2018년 2월 9일 평창동계올림픽 개막식 도중 메인프레스센터에 설치된 IPTV가 갑자기 꺼지고, 조직위 웹사이트에 접속장애가 발생했다. 수송, 숙박, 선수촌 관리, 유니폼 배부 등 4개 영역 52종의 서비스가 중단됐다. 당시 벌어진 해킹사태는 러시아 군정보기관의 소행이었던 것으로 나타났다. 존 데머스 미국 법무부 차관보는 19일(현지시간) 기자회견에서 “평창올림픽 개막식을 지원하는 수천대의 컴퓨터를 작동 불능 상태로 만든 것은 악성코드 ‘올림픽 파괴자’의 공격”이라며 공격 주체는 러시아 군정보기관인 정찰총국(GRU)의 ‘74455부대’라고 밝혔다. 러시아 선수단은 국가 차원의 도핑 시도로 당시 올림픽 참가가 금지된 상태였다. 사이버 공격은 이에 대한 보복 차원이었으며, 북한이나 중국이 한 것처럼 뒤집어씌우기를 위한 디지털 위장도 행해졌다. 법무부는 평창올림픽 해킹뿐 아니라 2016년 미국 대선에서 힐러리 클린턴 당시 후보의 이메일을 유출한 해커 등 러시아 정보 장교 6명을 기소했다. 미 대선을 2주 앞둔 시점에서 발표한 것과 관련해 법무부는 “대선과 관련이 없다”고 밝혔다. 사이버 보안 업계에서 ‘샌드웜´으로 알려진 74455부대는 세계에서 가장 뛰어난 해킹 그룹으로 간주된다. 이들이 사용하는 프로그램들 가운데 2017년 개발된 ‘낫페티야’라는 악성코드는 가장 파괴적인 사이버 공격 도구로 꼽힌다. 제약사 머크사는 7억 달러의 손실을 봤고, 펜실베이니아의 병원과 위성시설 등도 손해를 입었다. 2015년과 2016년 우크라이나의 대규모 정전과 재무부 공격, 2017년 프랑스 대선에서 이메일 해킹, 영국 수사기관에 대한 사이버 공격도 있다. 영국 외무부는 이날 별도로 올해 도쿄올림픽이 코로나19 탓에 연기되기 이전 GRU가 해킹을 시도했다고 발표했다. 주미 러시아대사관은 뉴욕타임스를 통해 “미국에서 러시아 공포심을 일으키려는 ‘마녀 사냥’의 시작”이라며 사이버공격을 강력 부인했다. 이기철 선임기자 chuli@seoul.co.kr

　미국과 유럽, 한국 등 전 세계 전산망을 동시다발적으로 강타한 악성코드 랜섬웨어의 위협이 일상화될 가능성이 있다고 전문가들이 경고했다. 랜섬웨어가 날이 갈수록 더 교묘하게 진화하고 있다는 분석도 나왔다. 　뉴욕타임스(NYT)는 28일(현지시간) 전문가들의 말을 인용해 “전날 러시아와 유럽, 아시아 등지를 공격한 랜섬웨어는 지난달 창궐한 ‘워너크라이’보다는 덜 치명적인 것으로 파악됐다”면서도 “전 세계 해커들이 각국 정부 기관의 취약한 인프라에 눈독을 들이고 있어 유사한 공격이 정기적으로 일어날 가능성에 대비해야 한다”고 전했다. 　랜섬웨어의 일종인 ‘페티야’ 또는 페티야의 변종 ‘골든아이’로 추정되는 이번 악성코드의 공격에 대해 유럽연합(EU) 경찰기구 유로폴의 랍 웨인라이트 국장은 “워너크라이와 뚜렷한 유사성이 있지만, 더 정교한 공격 능력을 갖추고 있는 것으로 드러났다”면서 “사이버범죄가 어떻게 진화하는지를 보여주는 것”이라고 설명했다. 페티야 또는 골든아이는 스스로 확산을 멈추는 프로그램인 ‘킬 스위치’가 없는 것으로 알려져 있다. 　사이버 보안회사 시만텍의 개빈 오 고먼 애널리스트는 “이번 공격은 워너크라이에서 영감을 받은 것이 확실하다. 앞으로 이런 유형의 공격이 더 자주 발생할 것”이라고 전망했다. 