“현재 당신의 파일들이 인질로 잡혀 있습니다.”
: 전세계를 상대로한 랜섬웨어의 데이터 인질극
“Attention! Attention! Atten-tion!? Your documents, photos, databases and other important files have been encrypted” 위 문장은 ‘케르베르(CERBER)’라는 랜섬웨어에 감염되면 나오는 음성 메시지이다.
올해 초부터 시작된 랜섬웨어(Ransomware)의 공격에 전 세계의 많은 컴퓨터(사용자)들이 속수무책으로 당하고 말았다. 그 어원(Ransom<몸값> + Software)에서도 알 수 있듯이 랜섬웨어 공격자들은 컴퓨터 사용자들에게 ‘몸값’을 요구한다. 인질은 컴퓨터에 있는 모든 파일들이다.
워너크라이(WannaCry), 전 세계를 Lock하다.
사실 랜섬웨어가 처음 등장한 지는 10여년이 지났다. 그동안의 랜섬웨어는 특정 인터넷 웹 페이지에 접속을 하거나 이메일 등을 통해 다운로드 받은 첨부파일을 실행시킬 때만 감염되는 방식이었다. 올해 유독 랜섬웨어의 공격이 한층 심화된 이유는 신종 랜섬웨어 ‘워너크라이’가 등장했기 때문이다. ‘워너크라이’는 컴퓨터가 그저 인터넷 네트워크에 접속만 해도 컴퓨터를 감염시킬 수 있었기 때문이다. 다시 말해, 사용자가 컴퓨터를 부팅시키는 순간 감염되는 경우가 대다수였다는 말이다. 올해 5월 12일 배포되기 시작하여 일주일이 채 안 되는 짧은 시간 동안 150여개국에서 30만 대가 넘는 컴퓨터를 감염시켰다.
워너크라이의 공격 대상은 기업, 정부기관, 학교 등 여러 기관들이 포함되어 있었다. 이 중 눈여겨보아야 할 점은 주요 타겟 중 하나가 바로 영국 국민보건서비스(NHS) 산하 48개 병원들이었다는 점이다. 해당 병원들은 데스크탑, 노트북 등의 컴퓨터들 외에도 MRI, 인공호흡기 등 컴퓨터가 내장된 모든 의료기기들 또한 사용할 수 없었다.
NHS가 랜섬웨어의 공격에 쉽게 노출된 원인은 여러 가지가 있겠지만 가장 표면적으로 드러나는 것은 바로 컴퓨터 운영체제에 관한 것이다. 미국의 잡지 『와이어드』에 따르면 NHS가 관리하는 컴퓨터 시스템의 90% 정도의 컴퓨터들이 Windows XP 상에서 구동되고 있었다고 한다. Windows XP는 2014년, 마이크로소프트 사에서 공식적으로 추가 지원 및 서비스 자체를 종료한 운영체제이기 때문에 보안 측면에 있어 어떠한 방책도 존재하지 않았다. 그렇기에 랜섬웨어의 훌륭한 먹잇감이 되었고 컴퓨터 간에 쉽게 전파되는 랜섬웨어의 특성상 NHS라는 거대한 네트워크는 너무나도 먹음직스러워 보였을 것이다.
랜섬웨어에 휘둘릴 수 밖에 없는 병원들의 입장
이번 NHS 사건 외에도 병원이 주요 타겟이 된 것은 어렵지 않게 찾아볼 수 있다. 그렇다면 왜 유독 병원이 랜섬웨어가 공격하기에 안성맞춤인 것일까? 운영체제 말고 다른 이유가 있을까?
2016년 미국의 Hollywood Presbyterian Medical Center는 ‘몸값’이 아주 비쌌던 사례로 유명하다. 당시 랜섬웨어 공격자들은 당사자들에게 17,000달러(약 2,000만원)라는 거금을 요구했다. 대개의 경우 300달러를 요구한다는 것을 감안해보면 이는 매우 충격적인 액수였는데, 더 놀라웠던 점은 병원 측에서 이 금액을 어쩔 수 없이 지불했다는 점이다. 전문가들은 이를 두고 공격자들이 병원 측에서 분명 몸값을 지불할 것이기 때문에 그 정도의 금액을 요구했을 것이라고 이야기하였다. 왜냐하면 병원 측에서는 랜섬웨어로 인해 환자의 의무기록 열람이 불가할 뿐만 아니라 어떠한 의료기기도 사용할 수 없었고 시간이 지날수록 그로 인한 피해 액수는 기하급수적으로 늘어날 것이 불 보듯 뻔했기 때문이다.
