WannaCry

워너크라이의 전파 경로는 기존 랜섬웨어와 달리 웜 바이러스와 유사한 능력을 지녀 주목을 받았다. 주요 감염 경로는 드라이브 바이 다운로드 방식과 스팸 메일 첨부파일을 통한 유포였다. 그러나 이 랜섬웨어의 가장 큰 특징은 마이크로소프트 윈도우 운영체제의 SMB 프로토콜 취약점(MS17-010)을 이용해 네트워크를 통해 자동으로 확산될 수 있다는 점이다. 이 취약점을 통해 감염된 컴퓨터는 동일 로컬 네트워크 내의 다른 취약한 시스템으로 스스로를 복제하여 전파할 수 있었다.

이 SMB 취약점을 이용한 공격은 인터넷에 연결되어 있고 적절한 보안 업데이트가 적용되지 않은 컴퓨터라면 사용자의 특별한 조치(예: 이메일 첨부 파일 실행) 없이도 감염될 가능성을 열어두었다. 마이크로소프트는 이 취약점에 대한 보안 패치를 2017년 3월에 배포했으나, 윈도우 업데이트를 수행하지 않거나 지원이 종료된 윈도우 XP와 같은 구형 운영체제를 사용하는 시스템에서 피해가 집중되었다.

따라서 워너크라이는 다중 전파 경로를 가진 하이브리드 형태의 위협이었다. 사용자가 방화벽 설정을 통해 SMB 프로토콜이 사용하는 포트(주로 445번)를 차단하고 보안 업데이트를 적용하더라도, 악성 이메일 첨부 파일이나 해킹된 웹사이트 접속을 통한 감염 위험은 여전히 존재했다. 이로 인해 당시 보안 업체들은 단순히 SMB 취약점만 막는 것으로는 충분하지 않으며, 사용자의 주의가 병행되어야 함을 강조했다.

워너크라이는 마이크로소프트 윈도우를 사용하는 모든 시스템을 공격 대상으로 삼았으나, 특히 특정 운영체제와 산업 분야에서 집중적인 피해가 발생했다. 공격의 주요 표적은 SMB 프로토콜의 취약점(MS17-010)을 통해 원격 코드 실행이 가능한 구형 또는 업데이트가 되지 않은 윈도우 시스템이었다.

주요 공격 대상 운영체제는 윈도우 XP, 윈도우 서버 2003, 윈도우 7, 윈도우 8, 윈도우 서버 2008 등이 포함되었다. 마이크로소프트는 지원이 종료된 윈도우 XP와 윈도우 서버 2003에 대해서도 이례적으로 긴급 보안 패치를 배포하였다. 한편, 윈도우 10 버전 1703 이상은 해당 취약점에 대한 내부 수정이 이미 이루어져 상대적으로 안전했다.

산업 분야별로는 의료 기관, 공공 행정 기관, 교통 시스템, 교육 기관 등이 큰 타격을 입었다. 이는 해당 분야에서 호환성 문제로 인해 구형 운영체제를 유지하거나 보안 업데이트를 적시에 적용하지 않는 경우가 많았기 때문이다. 예를 들어, 영국의 국민보건서비스 산하 병원과 일본의 철도 회사 시스템이 대표적인 피해 사례이다.

워너크라이 랜섬웨어는 2017년 5월 12일 첫 대규모 공격 이후 전 세계 150여 개국에서 20만 대 이상의 컴퓨터에 감염되는 심각한 피해를 발생시켰다. 특히 영국의 국민보건서비스(NHS) 산하 병원 40여 곳이 공격을 받아 예약 취소 및 진료 차질을 빚었으며, 독일의 철도 시스템에도 일부 영향을 미쳤다.

일본에서는 약 600개 이상의 기관에서 2,000대 이상의 컴퓨터 감염이 확인되었다. JR 동일본의 경우 센다이역의 열차 안내판 감염을 시작으로 본사 및 전국 주요 역으로 확산되었고, 예약 시스템 마비로 일시적으로 신칸센 예약에 지장을 주었다. 히타치와 이온그룹을 비롯한 대기업과 지방 자치단체도 피해를 입었다.

러시아는 가장 큰 규모의 피해를 본 국가로, 내무부 컴퓨터를 포함한 여러 정부 기관이 공격을 받았다. 중국에서는 공항, 출입국관리국, 학교, ATM은 물론 중국 국영 석유 회사 소유의 약 2만 개 주유소가 타격을 받아 현금 결제만 가능한 상황에 빠지는 등 광범위한 피해가 발생했다.

