지난 3일(현지시간) 영국 런던 브리지에서 승합차 한 대가 인도로 돌진하고, 승합차 안에 타고 있던 용의자들이 인근 재래시장인 버러마켓 주변에서 흉기를 휘두르는 테러 사건이 발생했다. 이 테러로 4일 현재까지 최소 7명이 숨지고 40여명이 다쳤다. 이는 ‘맨체스터 테러’가 발생한 지 12일만의 일이다. 지난달 22일 맨체스터 아레나 공연장에서 폭발 테러가 발생해 22명이 사망하고 50여명이 부상하는 일이 발생한 적이 있다. 또 지난 3월에는 런던 의사당(웨스트민스터) 인근 다리에서 승용차로 인도에 돌진해 사람들을 공격한 뒤 차에서 내려 경찰에게 흉기를 휘두른 ‘칼리드 마수드 사건’이 터졌다.크레시다 딕 런던경찰청장은 4일 성명을 통해 “이번 (테러) 공격으로 민간인 7명이 사망했다. 용의자 3명은 무장경찰에 의해 사살됐다”면서 “현재 파악된 정보에 따르면 48명이 병원에서 치료를 받고 있다”고 밝혔다. 전날 밤 10시쯤 남성 용의자 3명이 탄 흰색 승합차 1대가 런던 브리지 인도로 뛰어들어 사람들을 쓰러뜨린 뒤 다리 남단과 이어진 버러마켓의 한 펍(영국 술집) 부근 난간에 충돌했다. 용의자들은 흉기를 들고 뛰어나와 버러마켓의 음식점에 있던 사람들과 행인들을 상대로 무차별적으로 흉기를 휘둘렀다. 용의자들은 밤 10시 8분쯤 현장에서 무장경찰에 모두 사살됐다. 현재까지 이번 테러를 자행했다고 주장한 세력은 나오지 않고 있다. 하지만 테리사 메이 영국 총리는 이번 테러가 이슬람 극단주의에 영감을 받은 자들에 의한 모방 테러임을 시사했다.메이 총리는 성명을 통해 맨체스터 테러 등 최근 테러들을 지칭하고 “이들이 이슬람 극단주의라는 악의 이념으로 서로 묶여 있다”면서 “범인들이 (이슬람 극단주의 이념에) 영감을 받아 공격하고 있고, 다른 공격을 모방하고 있다”고 밝혔다. 이어 “경찰과 대테러 기관들이 필요한 모든 권한을 가질 수 있도록 테러 전략을 검토할 필요가 있다”면서 특히 온라인상의 극단주의 이념 확산을 억제하기 위해 새로운 사이버 규제가 필요하다고 강조했다. 최근 테러가 잇따르면서 오는 8일 예정된 총선에 미칠 영향이 주목되는 가운데 메이 총리는 총선을 예정대로 치르겠다는 입장이다. 오세진 기자 5sjin@seoul.co.kr

북한이 신종 해킹 수법인 일명 ‘워터링 홀’ 방식으로 한국에 해킹 공격을 가한 것으로 보인다고 월스트리트저널(WSJ)이 30일(현지시간) 전했다. WSJ는 사이버보안 전문가들을 인용해 지난 2월부터 3개월간 한국 정부 관련 외곽단체의 웹사이트에 해킹 공격이 감지됐으며, 이는 북한의 소행으로 보인다고 전했다. 보도에 따르면 공격 대상은 항공우주와 외교, 통일 관련 웹사이트 9곳이었으며 워터링 홀이라는 새로운 수법이 사용됐다. 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격 대상이 평소 자주 방문하는 홈페이지에 미리 악성코드를 심어 둔 뒤 당사자가 접속하기를 기다리는 수법이다. WSJ는 최근 아시아는 물론 멕시코·폴란드 등의 글로벌 은행에 대해서도 비슷한 수법의 해킹 공격이 있었다며 북한의 연루 의혹을 제기했다. WSJ는 “북한 해킹그룹은 외국 은행·기업을 담당하는 A팀, 대남 해킹에 주력하는 B팀, 이메일 발송·정보 수집 등의 C팀으로 나뉜다”며 이번 워터링 홀 해킹도 B팀이 주도한 것으로 추정했다. 북한의 해킹 공작원은 1300명에 달하며 10여곳의 지원조직까지 더하면 5000명을 웃돈다고도 전했다. 앞서 WSJ는 사설에서 사상 최대 규모의 글로벌 해킹 사건인 ‘워너크라이’ 랜섬웨어 공격의 배후가 북한 김정은 정권이라는 증거들이 나오고 있다며 시급한 대책 마련을 촉구한 바 있다. 김미경 기자 chaplin7@seoul.co.kr

‘프로듀스 101’ 시즌2 브레이브 연습생 김사무엘 측이 허위 사실 유포 및 인신 공격성 발언 등에 대해 강경 대응할 것을 밝혔다. 소속사 측은 “연습생을 향한 근거 없는 허위 사실 유포와 인신 공격성 발언 등의 수위가 16살 어린 친구가 혼자서 감내하기에는 버거운 상황에 이르렀다고 판단, 해당 악성 댓글 작성자들을 상대로 형사 고소를 진행하여 강경 대응할 방침”이라고 말했다. 또한 “아직 미성년자인 연습생이 항간의 악플로 상처받지 않도록 보호자 역할을 충실히 이행하겠다”고 덧붙였다. 한편, 그는 지난 19일 방송된 Mnet ‘프로듀스 101’ 시즌2 포지션 평가에서 팀 내 6위, 댄스 포지션 내 23등을 기록했다. 1위를 바라 본 실력자였던 만큼 팬들의 안타까움은 컸다. 다음은 김사무엘 소속사 공식입장 전문. 안녕하세요. 브레이브 엔터테인먼트입니다. 당사는 김사무엘 연습생을 향한 근거 없는 허위 사실 유포와 인신 공격성 발언 등의 수위가 16살 어린 친구가 혼자서 감내하기에는 버거운 상황에 이르렀다고 판단, 해당 악성 댓글 작성자들을 상대로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의거한 사이버 명예훼손죄 및 모욕죄’로 형사고소를 진행하여 강경 대응할 방침임을 알려드립니다. 팬분들의 잇따른 제보와 자체 모니터링으로 상당수의 악성 게시물과 댓글 등 근거 자료를 수집하고 있으며 적시에 선처 없는 강력한 법적 대응으로 소속 아티스트의 추가적인 피해가 재발하지 않도록 적극 조치하겠습니다. 당사는 아직 미성년자인 김사무엘 연습생이 항간의 악플로 상처받지 않도록 보호자 역할을 충실히 이행하겠습니다. 앞으로 김사무엘 군에게 많은 사랑과 응원 부탁드립니다.감사합니다.사진=Mnet ‘프로듀스 101’ 시즌2 연예팀 seoulen@seoul.co.kr

