랜섬웨어 워너크라이 피해 현황은

미국 정부 "150개국 30만대 감염·누적 7만달러 지불"

컴퓨팅입력 :2017/05/16 16:44

랜섬웨어 '워너크라이'가 국내외 발생시킨 피해 현황은 얼마나 될까.

앞서 유로폴 발표상의 워너크라이 감염 피해 규모는 '세계 150개국 컴퓨터 20만대'로 추산됐다. 이후 15일(현지시간) 미국 백악관의 정부 대변인 브리핑에서 이 수치는 '150개국 30만대'로 늘어났다.

각국 피해는 영국 국가의료보건서비스(NHS)소속 병원 등 48개 기관, 스페인 통신사 텔레포니카, 미국 배송업체 페덱스, 러시아 내무부, 일본 닛산, 프랑스 르노 공장, 독일 국영철도회사 도이체반, 중국 석유천연가스집단(CNPC), 인도네시아와 일본 소재 병원 등 일일이 열거하기도 어렵다.

한국에서도 기업들이 업무를 시작한 지난 15일부터 피해 사례가 알려지기 시작했다. 대전 대형 영화관의 광고상영시스템, 종합병원 전산시스템 일부, IT서비스업체 장비 모니터링 서버, 제조업체의 제조공정 서버 등이 감염돼 운영에 차질을 빚었다. 기업뿐아니라 자영업자도 카드단말기 관리PC를 감염당해 문제를 겪었다.

랜섬웨어에 감염된 전산시스템을 복구하느라 즉각 사용할 수 없는 피해는 시간이 걸릴 뿐 결국 해결 된다. 하지만 전산시스템에 보관 중이던 데이터를 백업해 두지 않은 채 감염당했을 경우 문제가 심각해진다.

워너크라이는 다른 랜섬웨어처럼 감염 피해자에게 '데이터를 살리고 싶다면 얼마 상당의 비트코인을 결제하라'고 지시한다. 감염 초기 요구되는 금액은 약 300달러, 일정기간 후 요구되는 금액은 600달러 가량이다. 악성코드는 이마저 결제하지 않고 1주일을 보내면 데이터를 지워버릴 것이라고 위협한다.

사이버보안업체 시만텍에 따르면 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 2015년 294달러에서 2016년 1천77달러로 증가했다. 워너크라이의 요구 액수는 상대적으로 높지 않다는 얘기다.

이 악성코드의 지시를 따라 비트코인을 결제한 사례가 있다. 이 경우는 워너크라이로 인한 전산시스템 장애와 별개로, 직접적 금전 피해를 입는 것이라 볼 수 있다.

■랜섬웨어 몸값 지불, 한국이 최대?…'판정 불가'

액수는 얼마나될까. 전세계 워너크라이 악성코드 금전 피해를 공개된 비트코인 거래량 데이터로 간접 확인할 수 있다.

글로벌 비트코인 결제 데이터를 분석해, 워너크라이 악성코드에 제시된 비트코인 계정으로 발생한 '거래량'을 추적할 수 있다. 결제된 비트코인은 세계 블록체인 네트워크의 분산원장에 기록되고, 누구나 그 데이터에 접근할 수 있기 때문이다. 이는 감염 피해자가 악성코드 제작자에게 데이터를 살리기 위한 비용으로 지불한 금액이라고 추정할 수 있다.

워너크라이가 발생시킨 광범위한 감염 사례의 범위에 비하면, 실제 감염 피해자들이 비트코인 구매로 지불한 금액의 총합은 확인된 데이터만 놓고 보면 대단치 않은 수준이다.

온라인미디어 쿼츠는 지난 13일 소프트웨어업체 체이널리시스 자료를 근거로 2만3천달러 가량이 워너크라이 랜섬웨어에 지불됐다고 보도했다. 한국돈으로 2천568만원쯤 된다. 체이널리시스는 자체 파악한 비트코인계정 3개의 거래량만을 기준으로 삼았다.

이와 별개로, 한국 사이버보안전문업체인 NSHC는 워너크라이 랜섬웨어 관련 비트코인계정 5개를 파악해 지난 12일부터 일별 누적 거래량을 추적, 원단위로 환산한 피해액을 집계하고 있다. 그 액수는 지난 15일까지 7천만원 가량이다.

미국 정부 대변인 브리핑에서도 악성코드 때문에 지불된 금액은 7만달러(약 7천815만원) 미만이라고 언급됐다.

어느 쪽을 보더라도 누적 지불액수가 한국돈 1억원을 넘지 못한다. 워너크라이 랜섬웨어와 관련된 비트코인계정은 추후 또 발견될 수 있지만, 확인된 정보만 놓고 보면 전세계적으로도 지불된 금액 차원의 피해는 크지 않다.

