WannaCry
1. 개요
1. 개요
워너크라이(WannaCry 또는 Wannacrypt)는 마이크로소프트 윈도우 운영체제를 대상으로 하는 랜섬웨어이다. 2017년 5월 12일 최초 대규모 공격이 시작되어 전 세계적으로 심각한 피해를 발생시켰다. 이 악성코드는 감염된 컴퓨터의 파일들을 암호화한 후, 사용자에게 비트코인으로 몸값을 지불하도록 요구하는 방식으로 작동한다.
초기 요구 몸값은 비트코인으로 약 300달러 상당이었으나, 3일 내에 지불하지 않으면 금액이 두 배로 증가하고, 7일이 지나면 파일을 영구적으로 복구할 수 없게 된다는 압박을 가했다. 이 공격은 윈도우의 SMB 프로토콜 취약점을 이용해 네트워크를 통해 자체적으로 확산되는 웜 바이러스의 특성을 지니고 있어, 기존의 이메일 첨부파일 유포 방식보다 훨씬 빠르게 전파될 수 있었다.
워너크라이 사태는 지원이 종료된 윈도우 XP와 같은 구형 운영체제를 사용하는 시스템에서 특히 피해가 컸으며, 전 세계 병원, 철도, 정부 기관 등 주요 인프라가 마비되는 결과를 낳았다. 이 사건은 사이버 보안의 중요성과 정기적인 시스템 업데이트의 필수성을 전 세계에 각인시킨 대표적인 사이버 공격 사례로 기록되었다.
2. 특징
2. 특징
2.1. 전파 경로
2.1. 전파 경로
워너크라이의 전파 경로는 기존 랜섬웨어와 달리 웜 바이러스와 유사한 능력을 지녀 주목을 받았다. 주요 감염 경로는 드라이브 바이 다운로드 방식과 스팸 메일 첨부파일을 통한 유포였다. 그러나 이 랜섬웨어의 가장 큰 특징은 마이크로소프트 윈도우 운영체제의 SMB 프로토콜 취약점(MS17-010)을 이용해 네트워크를 통해 자동으로 확산될 수 있다는 점이다. 이 취약점을 통해 감염된 컴퓨터는 동일 로컬 네트워크 내의 다른 취약한 시스템으로 스스로를 복제하여 전파할 수 있었다.
이 SMB 취약점을 이용한 공격은 인터넷에 연결되어 있고 적절한 보안 업데이트가 적용되지 않은 컴퓨터라면 사용자의 특별한 조치(예: 이메일 첨부 파일 실행) 없이도 감염될 가능성을 열어두었다. 마이크로소프트는 이 취약점에 대한 보안 패치를 2017년 3월에 배포했으나, 윈도우 업데이트를 수행하지 않거나 지원이 종료된 윈도우 XP와 같은 구형 운영체제를 사용하는 시스템에서 피해가 집중되었다.
따라서 워너크라이는 다중 전파 경로를 가진 하이브리드 형태의 위협이었다. 사용자가 방화벽 설정을 통해 SMB 프로토콜이 사용하는 포트(주로 445번)를 차단하고 보안 업데이트를 적용하더라도, 악성 이메일 첨부 파일이나 해킹된 웹사이트 접속을 통한 감염 위험은 여전히 존재했다. 이로 인해 당시 보안 업체들은 단순히 SMB 취약점만 막는 것으로는 충분하지 않으며, 사용자의 주의가 병행되어야 함을 강조했다.
2.2. 공격 대상
2.2. 공격 대상
워너크라이는 마이크로소프트 윈도우를 사용하는 모든 시스템을 공격 대상으로 삼았으나, 특히 특정 운영체제와 산업 분야에서 집중적인 피해가 발생했다. 공격의 주요 표적은 SMB 프로토콜의 취약점(MS17-010)을 통해 원격 코드 실행이 가능한 구형 또는 업데이트가 되지 않은 윈도우 시스템이었다.
주요 공격 대상 운영체제는 윈도우 XP, 윈도우 서버 2003, 윈도우 7, 윈도우 8, 윈도우 서버 2008 등이 포함되었다. 마이크로소프트는 지원이 종료된 윈도우 XP와 윈도우 서버 2003에 대해서도 이례적으로 긴급 보안 패치를 배포하였다. 한편, 윈도우 10 버전 1703 이상은 해당 취약점에 대한 내부 수정이 이미 이루어져 상대적으로 안전했다.
