‘워너크라이’는 이름 그대로 이용자들을 ‘울고 싶게’ 만들 정도로 공포감을 심어줬다.
하지만 피해는 생각만큼 크진 않은 편이다. 미국 경제매체 쿼츠에 따르면 15일(현지시간) 현재 워너크라이에 감염된 뒤 비트코인 계좌로 송금한 금액이 4만2천 달러 수준으로 집계됐다.
처음 출현할 때에 비해 확산 폭이 크지 않았던 셈이다. 이처럼 워너크라이 랜섬웨어 2차 확산을 막는 데는 두 개의 도메인이 결정적인 역할을 했다고 쿼츠가 전했다.
■ 영국 보안전문가 "2차 킬스위치 등록뒤 기세 주춤"
지난 12일 영국 병원을 중심으로 감염이 시작된 워너크라이 첫 번째 확산을 막은 것은 맬웨어테크(MalwareTech)로 알려진 영국 보안 전문가였다.
그는 워너크라이 코드에서 발견한 도메인(9iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)을 우연히 등록하게 됐다. 쿼츠에 따르면 그가 이 도메인을 등록한 이후 워너크라이 확산이 멈췄다.
맬웨어테크 본인조차 그 의미를 제대로 알지 못한 상태에서 한 행동이 비상정지 스위치(kill switch) 역할을 한 셈이다.
이후 전문가들은 워너크라이 변종이 등장할 것으로 예상했다. 하지만 이번엔 또 다른 보안 전문가가 도메인을 등록하면서 다시 방어막 역할을 했다.
화제의 인물은 보안 스타트업인 코매 테크놀로지 창업자인 매트 스위치다. 그가 또 다른 도메인(ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com)을 등록한 뒤부터 워너크라이 변종 확산이 주춤한 것으로 알려졌다.
스위치는 트위터에 올린 글을 통해 "2차 킬스위치를 등록한 뒤 주로 러시아에서 유포되던 랜섬웨의 확산이 멈췄다"고 밝혔다.
관련기사
- "워너크라이 랜섬웨어, 북한과 연관성 발견"2017.05.16
- '울고 싶은' 랜섬웨어…어떤 일 있었나2017.05.16
- 자동 업데이트 끄기가 '랜섬웨어' 키웠나2017.05.16
- 왜 영국 병원이 랜섬웨어 첫 타깃됐을까2017.05.16
물론 아직 워너크라이 랜섬웨어 사태는 마무리된 게 아니다. 또 다른 변종이 등장하면서 엄청난 피해를 몰고 올 수도 있다.
하지만 초기 확산 과정에서 등록된 두 개의 도메인이 인질범들이 전 세계로 영향력을 확대하는 것을 막아낼 수 있었다고 쿼츠가 전했다.
