골든아이 랜섬웨어가 러시아 유럽을 걸쳐 미국까지 향하고 있다. 특히 골든아이는 현재 복호화 협상이 불가능해 피해가 커질 가능성이 높다.
해외 주요 외신들은 28일(이하 한국시간) “골든아이 및 페티아라고 불리는 신종 랜섬웨어가 러시아 국영 석유회사와 우크라이나의 정부, 국영기업, 통신사, 금융기관 시스템을 강타했다”는 사실을 전하며 “심지어 우크라이나에 있는 체르노빌 원전의 방사능 자동 모니터링 시스템이 가동 중단되면서 수동으로 전환되기도 했다”고 보도했다. 다행스럽게 체르노빌 원전의 방사능 기준에 영향을 끼치지는 않았지만 정신이 아찔해지는 순간.
골든아이도 워너크라이와 마찬가지로 해킹툴 '이터널블루(Eternal Blue)'가 포함된 것으로 보인다. 이터널블루는 미국가안보국(NSA)이 개발해 도난당한 프로그램으로 알려졌다. 이번 랜섬웨어 공격은 우크라이나와 러시아를 중점으로 확산됐지만, 프랑스, 독일 등 유럽 전역에서 피해 업체가 발생했다. 골든아이 랜섬웨어의 경우 랜섬웨어에 감염된 컴퓨터 화면에는 "300달러에 해당하는 비트코인을 송금하면 복구 키를 제공하겠다"는 메시지가 뜨는 것이 특징이다.
복구를 원하는 사람은 지불 확인을 이메일 주소로 보내야만 한다. 하지만 현재 해당 전자 메일 주소는 메일 주소 공급자에 의해 사용이 종료된 상황이다. 랜섬웨어 해커 메일 주소였던 독일 전자 메일 업체 포스테오(Posteo)는 ‘회사 메일 플랫폼을 이용한 범죄를 용서하지 않겠다’고 밝혔다.
앞으로 컴퓨터 랜섬웨어 문제를 해결하기 위해 복호화 키를 얻기 위해 해커에게 연락하고 싶어도 더 이상 방법이 없는 것이다. 보안 업체 프루프포인트(Proofpoint)은 “이러한 아마추어 같은 대처로 볼 때 골든 아이를 만든 해커는 사이버 공격에 능숙하지 않다. 공격 이후 피해 업체와 협상 경험이 많아 보이지는 않는다”고 지적했다.
그러나 결코 방심해서는 안된다. 골든아이는 배다른 형제 워너크라이 이상의 위험성을 내포하고 있다. 일부 보안 전문가들은 “골든아이는 랜섬웨어 공격을 통해 컴퓨터 파일을 잠그고 사용자가 지정된 합계 금액을 지불해야만 액세스 권한을 다시 갖도록 강제한다. 이는 페티아(Petya)나 페티랩(Petrwrap)으로 알려진 바이러스의 변형으로 보인다”
사이버 보안 회사 카스퍼스키 랩(Kaspersky Labs)의 분석가들은 골든아이에서 이전의 랜섬웨어에서 없었던 새로운 방식의 공격이 포함되었다고 말하며 경계를 늦추지 않기를 당부하고 있다. 카스퍼스키 랩은 현재 러시아, 우크라이나, 폴란드, 프랑스, 이탈리아, 영국, 독일, 미국 등에서 골든아이의 공격으로 2,000 명 이상의 피해자가 발생했다고 전했다. /mcadoo@osen.co.kr