산업 분야별로는 의료 기관, 공공 행정 기관, 교통 시스템, 교육 기관 등이 큰 타격을 입었다. 이는 해당 분야에서 호환성 문제로 인해 구형 운영체제를 유지하거나 보안 업데이트를 적시에 적용하지 않는 경우가 많았기 때문이다. 예를 들어, 영국의 국민보건서비스 산하 병원과 일본의 철도 회사 시스템이 대표적인 피해 사례이다.
3. 피해 사례
3. 피해 사례
3.1. 주요 국외 사례
3.1. 주요 국외 사례
워너크라이 랜섬웨어는 2017년 5월 12일 첫 대규모 공격 이후 전 세계 150여 개국에서 20만 대 이상의 컴퓨터에 감염되는 심각한 피해를 발생시켰다. 특히 영국의 국민보건서비스(NHS) 산하 병원 40여 곳이 공격을 받아 예약 취소 및 진료 차질을 빚었으며, 독일의 철도 시스템에도 일부 영향을 미쳤다.
일본에서는 약 600개 이상의 기관에서 2,000대 이상의 컴퓨터 감염이 확인되었다. JR 동일본의 경우 센다이역의 열차 안내판 감염을 시작으로 본사 및 전국 주요 역으로 확산되었고, 예약 시스템 마비로 일시적으로 신칸센 예약에 지장을 주었다. 히타치와 이온그룹을 비롯한 대기업과 지방 자치단체도 피해를 입었다.
러시아는 가장 큰 규모의 피해를 본 국가로, 내무부 컴퓨터를 포함한 여러 정부 기관이 공격을 받았다. 중국에서는 공항, 출입국관리국, 학교, ATM은 물론 중국 국영 석유 회사 소유의 약 2만 개 주유소가 타격을 받아 현금 결제만 가능한 상황에 빠지는 등 광범위한 피해가 발생했다.
3.2. 대한민국 사례
3.2. 대한민국 사례
대한민국에서는 2017년 5월 14일부터 본격적인 감염 사례가 보고되기 시작했다. 당일 국내에서 4,000건 이상의 워너크라이 계열 랜섬웨어가 탐지되었으며, 한국인터넷진흥원(KISA)의 5월 15일 기준 발표에 따르면 정식 피해 신고를 접수한 기업은 9곳, 감염 의심 건수는 13건에 달했다.
주요 피해 사례로는 CGV의 일부 포스 단말기 감염이 확인되었으며, 아산시의 버스 정류장 정보 단말기 1대에서도 감염이 발견되었다. 이처럼 내부 네트워크에 연결된 특수 목적 시스템이 피해를 입은 경우가 눈에 띈다. 국내 피해 규모가 상대적으로 작았던 이유는 인터넷 서비스 제공자(ISP)들이 SMB 프로토콜에 사용되는 포트를 외부망에서 원천 차단하고 있었기 때문이다. 그러나 한 번 내부망에 침투하면 SMB 취약점을 통해 빠르게 확산될 수 있어, 기업 내부 보안 관리의 중요성이 부각되었다.
이 사건은 지원이 종료된 윈도우 XP나 보안 업데이트를 게을리한 윈도우 7 등 마이크로소프트 윈도우 구버전을 사용하는 조직이 특히 취약함을 드러냈다. 많은 병원과 관공서에서 호환성 문제를 이유로 업데이트를 미루다가 피해를 입은 것으로 분석된다. 이는 기본적인 사이버 보안 수칙의 중요성을 일깨우는 계기가 되었다.
4. 대응 방법
4. 대응 방법
워너크라이에 감염되기 전 가장 효과적인 예방 방법은 마이크로소프트가 제공한 보안 업데이트를 즉시 적용하는 것이다. 이 랜섬웨어가 악용한 SMB 프로토콜의 취약점(MS17-010)은 2017년 3월에 패치가 배포되었으나, 많은 사용자와 조직이 업데이트를 미루거나 지원이 종료된 윈도우 XP와 같은 구형 운영체제를 사용하여 대규모 피해가 발생했다. 따라서 지원 중인 모든 윈도우 버전에 대해 최신 보안 업데이트를 설치하는 것이 필수적이다.