불법게임조작 프로그램(게임핵)을 개발, 판매해 수억원을 챙긴 일당이 경찰에 붙잡혔다. 부산경찰청 사이버수사대는 24일 게임산업진흥법 위반 혐의로 김모(24·서울)를 구속하고 이모군(18·인천)과 박모군(15·충남)을 불구속 입건했다. 이들은 지난해 6월 9일부터 지난 10일까지 서울 소재 주택 등 3곳에서 자신들이 직접 개발한 넥슨사의 ‘서든어택’의 오토에임 게임핵 프로그램을 1200여명에게 판매해 4억원의 부당이득을 챙긴 혐의를 받고 있다. 이들이 판매한 게임핵 프로그램은 게임제작사의 보안프로그램 탐지를 피해 게임실행 데이터값을 변조해서 게임 이용자의 마우스 조작 없이도 게임 내 상대방의 캐릭터를 자동으로 조준하는 오토에임 기능을 하는 불법프로그램이다. 이로 인해 게임운영사인 넥슨은 기존 가입자들이 빠져나가는 등 큰 피해를 입은 것으로 알려졌다. 이들은 또 이용자들의 컴퓨터를 좀비PC로 활용하면서 같은 종류의 게임핵을 파는 경쟁 사이트 2∼3곳에 주기적으로 디도스(DDoS·분산서비스거부) 공격을 하기도 했다. 서울, 인천, 충남에 각각 거주하는 피의자들은 이 같은 게임핵을 파는 인터넷 사이트에서 알게 돼 메신저로 범행을 공모했다. 김씨는 홈페이지 관리, 이군은 회원관리 프로그램 제작, 장군은 게임핵 개발 등으로 역할을 분담했다. 이군과 장군은 중학교를 졸업하고 게임과 조작 범행에 빠져 고교 진학을 포기했다고 경찰은 전했다. 또 이들은 수사기관의 추적을 피하기 위해 게임핵 판매 대가로 가상화폐인 비트코인이나 문화상품권을 받은 것으로 드러났다. 부산 김정한 기자 jhkim@seoul.co.kr

댄 코츠 미국 국가정보국(DNI) 국장이 최근 전 세계적으로 일어난 해킹 사건인 ‘워너크라이(WannaCry)’ 랜섬웨어 해킹 공격에 대해 “북한이 이런 일을 할 능력을 보유하고 있다는 점은 확실히 안다”고 밝혔다.하지만 코츠 국장은 북한이 유력한 용의자로 지목되는 것에 대해서는 “확인할만한 증거가 없다”고 말했다. 코츠 국장은 23일(현지시간) 미 상원 군사위원회 청문회에 출석해 “북한이 이런 일을 할 능력을 보유하고 있다는 점은 확실히 알지만, 여전히 (해킹의) 진원지를 사정하고 있는 중”이라며 이와 같이 밝혔다. 그는 “우리는 우리를 겨냥한 사이버 위협에 어떻게 대응할지를 놓고 지속적인 평가와 관여가 필요하다”고 덧붙였다. 미국 유력 사이버 보안업체인 시만텍을 비롯한 주요 네트워크 보안 전문업체들은 이번 랜섬웨어 해킹 사태의 배후로 북한을 지목하고 있다. 온라인뉴스부 iseoul@seoul.co.kr

