랜섬웨어 워너크라이, '우연한 발견' 덕에 전파 중단

세계 각국의 컴퓨터 12만대 이상을 감염시킨 랜섬웨어 ‘워너크라이(WannaCry)’의 확산이 한 보안 전문가의 우연한 발견으로 중단됐다. 인터넷 커뮤니티와 SNS 등에는 ‘랜섬웨어 예방법이 뭐냐’, ‘랜섬웨어에 걸렸는데 어떻게 복구해야 하냐’고 묻는 글이 폭주하고 있다.

랜섬웨어는 ‘랜섬(Ransom, 몸값)’과 ‘소프트웨어(Software)’의 합성어로, 개인용 PC나 핸드폰에 침입해 안에 저장된 데이터를 인질로 삼고 해커가 돈을 요구하는 신종 악성 프로그램이다. 컴퓨터 안에 있는 문서나 사진 파일이 암호화 되고, 화면에 ‘해독키를 제공받으려면 돈을 입금하라’는 메시지가 뜨는 식이다.

워너크라이 랜섬웨어 한국어 버전.

랜섬웨어 감염 현황 실시간 중계 사이트인 ‘맬웨어테크닷컴’에 따르면, 12일부터 이틀간 ‘워너크라이’라는 이름의 랜섬웨어는 전 세계로 퍼져 12만5480대의 컴퓨터를 감염시켰다(한국시간 오후 6시30분 기준). 러시아에서는 경찰을 관할하는 내무부 컴퓨터 1000대가, 영국에서는 병원 40여개의 컴퓨터가 감염됐다. 한국에서도 서울시내 한 대학병원에서 감염 의심 징후가 나타났다.

하지만 13일 오후 한 보안전문가의 우연한 발견이 이 악성코드의 확산에 제동을 걸었다. 13일 보안업계에 따르면 트위터 계정 ‘@MalwareTechBlog’을 쓰는 한 사이버보안 전문가는 ‘워너크라이’를 분석하다가 이것이 한 특정 도메인(인터넷 주소)에 접속을 시도한다는 사실을 발견했다. 이 도메인은 아직 등록이 되어 있지 않은 상태였다.

그는 악성코드의 확산에 대한 정보를 더 분석하려는 차원에서 이 도메인을 10.69달러(한화 1만2000원)을 내고 등록해 활성화했다. 그러자 갑자기 ‘워너크라이’의 전파가 중단됐다. 알고 보니 ‘워너크라이’는 해당 도메인이 활성화 상태면 전파를 중단하고, 활성화가 상태가 아니면 전파를 계속하도록 설계돼 있었다. 해당 도메인이 일종의 ‘스위치’였던 셈이다.

트위터 계정 '@MalwareTech'를 쓰는 보안전문가의 트윗. [사진 트위터]

악성코드에 대한 정보를 얻고자 우연히 한 행동이 악성코드의 스위치를 껐다는 사실이 알려지자, 보안업계와 외국 매체들은 해당 전문가를 ‘우연히 탄생한 영웅(an accidental hero)’라고 부르며 칭송하고 있다. 하지만 전문가들은 스위치를 없앤 새로운 변종 랜섬웨어의 등장을 우려한다. 또 ‘워너크라이’의 전파가 중단됐다고 해서 이미 감염된 컴퓨터가 치료되는 것은 아니다.

시민들은 랜섬웨어에 대한 불안에 떨고 있다. 랜섬웨어가 악성코드가 숨겨진 웹사이트 방문만으로도 감염될 수 있으며, 악성코드를 없애도 암호화한 파일이 복구되지 않는다는 점이 알려지면서다.

전문가들은 “예방이 최우선”이라고 말한다. 랜섬웨어 위협 감지 기능이 있는 백신을 설치해 최신 업데이트 상태로 유지하고, 주기적으로 데이터를 백업하라는 것이다. 일부 랜섬웨어 악성코드는 인터넷에서 복호화 툴을 무료로 다운받아 사용할 수 있다. 전문가들은 “돈을 요구하더라도 절대 해커에게 입금하지 말고 복호화 툴을 사용하라”고 조언했다.

※관련 사이트 
-‘The No More Ransom Project(www.nomoreransom.org)’: 경찰청과 유로폴 협약 체결로 일부 랜섬웨어 복구 도구 무료 제공
-‘보호나라(www.boho.or.kr)’: 인터넷진흥원이 랜섬웨어 감염경로와 예방법 제공

윤재영 기자 yun.jaeyeong@joongang.co.kr