하지만 PGI 사이버의 브라이언 로드는 “이들의 목적이 단지 돈을 노린 것이 아니라 더 많은 정부 기관의 파괴일 수도 있다”고 말했다. 　NYT는 돈을 목적으로 했건 파괴를 목적으로 했건, 유사한 범죄가 잇따를 것이라는 데는 전문가들의 견해가 일치한다면서, 이를 방지할 대책 마련이 필요하다고 지적했다. 　랜섬웨어는 서버를 해킹해 모든 데이터를 암호화해 열 수 없게 만들고 이를 복구해주는 대가로 돈을 요구하는 악성코드다. 랜섬웨어의 일종인 워너크라이가 150여개국에서 30만대 이상의 컴퓨터를 감염시키면서 악명이 높아졌다. 　강신 기자 xin@seoul.co.kr

국내에서는 ‘페티야’ 랜섬웨어가 인터넷을 통해 무작위로 감염됐던 ‘워너크라이’에 비해 상대적으로 위험성이 떨어지는 것으로 파악하고 있다. 28일 보안업계에 따르면 페티야는 지난해 초 발견된 랜섬웨어다. 윈도 운영체제(OS)의 파일공유(SMB) 취약점을 파고들어 컴퓨터를 감염시킨다는 점에서 워너크라이와 유사하다. 하지만 워너크라이가 인터넷을 통해 무작위로 전염시키는 ‘웜’ 기능이 있었던 것과 달리 페티야는 ‘내부망’(로컬 네트워크)으로만 감염된다는 차이가 있다. 또 페티야는 같은 아이디와 패스워드를 쓰는 PC를 감염시키는 특성을 갖고 있다. 예를 들면 한 학교 컴퓨터실에서 같은 아이디와 비밀번호를 쓰고 있다면 컴퓨터실 내 PC가 모조리 감염될 수 있는 것이다. 전문가들은 “같은 내부망을 쓰는 PC의 아이디와 패스워드를 전부 다르게 설정해야 한다”고 조언했다. 보안업체 하우리의 최상명 부장은 “기본적인 보안 수칙이지만 계정 비밀번호를 대문자와 소문자를 섞어 8자 이상으로 복잡하게 설정하는 조치가 필요하다”고 말했다. 한국인터넷진흥원(KISA) 관계자는 “국내에서는 크게 확산될 것으로 보지 않는다”면서도 “보안업체들과 악성코드 샘플 및 분석 결과를 공유할 예정”이라고 밝혔다. 미래창조과학부는 이날 ▲OS·백신 프로그램의 최신 업데이트 ▲중요 자료 네트워크 분리 및 백업하기 ▲의심스러운 이메일·파일 열지 않기 ▲불필요한 공유 폴더의 설정 해제 등 보안 수칙을 배포했다. 앞서 미래부는 통신사, 백신사, OS 개발사, 제조사, 포털사이트 운영사 등을 포함한 ‘랜섬웨어 대응 민관 협의회’를 구축했다. 윤수경 기자 yoon@seoul.co.kr

우크라이나 등 유럽을 중심으로 미국과 한국 등 전 세계를 27일(현지시간) 강타한 동시다발 랜섬웨어 ‘페티야’ 공격은 수개월간 지속될 가능성이 제기된다. 페티야는 워너크라이 랜섬웨어처럼 윈도 운영체제의 취약점을 파고들어 컴퓨터를 감염시킨 뒤 300달러(약 34만원)짜리 비트코인(가상화폐)을 요구하고 있다.페티야는 전 세계적으로 2000곳이 넘는 기관을 공격한 것으로 알려졌다. 특히 우크라이나와 러시아는 막대한 타격을 입었다. 우크라이나는 주요 정부부처는 물론 국영은행과 원자력발전소 등 기간시설이 페티야의 공격에 농락당하다시피 했다. 국제공항과 국영은행, 전력·통신기업 등 100개가 넘는 우크라이나 기관이 랜섬웨어의 공격을 받은 것으로 보이지만 정확한 피해 규모조차 파악되지 않고 있다. 러시아 역시 최대 국영 석유회사인 로스네프트와 러시아 중앙은행, 철강 기업 예브라즈 등이 공격을 받았다. 로스네프트는 원유 생산에 영향이 없다고 강조했다. 다국적 로펌인 DLA 파이퍼와 다국적 제약사 머크, 덴마크의 세계 최대 해운사 A.P.몰러 머스크, 영국의 광고기업 WPP, 프랑스 제조업체 생고뱅 등도 공격받았다. 