“전 세계를 대상으로 한 해커들의 인질극은 아직 끝나지 않았습니다.” 최근 전 세계를 혼란에 빠뜨렸던 ‘워너크라이’(WannaCry) 랜섬웨어 사태를 지켜본 한 보안 전문가의 말이다. 워너크라이는 영국의 국가의료보건서비스(NHS) 소속 병원, 러시아 내무부, 프랑스 르노자동차 공장, 중국 석유천연가스집단(CNPC), 미국 배송업체 페덱스, 독일 국영철도회사 도이치반, 스페인 통신사 텔레포니카, 우리나라 대형멀티플렉스 영화관 CGV 등 최소 150개국을 상대로 전례 없는 강도의 ‘사이버 인질극’을 벌였다.랜섬웨어란 ‘몸값’을 뜻하는 ‘랜섬’(ransom)과 ‘악성 소프트웨어’를 뜻하는 ‘멀웨어’(malware)를 합친 말로, 컴퓨터나 휴대전화 같은 내부의 파일 등을 암호화해 놓은 뒤 해결 비용(몸값)을 요구하는 악성코드를 말한다. 공격자들은 대부분 추적을 피하기 위해 익명의 네트워크를 사용하고 가상화폐인 ‘비트코인’으로 돈을 지불하도록 해 붙잡기가 극히 어렵다. 암호로 잠긴 파일을 열기 위해서는 해커가 요구하는 비트코인을 지급하고 다시 파일을 풀어낼 키를 획득해야 한다. 하지만 돈을 내도 키를 받을 수 있을지는 장담하지 못한다. 과거 해커들은 자신들의 실력을 과시하기 위해 사이버 공격을 하는 경우가 많았지만, 최근에는 정치적 목적이나 돈벌이를 위해 해킹을 하는 비율이 높아지고 있다. 우리나라와 중국 간 사드(고고도미사일방어체계) 문제가 불거지자 판단정보국(PIB), 중국독수리연합, 1937CN, 77169 등 유명 해커 그룹으로 이뤄진 중국 해커조직 연합은 소셜네트워크서비스(SNS)인 ‘웨이보’ 등에 올린 동영상을 통해 한국과 롯데그룹을 상대로 전쟁을 선포했다. 돈벌이를 위한 해킹 역시 기승을 부리고 있다. 전 세계적으로 랜섬웨어가 급증한 것은 돈을 뜯어낼 목적의 해킹이 증가하고 있음을 보여 준다. 19일 한국인터넷진흥원(KISA)에 따르면 지난 1분기 우리나라에서 분석된 악성코드 633개 중 가장 많이 나타난 유형은 랜섬웨어(275개)로 전체의 44%를 차지했다.랜섬웨어 감염을 예방하기 위해 과거에는 불특정 다수에게 보내는 스팸메일, 지적재산권을 침해하는 불법 다운로드, 불법대출이나 음란사이트 광고 등을 주의하면 됐다. 하지만 지금은 그런 주의 정도로 랜섬웨어를 완벽하게 피할 수는 없다. 웹서핑 도중 감염될 수도 있고 인터넷 네트워크에 접속하는 것만으로도 감염된다. 랜섬웨어 자체가 진화했다기보다 랜섬웨어를 심는 방식이 진화하고 있다고 보는 게 맞다. 랜섬웨어의 시작은 언제였을까. 1989년 악성코드를 침투시켜 하드디스크의 루트 디렉터리 정보를 암호화한 뒤 이를 풀어 주는 것을 빌미로 돈을 요구한 것이 효시로 알려져 있다. 그러나 랜섬웨어의 존재가 본격적으로 알려진 것은 2005년부터다. 이후 2013년 들어 비트코인 사용이 활성화되면서 전 세계적으로 급증하고 있다. 랜섬웨어의 종류는 수만 개에 이르지만 전문가들은 크게 ▲파일을 암호화하는 랜섬웨어 ▲컴퓨터가 부팅하지 못하게 잠그는 랜섬웨어 ▲바탕화면을 잠그는 랜섬웨어 등 3가지로 분류하고 있다. 가장 흔한 형태가 파일을 암호화하는 것이다. 지난해 말부터 올해 초까지 유행한 ‘비너스로커’(VenusLocker)나 워너크라이가 여기에 속한다. ‘골든아이’(GoldenEye), ‘펫야’(Petya)는 컴퓨터를 부팅할 때 화면을 잠그는 랜섬웨어다. 화면을 잠그는 랜섬웨어로는 ‘레벤톤’(Reventon)이 유명하다.파일을 암호화하는 랜섬웨어 중에서는 지금까지 ‘크립토로커’(CryptoLocker)와 ‘로키’(Locky) 등이 우리나라에 큰 영향을 미쳤다. 2015년 4월 인터넷 커뮤니티 ‘클리앙’ 사이트를 통해 한글로 된 크립토로커가 유포됐다. 공격자는 광고 배너에 악성 코드를 넣었고 이 사이트에 접속했던 이용자들이 다수 감염됐다. 인터넷 브라우저인 마이크로소프트(MS) ‘익스플로러’의 취약점을 이용해 보안 업데이트를 미룬 개인과 기업 컴퓨터 다수를 감염시켰다. 크립토로커에 감염되면 ‘주의, 귀하의 모든 파일을 크립토로커 바이러스로 코딩했습니다’라는 몸값 청구서(랜섬노트)가 뜬다. 몸값으로 1비트코인 이상을 요구한다. 피해자가 감염 후 1주일 이내 키를 구입하지 않으면 공격자는 2배 올린 가격으로 구매를 재요청하기도 한다. 랜섬웨어 로키의 이름은 파일을 암호화한 뒤 확장자를 일괄적으로 ‘locky’로 바꾸는 데 따라 붙여졌다. 지난해 3월 초부터 지금까지 이메일을 통해 확산되고 있다. 초기에는 MS 워드 파일(.doc)을 첨부해 보냈으나 최근에는 자바스크립트 확장자(.js) 파일 또는 악성코드 감염 파일을 묶어 하나의 압축 파일로 첨부해 발송한다. 프로그래밍 언어인 자바스크립트가 단독으로 첨부파일 등에 사용되는 것은 일반적이지 않다. 따라서 파일의 확장자가 자바스크립트(.js)만 존재하거나 여러 파일 중에 포함돼 있다면 로키 랜섬웨어 변종일 가능성을 의심해 볼 필요가 있다. 메일 제목에 ‘지급’(payment), ‘송장’(invoice), ‘계약서’(contract) 등 미끼 단어를 써서 유인하는 경우가 많다는 점도 참고할 만하다. 악성코드의 일부는 화면보호기 파일로 위장하기도 한다. 파일 암호화가 끝나면 바탕화면을 변조해 감염 사실을 사용자에게 통보한다. 이 밖에도 2015년 국내에 많이 유포된 ‘테슬라크립트’(TeslaCrypt) 랜섬웨어는 이동식 드라이브 등은 제외하고 고정식 드라이브만을 감염 대상으로 지정하는 특징이 있었다. ‘크립트XXX’는 2016년 5월 처음 국내에 모습을 드러냈다. 크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고 바탕화면에 랜섬노트가 뜬다. ‘케르베르’(Cerber)는 말하는 랜섬웨어로 유명하다. 감염이 되면 이 사실을 음성메시지로 알린다. 최근에는 한국인을 주요 타깃으로 한 ‘한국형’ 랜섬웨어도 등장했다. 이런 랜섬웨어들은 MS 워드 문서뿐 아니라 국내에서만 사용되는 한글(.hwp) 파일 등을 이메일에 첨부하는 방식으로 유포되며 사용자가 국내 웹사이트나 웹 광고에 접속하는 것만으로 감염되기도 한다. 전문가들은 한국형 랜섬웨어의 경우 국내 해커나 북한 해커의 소행으로 추정하고 있다. 휴대전화, 사물인터넷(IoT) 기기도 랜섬웨어의 공격 대상이 될 수 있다. 스마트폰에는 은행 계좌정보, 비밀번호, 위치정보, 사진, 지인 전화번호 등이 유출됐을 때 타격이 큰 개인정보들이 포함돼 있어 PC보다 더 큰 피해를 가져올 수 있다. 백신업체 G데이터에 따르면 올 1분기 동안 75만 4000여개의 모바일 악성코드가 발견됐다. 이 중 상당수가 랜섬웨어일 것으로 추정된다. IoT도 위험에 노출돼 있기는 마찬가지다. 가령 해커가 IoT 보일러 시스템을 잠가버릴 수도 있다. 비트코인을 내놓지 않으면 집안 온도를 마음대로 높이겠다고 협박을 해도 속절없이 당할 수밖에 없게 되는 것이다. 랜섬웨어에 감염되면 당장은 뾰족한 해법이 없으므로 예방이 최선이다. 운영체제(OS)는 물론 응용프로그램까지 모든 소프트웨어를 최신 버전으로 업데이트해야 한다. 백신 엔진도 늘 최신 버전으로 업데이트한다. 또 출처가 불명확한 이메일과 인터넷 주소 링크는 실행하지 말아야 한다. 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의해야 한다. 문서, 사진 등 중요 자료는 별도 매체에 정기적으로 백업하는 것도 필요하다. 보안업체 하우리의 최상명 실장은 “보안 취약점이 존재하는 한 랜섬웨어는 끊임없이 확대 재생산될 것”이라며 “스마트폰의 감염 사례가 발생하고 최근 보안업체에서 IoT의 감염사례 연구가 나오는 등 조만간 IoT 기기에 대한 감염도 우리를 위협하게 될 것”이라고 말했다. 윤수경 기자 yoon@seoul.co.kr

