랜섬웨어 워너크라이. /자료사진=뉴시스
랜섬웨어 워너크라이. /자료사진=뉴시스

랜섬웨어 피해가 전세계적으로 확산되고 있다. 윈도우 SMB 프로토콜 취약점을 이용한 랜섬웨어 워너크라이(WannaCry)가 전세계 150여개국에서 최소 23만대의 컴퓨터를 감염시키는 등 피해가 커지고 있다.

랜섬웨어는 컴퓨터에 저장된 파일과 데이터를 인질(ransom)로 삼아 금품 등을 요구하는 악성코드 프로그램을 말한다. 랜섬웨어는 일반적으로 메일을 여는 방식으로 감염되는 경우가 많지만, 워너크라이는 IP스캔을 통해 네트워크에 연결만 돼 있어도 원격으로 감염되는 방식이라 피해가 커지고 있는 것으로 알려졌다.


국내에서도 피해가 번져, 사이버보안 전문업체에 따르면 주말 이틀 동안 국내서 차단된 공격만 2000건에 달한다. 특히 주중 업무가 시작되는 월요일(15일)부터 피해가 급증할 수 있어, 한국인터넷진흥원은 사이버위기 경보 단계를 관심에서 주의로 상향 조정했다.

현재 확인된 작동방식을 보면, 워너크라이는 3ds, ai, asf, asm, asp, avi, doc, docx, gif, gif, gpg, hwp, java, jpeg, jpg, mp3, mp4 등 확장자를 쓰는 파일을 암호화하고 파일명 뒤에 .wcry 확장자를 추가한다. 이후 사용자에게 300달러어치 비트코인을 3일 안에 지불할 것을 요구한다. 3일 이후에는 요구액수를 2배로 늘리며, 7일 뒤엔 파일을 지우겠다고 협박한다.


이번 워너크라이 피해는 지난 12일 영국 국가보건의료서비스(NHS) 소속 병원에서 감염된 사례가 확인되면서 최초로 알려졌다. 이후 감염 피해는 계속 늘어, 스페인 통신사 텔레포니카, 프랑스 자동차제조사 르노, 독일 철도공사, 배송업체 페덱스, 러시아 내무부 등이 주요 피해 사례로 확인되고 있다. 외신들은 유로폴 발언을 인용해 현재 워너크라이 피해가 150개국 20만대에 달한다고 보도하고 있다.

현재 윈도우 최신 보안 업데이트가 적용되지 않은 컴퓨터는 감염 위험이 크다. 윈도우 보안패치를 하지 않은 사용자들은 최신 패치를 하는 것이 좋다. 지원을 공식 중단한 윈도우XP, 윈도우서버2003도 이번 사태를 맞아 특별히 마이크로소프트에서 보안패치를 실시했다.


이밖에 한국인터넷진흥원은 특정 포트를 차단하는 공격 방지법을 소개하고 있다. 워너크라이의 공격 통로로 쓰이는 특정 포트를 방화벽으로 차단하는 방식이다.