대한민국에서는 2017년 5월 14일부터 본격적인 감염 사례가 보고되기 시작했다. 당일 국내에서 4,000건 이상의 워너크라이 계열 랜섬웨어가 탐지되었으며, 한국인터넷진흥원(KISA)의 5월 15일 기준 발표에 따르면 정식 피해 신고를 접수한 기업은 9곳, 감염 의심 건수는 13건에 달했다.

주요 피해 사례로는 CGV의 일부 포스 단말기 감염이 확인되었으며, 아산시의 버스 정류장 정보 단말기 1대에서도 감염이 발견되었다. 이처럼 내부 네트워크에 연결된 특수 목적 시스템이 피해를 입은 경우가 눈에 띈다. 국내 피해 규모가 상대적으로 작았던 이유는 인터넷 서비스 제공자(ISP)들이 SMB 프로토콜에 사용되는 포트를 외부망에서 원천 차단하고 있었기 때문이다. 그러나 한 번 내부망에 침투하면 SMB 취약점을 통해 빠르게 확산될 수 있어, 기업 내부 보안 관리의 중요성이 부각되었다.

이 사건은 지원이 종료된 윈도우 XP나 보안 업데이트를 게을리한 윈도우 7 등 마이크로소프트 윈도우 구버전을 사용하는 조직이 특히 취약함을 드러냈다. 많은 병원과 관공서에서 호환성 문제를 이유로 업데이트를 미루다가 피해를 입은 것으로 분석된다. 이는 기본적인 사이버 보안 수칙의 중요성을 일깨우는 계기가 되었다.

워너크라이의 배후를 둘러싸고 여러 추측이 제기되었다. 초기에는 중남미의 범죄 조직 MS-13이 연관되어 있다는 소문이 프로그래머 커뮤니티에 퍼져, 일부 화이트 해커들이 신원 노출을 꺼리게 만들기도 했다. 한편, 여러 보안업체들은 공격 기법이 소니 픽처스 해킹사태와 유사점이 있다며 북한의 개입 가능성을 지목하기 시작했다.

공격에 사용된 텍스트의 언어 분석을 통해 다른 가설도 제시되었다. 미국 보안회사 플래시포인트는 중국어 메시지에 표준중국어가 아닌 중국 남부 지방의 방언이 사용된 점을 근거로, 홍콩, 대만, 싱가포르 출신 해커들의 관여 가능성을 추론했다. 또한, 스팸테크라는 해커 집단이 자행했다고 주장했는데, 이 집단은 NSA의 해킹 도구를 유출한 것으로 알려진 섀도우 브로커스와 연관성이 의심되었다.

이러한 다양한 추측을 종합해, 북한이 주도하고 러시아, 중남미, 중화권의 해커 집단이 협력한 복합적 공격일 가능성까지 제기되며 사건의 배후는 오랫동안 수수께끼로 남았다. 그러나 이후 미국과 영국 정부의 공식 조사를 통해 라자루스 그룹이라는 북한의 해킹 조직이 배후로 최종 지목되게 된다.

워너크라이 랜섬웨어 사태의 배후에 대한 수사는 국제적인 협력을 통해 진행되었다. 2017년 12월, 미국 백악관은 워너크라이 공격의 배후가 북한이라고 공식 발표했다. 이는 이전부터 제기되던 북한 배후설을 미국 정부가 공식적으로 확인한 것이었다. 보다 구체적으로는 북한의 해킹 집단인 라자루스 그룹이 지목되었다.

수사 과정에서 미국 국가안보국(NSA)은 워너크라이 공격의 배후로 북한 정찰총국을 최종 지목했다. 이에 따라 2018년 9월, 미국 법무부는 라자루스 그룹의 일원으로 지목된 박진혁을 포함한 북한 해커들을 기소했다. 이후 2019년, 미국 재무부는 라자루스 그룹을 특별 제재 대상(SDN)으로 지정하여 제재를 강화했다. 미국 정부는 이들이 북한 정부의 공식 해킹팀으로, 사이버 첩보와 현금 강탈, 파괴적인 멀웨어 활동을 수행해왔다고 밝혔다.

북한 측은 이러한 주장을 반복적으로 부정했으나, 미국과 영국을 비롯한 여러 국가의 사이버 보안 기관들은 증거를 토대로 북한의 관여를 확신했다. 이 사건은 국가 후원 해킹 그룹의 활동이 전 세계적인 물리적 피해로 이어질 수 있음을 보여준 대표적인 사례가 되었다.