중국이 사드(고고도미사일방어체계) 배치를 이유로 한국에 가했던 각종 보복 조치를 완화할 조짐을 보이고 있다. 문재인 정부 출범과 함께 한·중 관계가 정상 궤도에 오르기 시작하자 중국의 규제 당국과 민간이 이런 분위기에 호응하고 있는 것으로 보인다. 우선 사드 부지를 제공한 롯데그룹 각 계열사에 대한 인터넷 접근이 회복되고 있다. 지난 2개월 동안 중국에서는 접속할 수 없거나 장애가 심했던 롯데 인터넷면세점과 롯데닷컴의 홈페이지 접속이 중국에서도 컴퓨터와 스마트폰을 통해 모두 가능해졌다. 두 인터넷 쇼핑몰은 중국 해커의 공격을 받아 다운된 적이 있다. 이후에도 중국 소비자의 접근을 차단하고자 중국 당국이 중국에서 발신되는 인터넷 주소(IP)의 접근을 차단해 온 것으로 알려졌다. 그동안 먹통이었던 중국 롯데마트 홈페이지도 정상 운영되고 있다. 중국 롯데마트 관계자는 “사이버 공격 위협이 사라져 계속 열기로 했다”고 말했다. 그러나 롯데마트에 대한 영업정지 조치는 아직 계속되고 있다. 현재 중국 롯데마트 99개 점포 중 74개는 소방 점검에 따른 강제 영업정지 상태다. 13개는 자율휴업 중이다. 나머지 12개도 손님이 거의 없이 개점휴업 상태다. 롯데마트 측은 “현지 지방정부가 중앙의 새로운 지침을 기다리는 듯하다”며 기대감을 내비쳤다. 한국의 문화·예술계를 상대로 내려졌던 한한령(한류 금지령)도 일부 완화된 흔적이 보인다. 중국 관영 차이나데일리는 16일 한국의 재즈피아니스트 배세진씨가 베이징에서 연주회를 가진 사실과 배씨의 음악 세계를 자세하게 보도했다. 사드 갈등 이후 소프라노 조수미, 피아니스트 백건우 등 한국 예술인의 공연이 중국에서 줄줄이 취소된 것과 비교해 달라진 분위기다. 중국의 대형 음원 사이트인 ‘QQ뮤직’은 한국의 케이팝 차트 서비스를 재개했다. QQ뮤직은 지난 3월 사드 보복이 절정에 이르렀을 당시 유독 한국 차트만 서비스를 중단한 바 있다. 창작 뮤지컬 ‘빨래’도 사드 보복 이후 처음으로 다음달 23일부터 베이징에서 공연될 예정이다. 다만 이런 조짐을 본격적인 보복 해제 조치로 해석하는 것은 무리가 따른다. 베이징 소식통은 “양국 정상의 통화, 일대일로 대표단에 대한 환대 등 중국의 유화 제스처는 어디까지나 사드 철회라는 목표를 달성하기 위한 것”이라면서 “중국은 일단 한국에 적극적인 관계 개선 신호를 보내놓고 한국이 어떤 행동을 취하느냐를 지켜볼 것”이라고 말했다. 한편 양제츠 외교담당 국무위원은 지난 15일 정부 대표단과의 면담에서 “문재인 정부 출범에 따라 한·중 관계를 회복시키는 데 노력하자”면서 “한반도 문제에 관해 반드시 한국과 긴밀히 협의하겠다”고 말했다. 양 국무위원의 발언은 중국이 대북 정책을 추진하면서 우리 정부와 공조하겠다는 의지를 밝힌 것으로 풀이된다. 베이징 이창구 특파원 window2@seoul.co.kr

“워너크라이 이전 버전 사용” .hwp 암호화 등 북한 수법 구글 등 외국보안업체들도 “北 해킹 그룹 코드와 유사” 軍당국, 인포콘 한 단계 격상 지난 12일부터 전 세계 컴퓨터 시스템을 덮친 ‘워너크라이’ 랜섬웨어 악성코드 공격의 배후가 북한일 가능성이 제기됐다. 특히 해외에서 이 같은 분석이 나오기 한 달 전인 지난 4월 이미 국내 보안 전문가들이 워너크라이의 전신 격인 ‘워너크립터 1.0’을 통해 북한 소행임을 파악한 사실도 새롭게 드러났다. 북한 사이버전을 연구하는 한 전문 연구 그룹은 워너크라이 사태가 발생하기 전인 지난 4월 10일 페이스북 계정에 “비너스로커에 이어 북한에서 제작된 것으로 추정되는 또 다른 랜섬웨어(워너크립터 1.0)가 확인됐다”는 글을 올린 사실이 16일 밝혀졌다. 지난해 말부터 올 초까지 유행했던 비너스로커 랜섬웨어는 국내에서 널리 사용되는 압축 프로그램과 한글로 된 정교한 파일명을 사용하는 등 한국인을 타깃으로 한 랜섬웨어였다. 비너스로커를 진화시킨 게 워너크립터 1.0이다. 워너크립터 1.0은 워너크라이 랜섬웨어의 전신으로 중국어 코드가 포함돼 있고 한글과 컴퓨터의 확장자(.hwp)를 암호화 대상으로 넣고 있어 북한 소행이 유력하다는 분석이 제기된다. 해당 그룹은 북한의 랜섬웨어 공격이 ‘비너스로커→워너크립터 1.0→워너크라이’로 진화해 온 것으로 추정한다. 해당 그룹에 속해 있는 보안 전문가는 “북한이 시야를 넓혀 이제 전 세계를 상대로 비트코인(가상화폐)을 통한 외화벌이를 하고 있다”고 분석했다. 해외에서도 북한 소행이 유력하다는 분석이 제기됐다. 가디언 등에 따르면 러시아 사이버 보안업체 카스퍼스키는 이번 사태를 일으킨 악성코드 워너크라이의 초기 버전이 북한과 연계된 해킹그룹 ‘래저러스’(Lazarus)가 만든 코드와 유사하다고 지적했다. 래저러스는 2014년 11월 영화사인 소니픽처스를 해킹했다. 구글 정보보안 전문가인 닐 메타도 래저러스의 백도어 프로그램(보안장벽을 우회하는 장치) ‘캔토피’의 2015년 초기 버전 코드가 지난 2월 워너크라이의 초기 버전에서 발견됐다고 설명했다. 한편 군 당국은 이와 관련해 지난 14일 정보작전방호태세인 ‘인포콘’을 ‘준비태세’ 단계인 4에서 ‘향상된 준비태세’ 단계인 3으로 한 단계 격상했다고 밝혔다. 윤수경 기자 yoon@seoul.co.kr 하종훈 기자 artg@seoul.co.kr 박홍환 전문기자 stinger@seoul.co.kr

