[뉴스토마토 박현준 기자] 랜섬웨어 공격이 다행히 우리나라를 비켜갔다. 랜섬웨어 워너크라이는 지난 주말 전 세계를 강타했다. 국내는 첫 출근일인 월요일(15일) 피해를 우려했지만, 사전 공포 확산과 대응 조치로 큰 피해를 막을 수 있었다.
한국인터넷진흥원(KISA)에 따르면 지난 13일부터 이날 오후 5시까지 인터넷침해대응센터의 118상담센터에 랜섬웨어의 증상과 예방법에 대해 문의한 건수는 2931건. 이름을 밝히고 감염 의심 사례를 문의한 기업은 13곳이었다. 이중 9건에 대해서는 KISA가 직접 해당 기업을 방문해 조사를 진행했다.
15일 서울 한국인터넷진흥원 본원 인터넷침해대응센터 직원들이 랜섬웨어 피해상황을 점검하고 있다. 사진/뉴시스
랜섬웨어는 PC의 운영체제(OS)나 특정 파일·폴더를 암호화하는 악성코드다. 암호를 풀기 위한 키를 얻으려면 랜섬웨어 배포자에게 돈을 지불해야 한다. 이번 워너크라이 랜섬웨어는 윈도의 파일을 공유하는 네트워크인 SMB 프로토콜을 통해 PC 침투를 시도한다. 기존 랜섬웨어 공격과 다른 점은 감염되면 다른 PC를 감염시키는 좀비 PC가 된다는 점이다. 감염 PC가 윈도 패치가 적용되지 않은 취약한 PC를 무작위로 찾아내 워너크라이 감염 공격을 시도한다. 마이크로소프트는 지난 3월에 관련 패치를 진행했다. 해당 패치를 업데이트하지 않은 PC는 감염될 위험이 높다.
민간 정보보호 기업도 워너크라이 랜섬웨어 피해 사례 탐지에 나섰다. 지난 12일부터 이날 오후 2시까지 안랩의 모바일 백신 'V3'를 통해 워너크라이 감염 시도를 진단하고 이를 차단한 기업 및 개인 사용자 PC는 187대로 집계됐다. 이스트소프트의 백신 프로그램 '알약'이 일요일인 지난 14일 탐지한 워너크라이 감염 시도 건수는 3000건 이상으로 집계됐다. 12~13일에는 2000건 이상 탐지됐다. CGV 상영관 중 50여곳의 광고 서버가 워너크라이 랜섬웨어에 감염되기도 했다. CGV 관계자는 "영화 상영 서버는 별도로 분리돼 지장이 없다"며 "현재 광고 없이 영화를 상영 중이며 복구 작업을 최대한 빨리 진행할 것"이라고 말했다.
KISA와 민간 정보보호 기업들은 총력 대응에 나섰다. KISA는 국내외 정보보호 기업들로 구성된 사이버위협인텔리전스네트워크와 함께 지난 13일까지 총 48종의 변종에 대해 분석 작업을 진행했다.
안랩(053800)과 이스트시큐리티 등은 자사의 백신 프로그램에 워너크라이 관련 업데이트를 진행했다.
KISA와 안랩·이스트시큐리티·하우리·잉카인터넷 등 주요 정보보호 기업들은 윈도 최신 업데이트를 필수 대응책으로 꼽았다. KISA 관계자는 "우선 윈도 업데이트 메뉴를 통해 보안 패치를 최신으로 유지해야 한다"며 "필요한 파일은 클라우드나 외장하드 등에 분산 저장하는 것이 피해를 최소화하는 방법"이라고 말했다.
박현준 기자 pama8@etomato.com