[뉴스토마토 박현준 기자] 랜섬웨어 복호화 툴이 등장했지만 여전히 피해 가능성은 도사리고 있어 주의가 요구된다.
최근 해커뉴스 등 해외 IT전문 매체에 따르면, 프랑스 정보보호 기업 쿼크스랩(Quarkslab)은 랜섬웨어에 감염돼 암호화된 PC의 잠금을 해제하는 복호화 툴을 공개했다. 단, 이 툴은 윈도XP, 윈도7, 윈도 비스타, 윈도 서버 2003·2008의 운영체제(OS)에서만 사용 가능하다.
유튜브에 공개된 워너크라이 랜섬웨어 복호화툴을 소개하는 영상. 사진/유튜브 캡처
워너크라이 랜섬웨어는 PC나 서버의 OS나 특정 파일 및 폴더를 암호화해 열지 못하도록 하는 악성코드로, 윈도의 서버메시지블록(SMB) 취약점을 이용한다. 이를 해제하려면 랜섬웨어 배포자에게 돈을 지불하고 암호를 풀 수있는 복호화 키를 받아야 한다.
랜섬웨어는 PC나 서버를 암호화하는 암호 키와 이를 해제하는 복호화 키가 쌍으로 존재한다. 워너크라이 랜섬웨어는 PC나 서버를 암호화할 때 복호화 키를 시스템의 메모리 영역에 남겨두게 되는데, 쿼크스랩의 복호화 툴은 이를 찾아내 암호를 해제한다. 단, 전원이 꺼지면 저장된 데이터도 사라지는 메모리의 특성상 감염된 PC나 서버를 끄거나 재부팅하면 복호화 키는 사라진다. 감염된 PC나 서버를 끄거나 재부팅하지 않고 그대로 보존한 상태에서 이 툴을 사용해야 복호화 키를 찾을 수 있다.
모든 윈도XP나 윈도7의 PC에서 복호화 키를 찾아낼 수 있는지는 추가 검증이 필요하다. 안랩의 V3나 이스트소프트의 알약처럼 일반 사용자들이 쉽게 사용할 수 있는 버튼을 누르는 방식도 아니다. 유튜브에 공개된 복호화 툴 영상을 보면 프로그래밍에 대한 이해 능력을 필요로 한다.
보안업계에서 이번 워너크라이 랜섬웨어 공격의 배후로 지목한 해킹그룹 셰도브로커스가 추가 공격을 예고한 것도 안심할 수 없는 이유다. 셰도브로커스는 최근 블로그를 통해 "마이크로소프트의 최신 OS인 윈도10을 공격할 수도 있다"고 밝혔다.
염흥열 순천향대 정보보호학과 교수는 "워너크라이 랜섬웨어 공격이 줄었지만 기존의 SMB 포트 외에 다른 경로로 공격할 수 있어 안심할 수 없다"며 "기업과 기관들은 단종된 OS를 업그레이드하고 최신 보안 패치를 적용하는 등 조직 차원의 대응이 필요하다"고 조언했다. 한국인터넷진흥원(KISA)의 118상담센터에 접수된 기업이나 기관의 워너크라이 관련 문의는 22일 오후 1시 기준 21건이며, 이중 정식 신고된 것은 20건이다. KISA는 정식으로 신고한 곳 중 원하는 곳을 대상으로 현장조사를 실시하고 있다.
박현준 기자 pama8@etomato.com