영국의 제러미 헌트 보건장관은 15일(현지시간) 랜섬웨어 2차 공격은 아직 일어나지 않았다고 밝혔다. 영국 병원들은 지난 12일 대거 랜섬웨어 공격으로 피해를 입었다.헌트 장관은 이날 영국 BBC 방송과 인터뷰에서 “오늘 아침 정부통신본부(GCHQ)와 GCHQ 내 국가사이버보안센터(NCSC)로부터 보고를 받았다”며 “현재까지 2차 공격은 없었고 공격 수준은 우리 예상 수준의 가장 낮은 쪽이다”고 말했다. 그는 이번에 공격을 당한 국민보건서비스(NHS) 산하 병원들은 물론 민간 기업과 개인도 필요한 예방을 해야 한다고 강조했다. 그는 “랜섬웨어 공격과 관련해 이번 같은 규모를 본 적이 없지만 사실 랜섬웨어 공격은 상대적으로 흔한 공격”이라며 “우리 모두 이들 공격을 막기 위해 스스로 할 수 있는 일이 더 있다”며 예방 조치를 촉구했다. 영국 NHS 병원들은 IT 시스템이 노후화된 곳이 많은 탓에 피해를 본 곳들이 많은 것으로 알려졌다. 잉글랜드 지역에 있는 NHS 병원들 가운데 20%가 공격당해 진료 차질 또는 예약 불가 등을 겪었다. 다만 앰버 루드 내무장관은 지난 13일 환자 기록 정보가 외부에 유출되지는 않았다고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

전 세계 가상화폐 거래량의 90% 실체 없고 익명 거래…추적 못해 가격 1센트서 1900弗로 치솟아 “범죄·탈세 악용” 규제 목소리“모든 파일의 암호를 해독하려면 지불해야 합니다. 지불을 제출하는 데는 3일밖에 남지 않았습니다. 그 후 가격이 배가 됩니다. 또한 7일 내에 비용을 지불하지 않으면 파일을 영구적으로 복구할 수 없습니다.” 맞춤법이 어색한 이 메시지는 15일 CGV 일부 상영관 스크린에 침투해 게재된 ‘랜섬노트’(랜섬웨어의 협박 메시지)입니다. 지난 12일부터 전 세계에 랜섬웨어(중요 파일을 사용할 수 없게 암호화한 뒤 돈을 요구하는 해킹) 테러를 가한 해커들은 복구 조건으로 300달러 상당의 비트코인을 지불하라고 요구하는데요. 왜 현금이 아닌 비트코인을 달라고 하는 것일까요. 비트코인은 2009년 나카모토 사토시란 가명을 쓴 프로그래머가 만든 가상화폐입니다. 실체가 없고 온라인 공개 장부인 블록체인에 거래 내역이 숫자로만 남을 뿐입니다. 거래는 은행 등 금융기관을 거치지 않고 익명이 보장된 개인 간(P2P)에 이뤄져 추적이 매우 어렵습니다. 해커 입장에선 통장으로 ‘아날로그’ 화폐를 건네받는 것보다 디지털인 비트코인이 훨씬 더 안전한 거죠. 월스트리트저널은 “지난해 랜섬웨어를 앞세운 사이버 공격이 1년 전보다 4배가량 증가한 하루 평균 4000건에 달했다”며 “익명성을 보장하는 가상화폐의 빠른 증가 속도가 원인”이라고 분석했습니다. 전 세계 가상화폐 거래량의 90%를 차지하는 비트코인은 독일과 일본 등 일부 국가에서 공식 화폐로 인정받는 데다 희소성까지 높아 해커들이 손에 넣고 싶어 합니다. ‘채굴’ 방식인 비트코인은 컴퓨터 프로그램으로 복잡한 수학 문제를 풀면 얻을 수 있습니다. 그런데 양이 제한돼 있습니다. 2140년까지 2100만개까지만 발행됩니다. 이미 1600만개가 채굴돼 얼마 남지 않은 거지요. 게다가 유통량이 일정 기준을 넘을 때마다 한 번에 채굴할 수 있는 양이 반감되고, 수학 문제도 점점 어려워집니다. 이 때문에 채굴보다는 거래를 통해 비트코인을 얻으려는 사람이 늘고 있습니다. 유통 초기 1센트도 되지 않았던 비트코인 개당 가격은 최근 1900달러(약 213만원)까지 치솟았습니다. 삼성전자 한 주와 맞먹는 몸값이지만 소수점 8자리까지 쪼갤 수 있어 소액 거래도 얼마든지 가능합니다. 정유신 서강대 경영학부 교수는 “이미 글로벌 화폐나 다름없는 비트코인은 신속한 결제와 국경을 뛰어넘는 거래의 편리성 등 장점이 많다”며 “그러나 이번 사건에서 보듯 범죄나 탈세 등에 악용될 가능성이 있는 만큼 범국가적 차원에서 규제 강화 등 대책을 마련해야 한다”고 말했습니다. 임주형 기자 hermes@seoul.co.kr