감염을 차단하기 위한 추가적인 임시 조치도 존재한다. 방화벽을 통해 SMB 프로토콜이 사용하는 TCP 및 UDP 포트(주로 445번)를 차단하거나, 제어판에서 'SMB 1.0/CIFS 파일 공유 지원' 기능을 비활성화하면 네트워크를 통한 자가 전파를 막을 수 있다. 또한, 출처가 불분명한 이메일의 첨부 파일을 실행하지 않고, 의심스러운 웹사이트 접근을 자제하는 등 일반적인 악성코드 예방 수칙을 준수해야 한다.
이미 감염된 경우, 시스템을 즉시 네트워크에서 격리시켜 다른 컴퓨터로의 확산을 방지해야 한다. 몸값을 지불하는 것은 파일 복구를 보장하지 않을 뿐만 아니라 범죄 조직에 자금을 지원하는 결과를 낳으므로 권장되지 않는다. 대신, 일부 보안 연구자들이 개발한 워너키위(WanaKiwi)와 같은 복호화 도구를 사용해 볼 수 있으며, 정기적으로 수행한 백업 데이터를 활용하는 것이 가장 확실한 복구 방법이다.
5. 복호화 툴
5. 복호화 툴
워너크라이 랜섬웨어에 감염된 파일을 복구할 수 있는 복호화 툴이 여러 보안 연구원들에 의해 개발되었다. 이 툴들은 워너크라이가 윈도우의 내장 암호화 도구를 악용하는 과정에서 발생한 특정 취약점을 이용한다. 즉, 암호화에 사용된 키가 컴퓨터의 메모리(RAM)에 일시적으로 남아 있는 것을 포착하여 복호화를 시도하는 원리이다. 따라서 감염 후 컴퓨터를 재부팅하면 이 키가 사라져 복구 가능성이 현저히 낮아지거나 불가능해진다.
가장 먼저 알려진 툴은 워너키(Wannakey)이다. 이 툴은 윈도우 XP에서만 작동한다는 제한이 있었다. 이후 프랑스의 보안 연구원 방자맹 델피(Benjamin Delpy)가 워너키위(WanaKiwi)라는 향상된 복호화 툴을 공개했다. 이 툴은 윈도우 XP부터 윈도우 7, 그리고 윈도우 서버 2008 R2까지 지원 범위를 확대하였다. 사용자는 감염된 시스템에서 이 도구를 실행하여 메모리에 남아 있을 수 있는 암호화 키를 찾아 파일 복구를 시도할 수 있다.
그러나 윈도우 10 및 그 이후 버전의 운영체제를 대상으로 하는 워너크라이 변종에 대해서는 당시 공개된 마땅한 복호화 툴이 존재하지 않았다. 또한, 모든 변종과 모든 시스템 환경에서 복호화가 보장되는 것은 아니며, 특히 감염 후 시간이 지나거나 시스템이 재시작된 경우에는 성공률이 떨어진다. 이러한 복호화 툴의 등장은 몸값을 지불하지 않고도 피해를 복구할 수 있는 희망을 주었지만, 근본적인 예방책인 윈도우 업데이트 설치와 방화벽 설정 강화의 중요성을 대체할 수는 없다.
6. 배후
6. 배후
6.1. 여러가지 추측설
6.1. 여러가지 추측설
워너크라이의 배후를 둘러싸고 여러 추측이 제기되었다. 초기에는 중남미의 범죄 조직 MS-13이 연관되어 있다는 소문이 프로그래머 커뮤니티에 퍼져, 일부 화이트 해커들이 신원 노출을 꺼리게 만들기도 했다. 한편, 여러 보안업체들은 공격 기법이 소니 픽처스 해킹사태와 유사점이 있다며 북한의 개입 가능성을 지목하기 시작했다.
