전 세계 70여개국 이상을 강타한 대규모 랜섬웨어 공격이 예전 미국국가안전보장국(NSA)의 공격툴에서 비롯된 것으로 추정되고 있다.
13일(현지시각) 영국 '레저스터'는 일명 워나크립트 혹은 Wcry로 알려진 워나크립트(WannaCrypt) 랜섬웨어 웜이 병원, 통신, 철도국, 대학 등 74개국에서 폭발적으로 증가했다고 전하며 옛날 NSA가 사용했던 사이버무기를 랜섬웨어에 도입한 것이라고 보도했다.
랜섬웨어는 한마디로 사용자 PC를 인질로 삼아 몸값을 요구하는 보안공격이다. 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤, 이를 풀어주는 대가를 요구하는 악성 프로그램이다.
워나크립트 랜섬웨어는 마이크로소프트(MS)의 SMB 파일 공유 서비스의 취약점을 악용한 네트워크 웜에 의해 윈도우가 깔린 컴퓨터에 설치된다.
기사에 따르면 문제는 이번 랜섬웨어 공격이 NSA가 첩보로 활용하던 해킹툴에서 비롯됐다는 것이다.
NSA는 MS 윈도우의 취약점을 알아내 만든 백도어 해킹툴을 이터널블루(Eternalblue)라는 코드명으로 부르며 활용했지만 최근 유출됐다.
MS는 이런 사실을 NSA로부터 듣자마자 MS17-010이란 패치로 보안 업데이트를 실시했다. 그러나 업데이트 하지 않은 이용자들이 많았던 것으로 알려졌다. 실제 이 미국 정부의 이 사이버 무기는 유출되자마자 인터넷에 연결됐던 수천대의 기계를 감염시키는데 악용됐다.
바로 NSA가 유출한 이 해킹툴이 랜섬웨어와 결합된 것이 이번 변형 워나크립트라는 것이다. 결국 윈도우 옛날 버전 사용자에게는 치명적일 수 있다는 것이다.
이번 랜섬웨어 공격에는 더블펄서(Doublepulsar)라는 원격제어 백도어 해킹툴도 감지되고 있다. 더블펄서는 이터널블루 유출돼 함께 도난당한 NSA의 악성 소프트웨어다. 이 멀웨어는 숨은 서비스와 연결된 주인들의 명령을 받는데 익명화된 Tor 네트워크를 통해 제어되는 것으로 알려졌다.
그러나 이 멀웨어는 특정한 웹 도메인을 감지하면 추가 감염을 중지하는 것으로 알려졌다.
이번 랜섬웨어 공격자들은 파일 복원 비용으로 300달러(약 33만 원) 혹은 600달러(약 67만 원) 상당의 비트코인을 요구하고 있다.
윈도우 10은 자동으로 보안패치가 업데이트 되고 있다. 그러나 윈도우7 등 그 아래 버전은 사용자가 직접 업데이트 해야 하는 경우가 많아 랜섬웨어의 추가 피해가 있을 가능성이 높다. /letmeout@osen.co.kr
