국내서 정부 당국과 보안업계 관계자들의 활동으로 워너크라이 랜섬웨어 확산이 주춤하는 분위기다. 하지만 '킬스위치' 없는 워너크라이 변종의 등장 가능성 때문에 안심하긴 이른 상황이다. 킬스위치를 품은 워너크라이는 특정 인터넷 도메인이 활성화되면 확산을 중단하지만, 이게 없는 변종은 끊임없이 확산해 지속 피해를 야기할 수 있다. 각자 문제가 된 보안취약점을 해결해 감염을 막는 게 최선이다.
워너크라이는 지난 12일부터 급속 확산된 랜섬웨어다. 유로폴에 따르면 15일까지 세계 150개국 20만대 컴퓨터 감염이라는 기록을 세웠다. 감염된 컴퓨터의 파일을 무단으로 암호화해 사용자가 못 쓰게 만들고, 1주일 뒤엔 삭제해버리는 파괴적인 악성코드다. 악성코드는 기한내 파일을 되살리려면 처음엔 300달러, 일정기간 후 600달러치 비트코인을 보내라고 지시한다. 실제 돈을 내 복구된 사례는 알려지지 않았다.
워너크라이는 여타 랜섬웨어와 달리 강한 전파력을 갖고 있었다. 보통 랜섬웨어는 피싱 이메일을 통해 전파된다. 이번에 확산된 워너크라이는 스스로 인터넷에서 다른 컴퓨터를 찾아다닌다. '이터널블루'라 명명된 윈도 운영체제(OS) 보안취약점을 이용, 패치가 안 된 PC나 서버를 감염시킨다. 이터널블루는 지난달 해커그룹 섀도브로커즈가 미국 국가안보국(NSA)으로부터 훔쳤다고 주장한 사이버무기 중 하나다.
워너크라이의 킬스위치는 이런 자가복제와 전파력을 무력/화하는 장치로, 확산되고 있는 악성코드 안에 숨어 있었다. 악성코드는 인터넷에서 읽기 어렵게 돼 있는 특정 도메인이 활성화돼 있는지를 확인하고, 활성화돼 있을 경우 스스로 확산을 멈추도록 만들어졌다. 누군가가 해당 도메인을 등록해 인터넷주소를 활성화하면 그 도메인을 확인한 워너크라이가 더 이상 확산되지 않게 만들 수 있었다.
■"킬스위치 없는 워너크라이 나올 것"
사이버보안 관련 블로그 맬웨어테크(MalwareTech) 운영자가 이런 특성을 발견했다. 그는 지난 12일 워너크라이 코드를 분석하던 도중 이 악성코드가 등록되지 않은 도메인을 조회하는 동작을 포함하고 있다는 걸 알아냈다. 보통 악성코드가 외부 도메인이나 인터넷 주소를 조회하는 기능은 감염된 컴퓨터를 조종하는 명령제어서버(C2 또는 C&C)와 통신하는 건데, 미등록 도메인을 조회하는 건 이상한 일이었다.
맬웨어테크 운영자는 호기심에 해당 도메인을 11달러 주고 구입해 활성화했는데, 이는 해당 악성코드의 확산을 멈추는 스위치였다는 사실이 드러났다. 이 스위치가 이미 감염된 기기 사용자에겐 아무 도움이 되지 않고, 이미 워너크라이 랜섬웨어가 수십개국을 휩쓴 상황이긴 했지만, 전염이 멈췄다는 건 추가 피해를 막을 여지를 만든 셈이었다. 영국 일간지 가디언 보도는 이 운영자를 '우연한 영웅'이라 일컬었다.
문제는 변종이었다. 150개국 20만대 컴퓨터를 감염시킨 워너크라이는 동일한 보안취약점을 사용하지만 다양한 변종으로 만들어져 확산됐다. 지난 14일 사이버보안업체 '코매테크놀로지스' 창업자 맷 스위치(Matt Suiche)는 12일 킬스위치가 동작한 버전과 다른 워너크라이 변종 2가지를 소개했다. 하나는 그가 직접 도메인을 등록한 다른 킬스위치를 갖고 있는 악성코드였고, 다른 하나는 킬스위치가 없는 버전이었다.
킬스위치가 제거된 변종은 카스퍼스키랩 연구원을 통해 발견, 공유됐지만 악성코드가 사용하는 저장소가 변형돼 시스템 감염 능력을 발휘하지는 못하는 것으로 파악됐다. 하지만 호주 'IT뉴스' 보도에 따르면 스위치는 이 사례가 제작자의 일시적인 실수일 것이라며 킬스위치가 없고 제대로 동작하는 워너크립트 변종이 곧 나올 것이라 전망했다.
■킬스위치 없는 워너크라이, 이미 나왔다
주말새 관계기관과 보안업체 전문가들의 대응으로 월요일 홍역을 치른 국내 랜섬웨어 감염 사태는 이제 소강상태에 다가가는 분위기다. 하지만 일부 언론은 워너크립트 변종 랜섬웨어가 280개 또는 300개까지 등장했다고 보도하고 있다. 악성코드 전파 시도가 지속되고 있다는 방증이다. 어제까지 확인된 국내 기업의 랜섬웨어 대응 문의처는 10곳이고, 그중 5곳은 피해신고를 접수했다.
16일 한국인터넷진흥원(KISA) 사이버침해대응본부 신대규 침해사고분석단장은 "중복을 제하면 발견된 (워너크라이) 변종은 200여종 정도인데, (극히 일부분만 달라도 완전히 다른 결과를 내는) MD5 값을 기준으로 구분한 것이라 (가짓수 자체에) 큰 의미를 두기는 어렵지만, 계속 상황을 주시하고 있다"면서 "신고된 워너크립트 감염 건수는 오늘중 보호나라 공식사이트를 통해 공지할 예정"이라고 언급했다.
관련기사
- 운명의 도메인 두 개, 랜섬웨어 확산 막았다2017.05.16
- "워너크라이 랜섬웨어, 북한과 연관성 발견"2017.05.16
- 자동 업데이트 끄기가 '랜섬웨어' 키웠나2017.05.16
- "랜섬웨어 사태, 美 정보기관이 더 키웠다"2017.05.16
그의 이어지는 설명에 따르면 발견된 워너크라이 변종이 워낙 많고 다양해, 그 중 킬스위치가 사실상 없는 변종도 이미 존재한다. 그는 "킬스위치 도메인이 닷컴(.com)이 아닌 닷테스팅(.testing)으로 돼 있는 변종도 있는데 이는 등록할 수 없는 도메인이고, 등록할 수 있는 도메인을 갖고 있지만 등록해도 확산을 멈추지 않는(킬스위치가 없는) 변종도 존재한다"고 설명했다.
15일(현지시간) 영국 더레지스터는 실제로 킬스위치가 없는 새로운 악성코드 '위윅스(Uiwix)'가 등장했다고 보도했다. 워너크립트 변종은 아니지만, 워너크립트가 악용한 것과 동일한 윈도OS의 서버메시지블록(SMB) 보안취약점을 통해 확산된다. 워너크립트의 확산에 대비해 윈도 보안업데이트 설치를 해 뒀다면 피해를 예방할 수 있을 것으로 보인다.