다만 여기서 한국의 금전적 피해를 떼어 보기는 쉽지 않다.

지난 15일 정부 관계자에 따르면 국내 랜섬웨어 결제 액수와 관련된 공식 집계 자료는 없다. 정부 입장에서 이런 민간의 개별적인 대응을 일일이 파악하긴 어렵다. 랜섬웨어에 감염된 개인이나 민간사업자가 단순히 전산시스템 복구가 아니라 중요한 데이터를 복원해야 할 경우, 관련 기관의 도움을 받기 전에 일단 악성코드의 지시에 따라 '몸값'을 지불할 수도 있기 때문이다.

앞서 인용한 쿼츠 보도는 "러시아인과 한국인들이 글로벌 랜섬웨어 해커에게 가장 많은 돈을 지불했다"고 썼다. 체이널리시스 자료에서 거래주체별 지불액수로 상위권을 차지한 러시아와 한국 비트코인거래소의 거래액을 근거로 삼았다. 여기엔 한국 소재 비트코인 거래소의 거래가 대체로 한국의 피해자를 통해서 발생했고, 다른 나라 거래주체의 지불 금액이 누락되지 않았을 것이란 전제가 필요하다.

워너크라이 감염 피해가 경고된 지난 12일 카스퍼스키랩은 러시아의 경우 실제 공격 피해 1위였음이 확인됐지만, 당시 한국은 피해 규모 상위 20위권에 들지 않았다.

2017년 5월 12일 카스퍼스키랩이 분석한 워너크라이 랜섬웨어 공격 피해 국가별 순위

■워너크라이 피해접수 증가세 완화…KISA "관련 문의는 지속되고 있어"

한국의 공격 피해 규모가 세계 현황에서 얼마나 될지는 아직 확인되지 않았다.

대신 한국인터넷진흥원(KISA)이 접수 중인 피해 관련 상담 추이와 앞서 보도된 실제 침해사고 사례를 참고해볼만하다. KISA는 지난 15일부터 보호나라 KrCERT 공지사항을 통해 '워너크라이 피해접수·신고 및 랜섬웨어 관련 상담 현황'을 게재하고 있다.

일별 랜섬웨어 관련 상담 건수는 15일 절정에 달했지만, 16일 현재도 적지 않다.

워너크라이 피해가 확산되기 시작한 지난 14일 하루동안 이뤄진 관련 상담 현황은 517건으로 기록됐다. 이튿날인 15일에는 오후 6시까지 2천456건 상담이 이뤄졌다. 밤 사이 409건이 늘어 15일 하룻새 2천863건을 기록했다. 16일 오후 1시까지 기록된 상담은 702건이다. 15일보다 적지만 14일보다는 많은 상담이 이뤄졌다.

상대적으로 누적 접수된 워너크라이 피해접수·신고 건수의 증가세는 완만해졌다.

14일 이 랜섬웨어 피해를 접수한 곳은 6곳이었다. 그중 직접 신고를 받은 곳은 3곳이었다. 15일 오후 6시 기준 누적된 피해 접수 건수는 13건으로 늘었다. 그중 직접 신고를 받은 곳도 9건에 달했다. 16일 오후 1시 기준 누적된 피해 접수 건수는 14건이다. 그새 직접 신고를 받은 곳은 2곳이 추가돼 11건을 기록했다.

KISA 측은 현재 "랜섬웨어 관련 문의가 지속되고 있다"며 "피해 방지를 위한 지속적 주의 노력이 필요하다"고 당부했다. 이는 "랜섬웨어 관련 문의가 증가하고 있다"던 하루 전과 비슷한 추세를 유지하고 있다는 것으로 풀이된다.

피해자가 자체 대응할 여지가 있는 랜섬웨어 특성상, KISA 측에 직접 접수 또는 신고된 피해 사례가 한국의 모든 피해 현황을 나타낸다고 볼 수는 없다. 사이버보안 업체와 국내외 언론을 통해 보도된 내용을 종합해 볼 필요가 있다.

관련기사

우선 이스트시큐리티는 지난 14일 앞서 기록된 일별 워너크라이 랜섬웨어 탐지 건수를 통해 초기 위협 발생 추이를 제시했다. 회사는 자사 안티바이러스 제품 '알약'으로 워너크라이를 탐지(차단)한 건수가 지난 12일 942건, 13일 1천167건을 기록했다고 밝혔다.

이어 안랩도 지난 12일부터 15일 오후2시까지 자사 V3 안티바이러스 사용 고객 환경에서 발생한 워너크라이 진단 건수를 밝혔다. 회사는 개인과 기업을 아울러 '진단 및 치료'한 감염PC가 187대를 기록했고 "차단로그는 피해 PC 숫자보다 많다"고만 언급했다.