다른 사람의 컴퓨터나 서버에 몰래 침입해 파일들을 잠가두고 “정상으로 돌리려면 비용을 지불하라”며 돈을 뜯어가는 ‘랜섬웨어’ 공격은 악성코드를 활용한 신종 사이버 범죄이긴 하지만 당장 어제오늘 나온 것은 아니었다. 그럼에도 지난 12일 이후 전 세계에서 잇따른 ‘워너크라이’ 피해는 공격의 강도나 동시다발성 등의 측면에서 이전과는 차원이 다른 랜섬웨어 사태로 인식되고 있다.국제 보안 전문가들은 이번 사태를 ‘스팸테크’라는 이름의 해커조직이 벌인 것으로 추정하고 있다. 스팸테크는 워너크라이 피해가 확산되기 시작한 지난 12일 소셜네트워크서비스(SNS)에 자신들의 소행임을 밝힌 바 있다. 보안업계 관계자는 15일 “SNS에 글을 올린 시점이 해당 랜섬웨어가 퍼지기 시작했던 때라는 점을 고려할 때 실제로 스팸테크의 소행일 가능성이 높다”며 “스팸테크는 올 3월에 생겨난 신생 해커 조직으로 출신 국가 등이 아직 알려진 바 없다”고 말했다. 이번 워너크라이 사태로 영국, 러시아 등 150여개국에서 피해가 잇따랐다. 가장 큰 이유는 일반적인 악성코드들과 달리 컴퓨터를 켜기만 해도 감염이 된다는 사실이다. 통상 랜섬웨어는 이메일을 열거나 첨부파일을 실행시켜야 작동된다. 이런 공격이 가능했던 것은 PC 운영체제(OS)로 가장 많이 사용되는 ‘윈도’의 취약점이 해커들에 의해 공개된 탓이 크다. 지난해 ‘섀도브로커’라는 해커 조직은 미국 정보기관인 국가안보국(NSA)을 해킹했다. 이들은 NSA가 사이버 무기로 사용하고 있던 윈도 서버 취약점 공격 도구를 유출시키고 이를 공개했다. 해당 취약점을 이용하면 120초 만에 윈도 서버를 장악할 수 있는 것으로 알려졌는데, 이 때문에 크래커(악성 해커) 집단 등 사이버 범죄자들에게 각광을 받기 시작했다. 이번 워너크라이 랜섬웨어도 윈도 취약점 가운데 ‘서버 메시지 블록’(SMB) 프로토콜을 악용한 것이다. SMB는 컴퓨터에서 파일이나 주변 장치를 공유하는 데 사용되는 기술로, 한 사무실에서 한 대의 PC가 감염되면 같은 네트워크를 쓰는 PC는 모두 감염 대상이 될 수 있다. 감염된 PC는 또다시 다른 장치에 바이러스를 퍼뜨리는 PC가 된다. 하지만 워너크라이 랜섬웨어를 막을 수 있는 보안패치(보완 소프트웨어)는 이미 지난 3월 윈도 제작사인 미국 마이크로소프트에서 배포됐다. 한국인터넷진흥원(KISA) 역시 보안전문사이트 ‘보호나라’를 통해 해당 보안 패치를 설치할 것을 공지한 바 있다. 보안업체 하우리의 최상명 실장은 “현재 해당 취약점에 대한 보안 패치는 이미 나왔으니 반드시 패치를 설치해야 한다”며 “서버 같은 경우는 안전성을 이유로 보안 패치를 늦게 설치하는 경우가 많은데 검토 후 최대한 빨리 패치를 설치할 필요가 있다”고 밝혔다. 보안 전문가들은 당장은 워너크라이 랜섬웨어가 주춤해진 것처럼 보이지만, 280여개에 이르는 변종 공격이 계속되고 있어 안심하기는 이르다고 입을 모은다. 윤수경 기자 yoon@seoul.co.kr

세계를 강타한 사상 최대의 랜섬웨어 공격이 15일부터 본격적으로 확산될 가능성이 있다는 경고가 나왔다. 지난 12일부터 동시다발 공격으로 세계 150여개국에서 20여만건의 피해를 초래한 ‘워너크라이’ 랜섬웨어가 이번 주 강력해진 변종을 통해 확산돼 피해 규모가 더욱 증폭될 수 있다고 AP통신 등이 14일 보도했다. 특히 사이버 공격 이후 처음으로 돌아오는 월요일인 만큼 근로자가 모두 업무에 복귀해 컴퓨터를 켜면서 추가 피해가 발생할 수 있다는 우려감이 커졌다. 영국 20대 청년이 랜섬웨어 확산을 중단시키는 ‘킬 스위치’를 발견해 활성화한 뒤 한고비를 넘기는 듯했지만 15일 새벽 변종이 등장하며 피해는 크게 늘어날 전망이다. 파이낸셜타임스는 130만대 이상의 컴퓨터 시스템이 여전히 워너크라이 감염에 취약한 상태라고 추산했다. 문제는 공격에 사용된 랜섬웨어가 네트워크상에서 스스로 확산되는 성질이 있는 까닭에 감염 확산 속도가 빠르다는 데 있다. 백악관 국가안전보장회의(NSC) 사이버사고대응 국장을 지낸 앤서니 페란테는 “사이버 공격은 아직 끝나지 않았다”고 내다봤다. 이번 랜섬웨어 공격의 배경 중 하나로 거래기록 추적이 어려운 가상화폐 ‘비트코인’이 지목되고 있다. 워너크라이 랜섬웨어는 암호화된 파일을 푸는 대가로 300달러(약 34만원) 상당의 비트코인을 요구하는 등 비트코인이 해커들의 금전 거래 수단으로 활용된다는 지적이다. 각국 정부 관계자와 전문가도 각 기관과 기업체에 더욱 강력한 변종, 또는 신종 랜섬웨어의 추가 공격에 노출되지 않도록 즉시 운영체제를 업데이트하라고 촉구했다. 영국 정보기관 관계자는 기업체에 이번 주 “아주 큰 규모의” 추가적인 사이버 공격에 대비해야 한다고 강조했다. 이런 가운데 도널드 트럼프 미 대통령은 랜섬웨어 공격 직후 톰 보서트 국토안보보좌관에게 긴급 대책회의 개최를 지시했다. 보서트 안보보좌관 주재 회의와 별개로 고위급 안보 관련 참모도 13일 별도의 대책회의를 개최했다. 로이터통신은 “미 연방수사국(FBI)과 국가안보국(NSA)에서 이번 대규모 사이버 공격의 범인을 찾고자 노력 중”이라고 전했다. 김규환 선임기자 khkim@seoul.co.kr

초강력 랜섬웨어(악성코드의 일종)의 공포가 전국을 강타한 15일 ‘사이버 블랙먼데이(검은 월요일)’는 발생하지 않았지만 곳곳에서 피해 신고가 잇따랐다.국가 사이버 보안 전담기관인 한국인터넷진흥원(KISA)은 지난 13일부터 15일 오후까지 총 13건의 ‘워너크라이’(WannaCry) 랜섬웨어 감염 피해 사례가 접수됐으며, 이 중 기업 9곳이 실제 감염된 것으로 파악돼 기술 지원에 들어갔다고 밝혔다. 118 전화 상담센터를 통해서는 총 2931건의 문의가 들어왔다. 보안업체 안랩은 “12일부터 15일 오후 2시까지 총 187대의 피해 PC를 확인했다”고 밝혔다. 보안업체 하우리가 입수한 국내 랜섬웨어 감염 인터넷 주소(IP)는 4000개를 넘었다. 당초 지난 12일 유럽을 중심으로 랜섬웨어 공격이 발생하면서 대부분의 기업과 공공기관이 업무에 복귀하는 15일 대규모 피해 가능성이 우려됐다. 이 때문에 정부는 하루 전인 14일 오후 6시를 기해 국가 사이버위기 경보 단계를 ‘관심’에서 ‘주의’로 높였다. 그러나 이날 일부 기업을 제외하고는 정부나 공공기관에 별다른 피해는 일어나지 않은 것으로 파악됐다. KISA는 “대다수 기업과 공공기관이 사전 조치에 나섰기 때문으로 보인다”고 밝혔다.주요 기업과 기관의 보안담당 부서는 전날 비상근무를 하며 점검 사항을 확인했고, 이날 직원들이 출근한 후에는 윈도 최신 버전 업데이트 등 후속 조치에 주력했다. 이 때문에 일부 기업과 기관들은 오전 근무에 차질을 빚기도 했다. 인천시의 경우 보안 업데이트를 완료한 부서만 인터넷 외부망 접속을 허용하면서 상당수 부서가 이날 오전까지 외부 인터넷을 사용하지 못했다. 그러나 실제 피해 건수는 신고된 규모를 크게 웃돌 것으로 보인다. 보안업계 관계자는 “공공기관인 KISA를 거치지 않고 민간 보안업체 등으로 접수되는 피해 사례가 상당한 수준일 것”이라며 “기업들은 대외 이미지를 고려해 피해 사실이 외부에 노출되는 것을 꺼리기 때문”이라고 말했다. PC방과 식당 등 소규모 상가에서는 피해 사례가 속속 나타났다. 송정수 미래창조과학부 정보보호정책관은 “랜섬웨어 2차 공격이나 변종 공격 등이 우려되기 때문에 안심하기는 이르다”며 “‘주의’로 높였던 사이버 위기 경보 단계를 당분간 유지할 것”이라고 밝혔다. 서울 윤수경 기자 yoon@seoul.co.kr 세종 강주리 기자 jurik@seoul.co.kr