공격에 사용된 텍스트의 언어 분석을 통해 다른 가설도 제시되었다. 미국 보안회사 플래시포인트는 중국어 메시지에 표준중국어가 아닌 중국 남부 지방의 방언이 사용된 점을 근거로, 홍콩, 대만, 싱가포르 출신 해커들의 관여 가능성을 추론했다. 또한, 스팸테크라는 해커 집단이 자행했다고 주장했는데, 이 집단은 NSA의 해킹 도구를 유출한 것으로 알려진 섀도우 브로커스와 연관성이 의심되었다.
이러한 다양한 추측을 종합해, 북한이 주도하고 러시아, 중남미, 중화권의 해커 집단이 협력한 복합적 공격일 가능성까지 제기되며 사건의 배후는 오랫동안 수수께끼로 남았다. 그러나 이후 미국과 영국 정부의 공식 조사를 통해 라자루스 그룹이라는 북한의 해킹 조직이 배후로 최종 지목되게 된다.
6.2. 주동자 검거
6.2. 주동자 검거
워너크라이 랜섬웨어 사태의 배후에 대한 수사는 국제적인 협력을 통해 진행되었다. 2017년 12월, 미국 백악관은 워너크라이 공격의 배후가 북한이라고 공식 발표했다. 이는 이전부터 제기되던 북한 배후설을 미국 정부가 공식적으로 확인한 것이었다. 보다 구체적으로는 북한의 해킹 집단인 라자루스 그룹이 지목되었다.
수사 과정에서 미국 국가안보국(NSA)은 워너크라이 공격의 배후로 북한 정찰총국을 최종 지목했다. 이에 따라 2018년 9월, 미국 법무부는 라자루스 그룹의 일원으로 지목된 박진혁을 포함한 북한 해커들을 기소했다. 이후 2019년, 미국 재무부는 라자루스 그룹을 특별 제재 대상(SDN)으로 지정하여 제재를 강화했다. 미국 정부는 이들이 북한 정부의 공식 해킹팀으로, 사이버 첩보와 현금 강탈, 파괴적인 멀웨어 활동을 수행해왔다고 밝혔다.
북한 측은 이러한 주장을 반복적으로 부정했으나, 미국과 영국을 비롯한 여러 국가의 사이버 보안 기관들은 증거를 토대로 북한의 관여를 확신했다. 이 사건은 국가 후원 해킹 그룹의 활동이 전 세계적인 물리적 피해로 이어질 수 있음을 보여준 대표적인 사례가 되었다.
7. 여담
7. 여담
워너크라이 사태는 마이크로소프트가 정부 기관이 자사의 운영체제 보안 취약점을 축적해둔다고 간접적으로 비판하는 계기가 되었다. 또한 이 공격은 비트코인과 같은 암호화폐가 익명성을 바탕으로 범죄에 악용될 수 있다는 점을 다시금 부각시켰다. 공격에 사용된 세 개의 비트코인 지갑 주소는 하드코딩되어 있었으며, 이 지갑으로의 입금 내역을 추적하는 트위터 봇이 생겨나 모니터링되기도 했다.
이 사태는 보안 업데이트의 중요성을 일반 사용자에게 각인시킨 긍정적 영향도 있었다. 특히 대한민국에서는 새로운 윈도우나 인터넷 익스플로러 버전 출시 시 업데이트를 꺼리는 문화가 있었으나, 이번 피해를 통해 최신 보안 패치 적용이 얼마나 중요한지 인식이 확산되었다. 또한 국내 통신사들이 SMB 프로토콜에 사용되는 포트를 기본적으로 차단하고 있어 외부망 공격은 막혔지만, 내부망에서 한 대라도 감염되면 동일한 취약점으로 급속히 확산될 수 있다는 교훈을 남겼다.
흥미롭게도 워너크라이가 창궐하던 시기에 월트 디즈니 픽처스도 랜섬웨어 공격을 받아 미개봉 영화 파일이 유출될 위기에 처했다는 보도가 나왔다. 이는 워너크라이와는 별개의 해킹 집단에 의한 공격으로 추정된다. 한편, 워너크라이의 확산을 무력화시킨 '킬 스위치'를 발견한 영국의 보안 연구원은 자신의 안전을 위해 한동안 신원을 공개하지 않았으며, 이는 공격 배후에 MS-13과 같은 강력한 범죄 조직이 연관되었다는 추측이 난무했기 때문이었다.