머스크의 컨테이너 터미널 17곳이 가동을 중단한 것으로 전해졌다. 소프트웨어 보안업체 비트 디펜더의 보안전문가인 카탈린 코소이는 월스트리트저널에 “특정인을 목표로 한 공격은 아닌 것으로 보인다”면서도 “하지만 가능한 한 많은 사람에게 공격을 시도했다”고 설명했다. 이번 공격의 배후를 둘러싼 추정만 나오는 가운데 북한의 소행 가능성이 제기된다. 앞서 영국 정보기관인 정보통신본부 내 국가사이버보안센터(NCSC)와 미 국가안보국(NSA)은 지난달 발생한 워너크라이 공격 배후로 북한을 지목했다. 정찰총국이 관리하는 것으로 알려진 해커집단 ‘래저러스’가 연루된 정황이 포착됐기 때문이다. 미국 사이버보안업체 플래시포인트는 워너크라이 공격에 쓰인 악성 코드를 언어학적으로 분석한 결과 남부 중국어를 모국어로 하는 사람들이 작성했다며 해커가 중국 남부나 홍콩, 대만, 싱가포르 출신일 가능성이 있다고 추정했다. 그렇지만 사이버 보안전문가 사이에서도 랜섬웨어 배후 규명은 까다로운 작업인 데다 뚜렷한 증거도 없어 단정하기는 어렵다. 여기에 이번 랜섬웨어 역시 지난번 워너크라이와 마찬가지로 ‘이터널 블루’ 코드를 사용했을 가능성이 커 배후 규명작업이 어려울 수 있다. 이터널 블루는 NSA가 윈도의 취약점을 활용해 만든 해킹 도구로 알려졌다. 이 코드를 사용한 페티야 제작자들은 일반 검색 엔진으로는 찾을 수 없어 주로 불법적인 정보 거래에 악용되는 ‘다크웹’에서 페티야를 판매했다. 다크웹에서 랜섬웨어를 구매한 사람은 한 번의 클릭만으로 다른 컴퓨터 사용자의 파일을 암호화해 암호 해독 키 제공 대가로 비트코인을 요구할 수 있게 된다. 피해자가 인질로 잡힌 컴퓨터 파일을 되찾고자 돈을 지불하면 페티야 제작자도 이 중 일부를 가져간다. 뉴욕타임스는 페티야의 전파 방식을 고려하면 배후 세력을 추적하는 것은 거의 불가능하다고 지적했다. 지난해 페티야의 존재를 처음 알린 러시아 사이버 보안업체 카스퍼스키는 이번 랜섬웨어가 페티야와 유사한 특징을 보이지만 한 번도 확인되지 않은 새로운 종류의 랜섬웨어일 가능성을 제기했다. 이는 확산을 저지할 수 있는 킬스위치가 없기 때문이다. 미국 싱크탱크 애틀랜틱카운슬의 사이버기술계획 부국장 보 우즈는 “가장 우려되는 점은 워너크라이의 확산을 막았던 킬스위치가 없는 형태로 만들어졌을 수 있다는 것”이라면서 “만약 킬스위치가 없다면 수개월에 걸쳐 공격을 가할 수 있다”고 설명했다. 이제훈 기자 parti98@seoul.co.kr

유럽·美 기업·금융기관 동시 마비 국내 한국MSD 감염… 업무 차질 우크라이나를 시작으로 러시아와 유럽, 미국은 물론 한국에서 동시다발적인 사이버 공격이 발생해 은행 현금지급기 가동이 중단되는가 하면 방사능 감지 시스템도 영향을 받았다. 전문가들은 28일 지난달 전 세계 150여개국에서 30만대 이상의 컴퓨터를 감염시키며 큰 피해를 낸 ‘워너크라이’ 랜섬웨어의 일종인 ‘페티야’(Petya)가 이번 공격에 사용됐을 것으로 추정했다. 랜섬웨어는 컴퓨터 사용자가 저장된 파일에 접근할 수 없도록 막고 차단을 풀어 주는 조건으로 금전을 요구하는 악성 프로그램이다. 특히 이번 랜섬웨어는 워너크라이와 유사하지만 확산을 막을 수 있는 ‘킬 스위치’가 없는 더욱 강력한 변종일 수 있다는 우려를 낳고 있다. 배후가 누구인지는 불분명한 상황이다. 