“모든 파일의 암호를 해독하려면 지불해야 합니다. 지불을 제출하는 데는 3일 밖에 남지 않았습니다. 그 후 가격이 배가 됩니다. 또한 7일 내에 비용을 지불하지 않으면 파일을 영구적으로 복구할 수 없습니다.” 맞춤법이 어색한 이 메시지는 15일 CGV 일부 상영관 스크린에 침투해 게재된 ‘랜섬노트’(랜섬웨어의 협박 메시지)입니다. 지난 12일부터 전 세계에 랜섬웨어(중요 파일을 사용할 수 없게 암호화한 뒤 돈을 요구하는 해킹) 테러를 가한 해커들은 복구 조건으로 300달러 상당의 비트코인을 지불하라고 요구하는데요. 왜 현금이 아닌 비트코인을 달라고 하는 것일까요. 비트코인은 2009년 나카모토 사토시란 가명을 쓴 프로그래머가 만든 가상화폐입니다. 실체가 없고 온라인 공개 장부인 블록체인에 거래내역이 숫자로만 남을 뿐입니다. 거래는 은행 등 금융기관을 거치지 않고 익명이 보장된 개인 간(P2P)에 이뤄져 추적이 매우 어렵습니다. 해커 입장에선 통장으로 ‘아날로그’ 화폐를 건네받는 것보다 디지털인 비트코인이 훨씬 더 안전한 거죠.월스트리트저널은 “지난해 랜섬웨어를 앞세운 사이버공격이 1년 전보다 4배가량 증가한 하루 평균 4000건에 달했다”며 “익명성을 보장하는 가상화폐의 빠른 증가 속도가 원인”이라고 분석했습니다. 전 세계 가상화폐 거래량의 90%를 차지하는 비트코인은 독일과 일본 등 일부 국가에서 공식 화폐로 인정받는 데다 희소성까지 높아 해커들이 손에 넣고 싶어 합니다. ‘채굴’ 방식인 비트코인은 컴퓨터 프로그램으로 복잡한 수학문제를 풀면 얻을 수 있습니다. 그런데 양이 제한돼 있습니다. 2140년까지 2100만개까지만 발행됩니다. 이미 1600만개가 채굴돼 얼마 남지 않은 거지요. 게다가 유통량이 일정 기준을 넘을 때마다 한번에 채굴할 수 있는 양이 반감되고, 수학문제도 점점 어려워집니다. 이 때문에 채굴보다는 거래를 통해 비트코인을 얻으려는 사람들이 늘고 있습니다. 유통 초기 1센트도 되지 않았던 비트코인 개당 가격은 최근 1900달러(약 213만원)까지 치솟았습니다. 삼성전자 한 주와 맞먹는 몸값이지만 소수점 8자리까지 쪼갤 수 있어 소액 거래도 얼마든지 가능합니다. 정유신 서강대 경영학부 교수는 “이미 글로벌 화폐나 다름없는 비트코인은 신속한 결제와 국경을 뛰어넘는 거래의 편리성 등 장점이 많다”며 “그러나 이번 사건에서 보듯 범죄나 탈세 등에 악용될 가능성이 있는 만큼 범국가적 차원에서 규제 강화 등 대책을 마련해야 한다”고 말했습니다. 임주형 기자 hermes@seoul.co.kr

지난 12일(현지시간)부터 전 세계 150개 넘는 나라를 강타한 사이버 공격에 쓰인 소프트웨어는 미국 국가안보국(NSA)에서 훔친 코드에서 나온 것이라고 마이크로소프트(MS)가 밝혔다. 마이크로소프트는 14일 블로그에서 이같이 말하며 각국 정부가 이번 일을 경종 삼아야 한다고 강조했다.월스트리트저널 보도에 따르면 지난달 ‘섀도 브로커스’(Shadow Brokers)라는 단체는 NSA의 악성 소프트웨어를 훔쳤다고 주장했는데, MS는 이 사건과 이번 랜섬웨어 공격의 연관성을 확인했다. MS는 법무 책임자 브래드 스미스 사장 명의로 블로그에 올린 글에서 각국 정부가 다른 나라에 쓰기 위해 디지털 무기를 보관한 방식을 비판했다. MS는 “CIA가 취약점을 보관한 것이 위키리크스에 올라왔다. 그리고 이제 NSA에서 훔친 취약점이 전 세계의 고객에게 영향을 미쳤다”고 말했다. 이어 여러 나라 정부가 보관한 소프트웨어의 취약점이 잇따라 유출돼 ‘광범위한 피해’를 초래하고 있다면서 “재래식 무기에서는 미군이 토마호크 미사일을 도둑맞은 것과 같다”고 했다. MS는 “세계 각국 정부는 이번 공격을 경종(wake-up call)으로 여겨야 한다”면서 “사이버 세계에서도 실제 세계의 무기에 적용되는 것과 같은 규정을 도입해야 한다”고 촉구했다. MS는 지난 2월 사이버 공격에서 민간을 보호하기 위해 ‘디지털 제네바협약’의 필요성을 주장한 바 있다. MS는 또 이번 공격과 관련한 문제를 해결하기 위해 지난 3월 윈도 보안 업데이트를 내놨지만 많은 이용자가 아직 이를 실행하지 않았다고 말했다. 회사는 “사이버범죄가 갈수록 복잡해지고 있어 고객이 시스템을 업데이트하지 않고 자신을 보호할 방법은 그야말로 없다”고 덧붙였다. 온라인뉴스부 iseoul@seoul.co.kr

