데이터 인질극 ‘랜섬웨어’는 어떻게 세계를 정복했나
2017-05-15 김경민 기자
5월12일 낮 12시30분(현지시간) 영국 맨체스터 대학 병원. 갑자기 병원 여기저기서 기계 경고음이 들려오기 시작했다. 병원 스태프들이 여기저기 뛰어다니며 분주하게 움직이기 시작했고, 이내 응급실에서 웅성거리며 환자들의 항의 소리가 커지기 시작했다. 같은 시각, 영국 블랙풀의 워털루메디컬센터. 진료를 받기 위해 병원을 방문한 환자들은 진찰도 받지 못한 채 집으로 돌아가야 했다. 항의하는 환자들에게 병원 측은 “우리 내부 전산망과 전화교환시스템이 공격을 받아 업무 처리가 불가능한 상황”이라며 양해를 구했다. 컴퓨터 서버에 저장돼있던 기존 환자의 진료 기록을 보는 길이 막혔다는 설명도 덧붙였다. 결국 위급환자 진료를 제외한 모든 업무가 정지됐다. 위급 환자들은 컴퓨터 대신 종이와 펜을 이용해 수기 진료를 본 뒤 응급 처방을 받아야 했다. 진료를 받은 환자들은 카드로 결제하는 대신 현금을 내야 했다. 급하지 않은 수술은 취소됐으며 응급차는 환자를 다시 싣고 인근의 다른 병원으로 향했다. 마치 재난피해를 입은 듯 한 병원의 모습. 5월11일(현지시간) 영국 국민보건서비스(NH) 산하 16개 병원은 무언가로부터 동시다발적 ‘공격’을 받고 업무 마비 상태에 빠졌다. 무슨 일이 있었던 걸까.“삑- 삑-”
응급환자 수기로 진료, 카드 대신 현금 결재
문제가 발생한 한 병원의 간호 수습생 조애너 그린은 병원 컴퓨터에 뜬 붉은 경고 화면을 사진 찍어 그의 트위터에 올렸다. 평소라면 진료 시스템이 떠있어야 할 자리였다. 하지만 붉은 색의 경고창에는 ‘What Happened to My Computer?(내 컴퓨터에 무슨 일이 벌어졌나)’ ‘Can I Recover my Files?(내 컴퓨터 파일을 복구할 수 있나)’ ‘How do I Pay?(어떻게 돈을 지불해야 하나)’와 같은 내용이 담겨 있었다. 이날 영국 16개 대형병원 및 1차병원(GP)의 전산망을 강타한 공격의 실체는 바로 랜섬웨어(Ransomware)였다. 컴퓨터 이용자의 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성 프로그램 랜섬웨어가 5월12일(현지시간)부터 유럽을 덮쳤다. 주요 타깃은 병원과 대학 등 오래된 버전의 윈도우즈 운영체제(OS)를 사용하는 기관과 개인이었다. 지난해 한 학계 연구보고서에 따르면 2014년 현재 영국 내 NH 산하 의료법인의 90%가 랜섬웨어 공격에 취약한 ‘윈도XP’를 사용하는 것으로 파악된 바 있다. 피해는 영국의 병원뿐만이 아니었다. 스코틀랜드 서덜랜드의 닛산 자동차 공장은 가동이 중단됐다. 스페인과 러시아의 최대 통신기업인 텔레포니카와 메가폰도, 미국 최대 유통업체 페덱스도 랜섬웨어의 공격 앞에 속수무책이었다. 특히 러시아는 정부 기관까지 랜섬웨어 공격이 이어진 것으로 알려졌다. 유럽연합 경찰기구 유로폴에 따르면 전 세계 150개국에서 20만 건에 달하는 랜섬웨어 피해가 집계됐다. 아시아 지역도 예외가 아니었다. 인도네시아 국립 암센터 등 대형 종합병원은 랜섬웨어 공격으로 일시적인 업무 마비를 겪어야 했다. 중국 관영통신에 따르면 석유천연가스공사 페트로차이나의 네트워크도 랜섬웨어에 침범당해 결재시스템이 마비됐다. 중국 보안업체 중 하나인 치후360은 “중국 내 3만여 개의 대학과 기관, 개별 학생들이 랜섬웨어의 피해를 입었다”고 밝혔다. 한국에서도 피해 사례가 발생했다. 5월15일 한국인터넷진흥원(KISA)에 따르면 13일부터 15일 오전7시까지 국내 기업 8곳이 관련 문의를 해왔고 이 가운데 5곳이 정식 피해 신고를 접수했다. 이번 공격은 첨부된 파일을 통해 유포된 것이 아니라 인터넷 전산망 등 네트워크를 통해 확산됐기 때문에 그 피해가 더 컸다.데이터를 볼모 삼은 신종 해킹 범죄
랜섬웨어는 언제 등장한 것일까. 일각에선 1980년대 후반 최초의 랜섬웨어로 알려진 ‘에이즈 트로이안(Aids Trojan)’을 시초로 본다. 에이즈 트로이안은 암호화 바이러스를 무작위로 퍼뜨린 뒤 걸려드는 사람에게 ‘복구 도구’를 제공하는 대가로 189달러(한화 약22만원)를 요구했다. 이후 랜섬웨어는 빠르게 진화했다. 2009년 즈음부터 활성화되기 시작된 비트코인은 이런 랜섬웨어 진화에 날개를 달아줬다. 2012년 대표적 랜섬웨어로 꼽히는 ‘레비튼(Reveton)’이 유포됐으며 이후 비슷한 랜섬웨어들이 우후죽순으로 등장했다. 레비튼은 이번 랜섬웨어 사태의 주인공인 ‘워너크라이’와 같이 컴퓨터의 데이터를 잠궈버리고 이를 풀어주는 대가로 금전을 요구했다. 이들은 주로 개인 사용자를 노렸다. 이 같은 전략은 2013년부터 더욱 대담해졌다. 더 큰 먹잇감을 노려 더 많은 돈을 확실히 받아내는 방향으로 진화한 것인데 주요 타깃이 대기업이나 의료기관 등 기관을 주로 노리는 쪽으로 바뀌었다. 랜섬웨어는 이들 컴퓨터 네트워크의 관리자 모드에 접속해 중앙처리장치(CPU) 뿐만 아니라 클라우드에 저장된 데이터까지 모조리 암호화해버렸다. 이렇게 변형에 변형을 거듭하며 맹위를 떨치고 있는 랜섬웨어. 악성 코드 차단 소프트웨어 개발 기업 이스트소프트 발표에 따르면 지난 한 해 동안 자사 바이러스 검사 소프트웨어 ‘알약’을 통해 사전 차단된 랜섬웨어 공격은 397만4658건이었다. 미국의 비즈니스 전문가 베키 질렛은 “랜섬웨어는 한 사업체를 완전히 마비시킬 뿐만 아니라 어마어마한 비용을 발생시킬 수 있다”고 경고했다. 미시시피주 법무상 산하 사이버범죄센터에 따르면 실제 컴퓨터 데이터를 볼모로 잡은 ‘데이터 인질극’의 몸값은 매년 빠르게 오르고 있다. 이번 랜섬웨어 사태에서 해커들이 피해자에 요구한 금액은 300달러(한화 약33만원) 상당의 비트코인이었다. 한국 사이버보안전문업체 NSHC의 침해사고대응조직인 레드알럿팀이 12일부터 15일 현재까지 비트코인 거래량을 실시간으로 추적한 결과 현재까지 집계된 피해 금액은 5215만원 정도다.