사이버 공격은 우크라이나 정부 전산망과 러시아 국영석유기업 로스네프트를 시작으로 덴마크와 영국, 프랑스, 미국 등에서 거의 동시에 확인됐다. 우크라이나에서는 기간산업부 등 주요 정부부처와 키예프 보리스필 국제공항, 우크라이나 중앙은행을 포함한 일부 국영은행, 우크르에네르고와 우크르텔레콤 등 전력·통신기업 등 100여곳이 넘는 기관의 시스템이 장애를 빚거나 가동이 중단됐다. 장애가 발생한 은행에서는 현금지급기 가동이 중단됐다. 1986년 4월 최악의 원전 사고를 겪은 체르노빌 원자력발전소도 이번 해킹 공격을 받아 방사능 감지 시스템이 중단돼 수동으로 방사능 수치를 점검했다. 러시아 국영 석유회사인 로스네프트는 사이버 공격 사실을 알리면서 “공격을 받아 정지된 컴퓨터 화면에 ‘300달러를 송금하면 복구 키를 제공하겠다’는 통지문이 떴다”고 공개했다. 다국적 로펌인 DLA 파이퍼와 다국적 제약사 머크, 덴마크의 세계 최대 해운사 A P 몰러머스크, 영국의 광고기업 WPP, 프랑스 제조업체 생고뱅 등도 공격에 노출됐다. 보안업체 카스퍼스키는 현재까지 전 세계적으로 2000여건의 피해 사례가 집계됐다고 밝혔다. 국내에서도 머크의 한국지사인 한국MSD가 페티야에 감염돼 업무에 차질을 빚었다. 한국MSD 관계자는 “해킹에 의해 네트워크가 감염됐다”며 “랜섬웨어에 의한 해킹인지 다른 종류의 네트워크 장애인지는 아직 확인 중”이라고 말했다. 한국인터넷진흥원(KISA)은 “정식으로 신고가 들어온 사례가 없다”면서 “보안업계와 정보를 공유하며 동향을 예의 주시하고 있다”고 밝혔다. 이제훈 기자 parti98@seoul.co.kr 김희리 기자 hitit@seoul.co.kr

등지느러미 부분에 ‘깃’처럼 긴 부분이 달린 민물고기를 새로운 속(genus)으로 분류해 도킨시아(Dawkinsia)로 명명했다고 16일(현지시각) 스리랑카 과학자들이 밝혔다. 여기서 속은 생물분류 상, 종(species)과 과(family) 사이에 위치한 등급이며, 도킨시아는 진화론자로 알려진 유명 생물학자 리처드 도킨스를 기념하기 위해 이 같이 이름 지었다고 한다. 연구를 이끈 어류학자 로한 페티야고다(56)에 따르면 도킨시아 속은 동남아시아에서만 서식하는 물고기로 지금까지 총 9종이 확인됐으며, 수컷은 등지느러미에 실 모양으로 뻗은 긴 ‘필라멘트’가 나와있는 점이 특징이다. 지금까지 도킨시아 속은 바브(barb)라는 열대성 소형 물고기가 속한 120여 종으로 구성된 푼티우스(Puntius) 속에 포함돼 있었으나 연구진이 인도와 스리랑카 일대에 있는 민물고기를 장기간에 걸쳐 심층 조사한 결과, 이들 물고기는 기존의 푼티우스보다 더 큰 다른 속으로 확인됐다. 도킨시아 속 물고기 수컷은 암컷을 끌기 위해 등지느러미에서 연장된 ‘필라멘트’를 길게 성장시킨다. 하지만 이 깃은 눈에 잘 띄여 도킨시아 속 물고기를 노리는 천적들에게 도움을 준다고 한다. 이에 대해 페티야고다는 “도킨시아 수컷의 등지느러미는 수컷 공작의 깃털과 비슷한 역할을 한다.”면서 “화려한 장식은 스스로를 위험에 처하게 하지만서도 원하는 암컷을 선택할 수 있는 이점도 있다.”고 말했다. 한편 이번 도킨시아 속의 재분류는 푼티우스 속의 물고기 DNA와 골격 구조, 해부학적 특징 등을 8년간 연구한 끝에 이뤄졌다. 사진=자료사진(시리어슬리피시닷컴) 윤태희기자 th20022@seoul.co.kr