랜섬웨어 공포 '워너크라이' 변종 등장에 2·3차 공격 우려

송고 2017.05.17 15:41 | 수정 2017.05.17 15:41
김언한 기자 (unhankim@ebn.co.kr)

‘킬 스위치’ 없는 변종 발견

대규모 피해 가능성에 보안업계 예의주시

전세계를 강타한 '워너크라이' 랜섬웨어가 국내에서 소강상태에 접어든 가운데 다양한 변종 출현 가능성이 제기돼 이에 따른 우려가 커지고 있다.

현재 워너크라이 변종은 200여종 이상이 있는 것으로 파악된다. 이 중 '킬 스위치(kill switch)'가 없는 변종도 사실상 존재해 확산 시 추가피해 발생 가능성도 배제할 수 없는 상황이다.

17일 한국인터넷진흥원(KISA)에 따르면, 이날 오전8시 기준 워너크라이 랜섬웨어에 대한 접수는 16건(피해 의심 및 실제 피해접수 포함)으로 이 중 12건이 KISA의 기술지원을 신청했다.

랜섬웨어 관련 상담은 지난 15일 2863건에서 16일 1256건으로 줄며 사태는 진정단계에 접어든 모습이다.

하지만 보안업계는 아직 안심하기는 이르다는 입장이다. 지난 12일 확산을 중단하는 킬 스위치가 발견돼 사태의 파급을 막았지만 이를 우회하는 변종이 발견되고 있다.

'워너크라이' 랜섬웨어 감염 시 나타나는 화면. 한국어를 포함해 다국적 언어를 지원한다.ⓒ

변종 중 하나는 킬 스위치는 없지만 감염능력이 없는 까닭에 확산하지는 않는 것으로 알려졌다.

또 다른 하나는 킬 스위치 역할을 하는 도메인을 지속적으로 바꿔 추적을 피하는 변종이다. 업계에 따르면, 지난 15일에는 킬 스위치가 존재하지 않으면서 감염 능력을 갖춘 변종까지 나왔다.

하우리 관계자는 “공격자가 악성코드를 어떻게 개발하느냐에 따라 킬 스위치를 무력화하는 등 다양한 2,3차 변종이 출현할 수 있다”며 “변종에 어떤 기법이 추가될 지는 아무도 알 수 없다”고 말했다.

안랩, 이스트시큐리티 등 국내 보안업계는 보안 패치, 백신 업데이트 등을 통해 현재 워너크라이 랜섬웨어에 대한 대응책을 내놓고 있는 상태다. 하지만 변종이 출현해 또 다른 취약점을 이용하게 되면 패치 및 업데이트 전까지 대규모 피해를 발생시킬 수 있다.

보안 전문가들은 이번 랜섬웨어 대란을 일으킨 주범으로 북한을 지목하고 있다. 북한 배후의 해킹 범죄단 '래저러스'(Lazarus)'가 유력 후보로 거론된다.

래저러스는 지난 2013년 국내 금융기관, 언론사, 2014년 미국 소니픽처스, 지난해 2월에는 방글라데시 중앙은행을 비롯해 동남아 3개국 은행 등의 해킹 주범으로 지목되고 있는 조직이다.

하우리 관계자는 "래저러스의 백도어 프로그램 '캔토피'의 2015년 버전과 이번 워너크라이 랜섬웨어 2.0 버전의 소스코드에서 다수 유사점이 발견됐다"며 "악성코드 개발 시 해커는 고유의 개발 로직을 사용할 수밖에 없기에 이번 사태를 북한 소행으로 추정하고 있다"고 설명했다.

북한소행으로 결론짓기에는 아직 이르다는 주장도 있다. 파이어아이는 이번 랜섬웨어와 북한 과 연관성이 불충분하다는 입장이다.

존 밀러 파이어아이 분석팀 매니저는 "조사 결과, 워너크라이와 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분치 않았다"며 "현시점에서는 북한의 소행으로 단정짓기는 어렵다"고 밝혔다.

USD$	1,335.3	▼0.6
EUR€	1,479.6	▼5.4
JPY¥	921.8	▲7.4
CNH¥	187.6	▼0

랜섬웨어 공포 '워너크라이' 변종 등장에 2·3차 공격 우려

관련기사

전체 댓글 0

매매기준율