또한 병원 내에는 ‘컴퓨터가 아닌’ 컴퓨터들이 많이 때문이다. 이는 이번 워너크라이의 공격을 받은 우리나라 병원의 사례를 보면 알 수 있다. 해당 병원의 컴퓨터 시스템에는 랜섬웨어의 공격을 충분히 방지할 수 있는 보안 솔루션이 설치되어 있었는데 그 적용 범위에 의료기기에 내장된 컴퓨터는 포함되어 있지 않았다. 의료기기는 인터넷과 무관하다고 생각한 나머지 보안 관리에 소홀했고 랜섬웨어에 당연히 취약할 수 밖에 없었다.
끝으로 보안관리 업체 KnowBe4의 CEO인 Stu Sjouwerman은 병원은 “직원들에게 보안에 관한 교육을 제공하지 않는다”라고 말하면서 그 대신 단지 연방법에 준수하여 환자들의 프라이버시를 지키고 있는지 만을 감독한다고 주장한다. 즉, 병원들은 표면적으로 드러나는 것들에만 신경을 쓸 뿐 정작 실질적으로 행해져야 할 것은 전혀 실천하고 있지 않다는 뜻이다. 그만큼 병원 관계자들은 본인의 업무가 인터넷, 네트워크, 테크놀로지 등과 동떨어진 것이라고 생각한다.
랜섬웨어의 공격을 한 발짝 빗겨나간 우리나라,
랜섬웨어가 전 세계 방방곡곡을 누비고 있는 동안 한국은 랜섬웨어의 공격을 다소 거리를 두고 지켜보는 입장이었다. 2009년 디도스(DDos) 공격 때와는 사뭇 다른 모습이다. 당시에는 디도스로 인한 피해액만 500억원이 훌쩍 넘었다. 정부기관을 포함하여 금융사, 언론사, 보안 업체 등 정말 많은 기관, 기업들이 피해를 봤다. 특히 이번 랜섬웨어가 Windows 운영체제의 허점을 노렸다는 점, 국내 데스크톱 PC의 운영체제 중 90%가 넘는 수가 Windows를 사용한다는 점 등을 감안해보았을 때 어느 누구도 랜섬웨어가 한국에서만큼은 이토록 잠잠할 것이라고 장담할 수 없었다. 그러나 NHS의 경우와는 달리 대다수가 Windows XP 상위 버전을 사용하고 있었다는 점, 30,000여 기관이 피해를 받은 중국과 달리 불법 소프트웨어의 사용 비중이 매우 낮았다는 점 등이 랜섬웨어의 공격을 피해간 이유라고 보고 있다. 또한 사드 문제로 인해 발생할 중국의 해킹 공격에 대비해 국가적으로 보안을 강화하고 있었을 뿐만 아니라 금요일 오후부터 시작된 랜섬웨어의 공격을 주말동안(컴퓨터가 꺼져있는 동안) 대비할 수 있었다는 점 등을 이번 사태를 잠잠히 보낼 수 있는 이유로 꼽고 있다.
추가 공격 대비해 외양간은 계속 다듬는 중
허나, 이번 공격은 무사히 막아냈다 하더라도 다음 공격에 대비하기 위한 움직임도 꾸준히 이루어지고 있다. 특히 랜섬웨어의 주요 공격 대상이 병원이었다는 점에 기반하여 국내 병원들이 먼저 촉각을 곤두세우고 보안 강화에 힘을 쓰고 있다. 구체적인 대비 방안은 바로 ‘망 분리 사업’이다. 망 분리란 외부와 연결되어 있지만 필요한 순간 독립적으로도 운영될 수 있는 내부 망을 설치하는 것이다. 랜섬웨어 등의 외부 공격이 의심되는 순간 외부와 연결되는 회선을 차단하여 독자적으로 내부에서 환자의 데이터를 열람하고 의료기기를 구동시킨다는 것이다. 한 가지 현실적인 한계가 있다면 의료기기가 워낙 고가이다 보니 최신 소프트웨어를 장착한 기기로 쉽게 교체할 수가 없다는 점이다. 그럼에도 다른 나라의 사례를 반면교사 삼아 변종 등 랜섬웨어로 인한 추가 공격에 대비하는 것이 현재로서는 최고의 방책이 아닐까 싶다.
윤명기 기자/한림
<zzangnyun@gmail.com>