CGV에 등장한 랜섬웨어…'블랙 사이버 먼데이' 현실화

영화관에서 광고 상영중 '워너크라이' 비트코인 지불하라는 경고문 등장
정상 근무 시작되는 월요일부터 피해 급증할 듯…국내 감염 IP만 4000여개
윈도 최신 보안패치 적용해야

15일 서울 송파구 한국인터넷진흥원 인터넷침해대응센터에서 직원들이 바쁘게 움직이고 있다. (사진 = 백소아 기자)

[아시아경제 한진주 기자] 국내 CGV 영화관에서도 '워너크라이' 랜섬웨어에 감염된 화면이 등장했다. 기업·기관들의 정상 근무가 시작되는 오늘부터 국내에서도 워너크라이 발 '블랙 사이버 먼데이'가 현실화될지 관심이 쏠리고 있다.

15일 보안업계와 인터넷 커뮤니티에 따르면 이날 새벽 국내 대형 영화관에서 영화 상영 전 광고 화면에 워너크라이 랜섬웨어에 감염됐으니 비트코인을 지불하라는 랜섬노트가 등장했다. 국내 기업, 네트워크와 연결된 결제단말기 등을 사용하는 기업들까지 공격 대상에 포함되면서 경제적 피해도 커질 것으로 예상된다.

인터넷진흥원에 따르면 15일 오전 현재 워너크라이에 감염됐다고 문의한 기업·기관은 총 8곳이며, 이중 인터넷진흥원에 직접 신고한 5곳에 대해 현장 조사를 진행중이다. 국내에서는 지난 토요일인 13일부터 피해가 확산되기 시작해 오늘이 워너크라이 감염 피해의 분수령이 될 것으로 예상된다.

기업이나 기관 외에 보안에 소홀한 개인 PC들의 피해도 큰 상황이다. 보안업체 하우리에 따르면 국내에서 워너크라이 랜섬웨어에 감염된 IP는 총 4180개로 집계됐다. 전세계에서 워너크라이에 감염된 IP는 총 22만개, 이중 국내 감염 비율은 약 1.8%로 추산된다.

최상명 하우리 CERT실장은 "현재까지 발견된 워너크라이 변종은 약 280종에 달한다"며 "국내에서도 감염 사례가 지속적으로 발견되고 있으며 신고하지 않은 감염 사례가 많은 상황"이라고 설명했다.

워너크라이 랜섬웨어에 감염된 PC 바탕화면(출처=이스트시큐리티)

랜섬웨어 공격 피해는 과거에도 꾸준히 있었지만, 이번 워너크라이는 확산 속도나 피해 규모가 이전 랜섬웨어들보다 훨씬 크다. 워너크라이는 윈도가 설치된 PC와 서버를 감염시키는 네트워크 웜(자가 전파 악성코드)이다. 랜섬웨어가 스스로 자가복제해 윈도 취약점 패치가 적용되지 않은 PC를 대상으로 전파시키는 구조다. 감염되면 파일 확장자가 '.WNCRY'로 변경되고 암호화된 파일을 복호화하는 비용으로 300달러 이상의 비트코인을 요구한다.

이메일이나 플래시 플레이어를 통해 유포된 다른 랜섬웨어와 달리, 워너크라이 전 세계적으로 점유율이 높은 '윈도'의 취약점을 노려 피해가 컸다. 특히 보안 업데이트가 중단된 윈도 XP 이하 구형 PC들은 직격탄을 맞았다. MS는 이례적으로 구형 운영체제인 윈도XP와 윈도 서버 2003, 윈도 8용 패치까지 제공했지만 수십개국에서 감염 피해가 발생한 이후였다.

이스트시큐리티 관계자는 "워너크라이는 어떤 네트워크상에 있는 시스템이 1대라도 감염되면 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결된 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적"이라며 "워너크라이 변종이 150개 이상 발생했고 변종이 계속 생성될 수 있으므로 MS가 제공하는 윈도 보안패치를 최신 버전으로 업데이트 하는 것이 필수"라고 설명했다.

워너크라이 랜섬웨어는 윈도 파일 공유 네트워크인 SMB 프로토콜을 통해 감염된다. MS는 해당 SMB 취약점에 대해 지난 3월 14일에 패치를 진행했으나, 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 감염 위험에 노출돼있다. 감염을 막으려면 인터넷 연결부터 차단하고, SMB 설정을 해제한 다음 윈도 업데이트를 해야 한다.

인터넷진흥원은 감염 피해 예방을 위해 ▲인터넷과 네트워크를 차단 후 파일 공유 기능을 해제하고 ▲백신과 윈도 최신 보안 업데이트 적용 후 ▲악성코드 검사를 수행할 것을 권고하고 있다.

김준섭 이스트시큐리티 부사장은 "알약을 통해 차단된 랜섬웨어 공격만 총 2000여건 수준이었고 주말인 점을 감안하면 매우 심각한 수준"이라며 "현재 보안 기업과 기관에서 확산 방지를 위해 적극적인 대응을 하고 있음에도 불구하고 업무가 시작되는 월요일부터 관련 피해가 급격히 증가할 가능성이 있기 때문에 인터넷진흥원(이하 KISA) 보호나라 사이트에 공지된 피해 확산 방지 안내를 숙지하고 피해가 없도록 사전에 대비해야 한다"고 당부했다.

워너크라이 감염 예방법(출처=보호나라)

한진주 기자 truepearl@asiae.co.kr