윈도체제 취약점 파고들어 감염… 암호 해독 대가 300달러 요구

우크라이나 등 유럽을 중심으로 미국과 한국 등 전 세계를 27일(현지시간) 강타한 동시다발 랜섬웨어 ‘페티야’ 공격은 수개월간 지속될 가능성이 제기된다. 페티야는 워너크라이 랜섬웨어처럼 윈도 운영체제의 취약점을 파고들어 컴퓨터를 감염시킨 뒤 300달러(약 34만원)짜리 비트코인(가상화폐)을 요구하고 있다.페티야는 전 세계적으로 2000곳이 넘는 기관을 공격한 것으로 알려졌다. 특히 우크라이나와 러시아는 막대한 타격을 입었다. 우크라이나는 주요 정부부처는 물론 국영은행과 원자력발전소 등 기간시설이 페티야의 공격에 농락당하다시피 했다. 국제공항과 국영은행, 전력·통신기업 등 100개가 넘는 우크라이나 기관이 랜섬웨어의 공격을 받은 것으로 보이지만 정확한 피해 규모조차 파악되지 않고 있다.

러시아 역시 최대 국영 석유회사인 로스네프트와 러시아 중앙은행, 철강 기업 예브라즈 등이 공격을 받았다. 로스네프트는 원유 생산에 영향이 없다고 강조했다. 다국적 로펌인 DLA 파이퍼와 다국적 제약사 머크, 덴마크의 세계 최대 해운사 A.P.몰러 머스크, 영국의 광고기업 WPP, 프랑스 제조업체 생고뱅 등도 공격받았다. 머스크의 컨테이너 터미널 17곳이 가동을 중단한 것으로 전해졌다.

소프트웨어 보안업체 비트 디펜더의 보안전문가인 카탈린 코소이는 월스트리트저널에 “특정인을 목표로 한 공격은 아닌 것으로 보인다”면서도 “하지만 가능한 한 많은 사람에게 공격을 시도했다”고 설명했다.

이번 공격의 배후를 둘러싼 추정만 나오는 가운데 북한의 소행 가능성이 제기된다. 앞서 영국 정보기관인 정보통신본부 내 국가사이버보안센터(NCSC)와 미 국가안보국(NSA)은 지난달 발생한 워너크라이 공격 배후로 북한을 지목했다. 정찰총국이 관리하는 것으로 알려진 해커집단 ‘래저러스’가 연루된 정황이 포착됐기 때문이다.

미국 사이버보안업체 플래시포인트는 워너크라이 공격에 쓰인 악성 코드를 언어학적으로 분석한 결과 남부 중국어를 모국어로 하는 사람들이 작성했다며 해커가 중국 남부나 홍콩, 대만, 싱가포르 출신일 가능성이 있다고 추정했다. 그렇지만 사이버 보안전문가 사이에서도 랜섬웨어 배후 규명은 까다로운 작업인 데다 뚜렷한 증거도 없어 단정하기는 어렵다.

여기에 이번 랜섬웨어 역시 지난번 워너크라이와 마찬가지로 ‘이터널 블루’ 코드를 사용했을 가능성이 커 배후 규명작업이 어려울 수 있다. 이터널 블루는 NSA가 윈도의 취약점을 활용해 만든 해킹 도구로 알려졌다.

이 코드를 사용한 페티야 제작자들은 일반 검색 엔진으로는 찾을 수 없어 주로 불법적인 정보 거래에 악용되는 ‘다크웹’에서 페티야를 판매했다. 다크웹에서 랜섬웨어를 구매한 사람은 한 번의 클릭만으로 다른 컴퓨터 사용자의 파일을 암호화해 암호 해독 키 제공 대가로 비트코인을 요구할 수 있게 된다. 피해자가 인질로 잡힌 컴퓨터 파일을 되찾고자 돈을 지불하면 페티야 제작자도 이 중 일부를 가져간다. 뉴욕타임스는 페티야의 전파 방식을 고려하면 배후 세력을 추적하는 것은 거의 불가능하다고 지적했다.

지난해 페티야의 존재를 처음 알린 러시아 사이버 보안업체 카스퍼스키는 이번 랜섬웨어가 페티야와 유사한 특징을 보이지만 한 번도 확인되지 않은 새로운 종류의 랜섬웨어일 가능성을 제기했다. 이는 확산을 저지할 수 있는 킬스위치가 없기 때문이다.

미국 싱크탱크 애틀랜틱카운슬의 사이버기술계획 부국장 보 우즈는 “가장 우려되는 점은 워너크라이의 확산을 막았던 킬스위치가 없는 형태로 만들어졌을 수 있다는 것”이라면서 “만약 킬스위치가 없다면 수개월에 걸쳐 공격을 가할 수 있다”고 설명했다.

이제훈 기자 parti98@seoul.co.kr