“아직 공격 끝나지 않았다” 경고 지난 12일부터 영국은 물론 전 세계를 혼란에 빠뜨린 랜섬웨어 확산을 막은 사람은 온라인 보안회사에 다니는 22세 청년이라고 BBC 등 영국 언론이 13일(현지시간) 보도했다. ‘크립토스 로그’라는 회사에 다니던 이 청년은 ‘워너크라이’(WannaCry) 랜섬웨어 확산을 중단시키는 ‘킬 스위치’를 발견해 이를 활성화했다. 자신을 ‘멀웨어테크’(악성소프트웨어 기술자)라고만 밝힌 그는 “분석을 통해 공격에 사용된 악성소프트웨어 샘플을 발견했으며 등록되지 않은 특정 도메인과 연결돼 있다는 사실을 알게 됐다”고 말했다. 그는 또 “회사가 해킹에 쓰이는 악성코드나 악성코드에 감염된 컴퓨터 집단을 말하는 ‘봇넷’을 추적하는 업체인 만큼 봇넷이 어떻게 확산되는지 보려고 글자로 된 인터넷 주소 도메인을 사들인 뒤 이를 등록했다”고 설명했다. 도메인을 등록하는 데 사용한 돈은 겨우 10.69달러(약 1만 2000원)에 불과했지만 엄청난 피해를 막는 데 결정적인 역할을 했다. 이 청년이 등록한 도메인이 랜섬웨어 확산을 중단하는 역할을 하는 스위치로 작동하면서 확산을 중단시킨 것이다. 보안업계 등은 그를 ‘우연한 영웅’(an accidental hero)이라고 말했으며 월스트리트저널(WSJ)은 ‘사이버범죄 배트맨’이라고 표현했다. 현재 1주일간 휴가를 얻은 그는 대학에 가거나 자격증을 취득하지 않고 독학으로 공부해 회사에 취직한 것으로 전해졌다. 그는 휴가를 반납하고 위기에 대처한 공로를 인정받아 1주일 추가 휴가를 얻었다. 이번 일로 세계의 주목을 받은 그는 “명백히 나쁜 사람을 상대로 일을 하는데 그들이 이번 일을 좋아하지 않을 것”이라며 익명으로 남아 있겠다고 고집했다. 또 아직 상황이 종료되지 않았다고 경고했다. 그는 “우리가 어떻게 확산을 멈췄는지 알아차리고 공격집단이 코드를 바꿔 다시 시작할 것”이라며 “이번에 등록한 도메인을 유지하면서 동료와 함께 인터넷주소(IP)를 수집한 뒤 법집행 기관에 보내 악성 소프트웨어 감염 피해자에게 알릴 수 있도록 할 계획”이라고 말했다. 이제훈 기자 parti98@seoul.co.kr

러 내무부·수사기관 공격당하고 英선 병원 환자기록 파일 안 열려 세계가 ‘랜섬웨어 공포’로 대혼란에 빠졌다. 유럽연합(EU) 경찰 기구인 유로폴의 롭 웨인라이트 국장은 14일(현지시간) 영국 ITV와의 인터뷰에서 지난 12일부터 발생한 랜섬웨어 피해 규모에 대해 “전례 없는 수준의 전 세계적인 범위”라며 “최신 집계에서 확인된 피해는 최소 150개국에서 20만여건에 달한다”고 말했다고 AFP 통신이 보도했다.영국에서는 국민보건서비스(NHS·한국 건강보험공단 해당) 산하 248개 병원 중 48개 병원이 환자 기록 파일을 열지 못하는 등 진료에 차질을 빚거나 예약을 취소했다. 현재는 97% 이상이 복구돼 정상적인 업무가 가능하다. 러시아에서는 내무부 컴퓨터 1000여대와 수사기관이 공격받은 것으로 파악됐다고 인테르팍스통신이 전했다. 독일은 철도 시스템을, 브라질에서는 사회보장제도 시스템본부가 전산망을 끊고 접속을 중단했다. 중국 내 일부 중학교와 대학교가 랜섬웨어 공격을 당했다고 신화통신이 전했다. 인도네시아 국립암센터 등 대형 종합병원 두 곳도 타격을 입었다. 세무엘 아브리자니 팡에라판 인도네시아 통신정보부 국장은 “서부 자카르타의 다르마이스 병원과 하라판 키타 병원 등 최소 2개 종합병원이 랜섬웨어에 피해를 봤다”고 전했다.글로벌 기업도 예외가 아니다. 영국 내 최대 자동차 생산공장인 닛산 선덜랜드 공장도 타격을 입었다. 공장 대변인은 “다른 많은 곳처럼 우리 공장도 일부 시스템에 영향을 준 랜섬웨어 공격을 받았다”며 “지금 복구를 하고 있다”고 확인했다. 미 운송업체 페덱스는 랜섬웨어 공격으로 문제가 발생했다면서 최대한 신속하게 복구하려 노력 중이라고 말했다. 러시아 이동통신업체 메가폰도 자사 컴퓨터 상당수가 작동을 멈췄으며 콜센터 기능은 가까스로 복구했으나 대부분 사무실은 문을 닫아야 했다고 밝혔다. 스페인은 통신 및 가스 업체가 집중적으로 피해를 입었다. 슬로베니아에 있는 르노 미래형 조립공장에서는 수십개의 로봇이 줄지어 서서 자동차를 조립하는 최신 생산라인이 멈췄다. 브라질 국영석유회사 페트로브라스도 전산시스템을 일시 중단했다. 이번 랜섬웨어는 네트워크를 통해 유포되는 워너크립트(일명 워너크라이)의 변종으로 알려졌다. 워너크립트는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고드는 네트워크 웜(worm·자기 자신을 복제하면서 통신망으로 확산하는 컴퓨터 바이러스)이다. 첨부 파일을 열지 않더라도 인터넷에 연결만 돼 있다면 감염되는 방식으로 급속히 퍼진다. 이에 따라 병원에 공격이 집중된 영국에서는 정부가 직접 나서 악성프로그램 공격 배후를 밝히는 데 주력하고 있다. 국제 보안업계는 랜섬웨어 공격을 지난해 미 국가안보국(NSA)이 개발한 해킹 툴을 훔쳤다고 주장한 해커단체 ‘섀도 브로커스’의 소행으로 보고 있다. 앨런 우드 워드 영국 서리대 교수는 “랜섬웨어는 미국 정보기관에서 유출된 MS 운영체제의 취약점을 이용하는 해킹도구가 사용됐다”고 밝혔다. 김규환 선임기자 khkim@seoul.co.kr [용어 클릭] ■랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 사용자 컴퓨터의 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 인질로 금전을 요구하는 악성 바이러스프로그램이다. MS 운영체제 윈도에 접근, 중요 파일을 암호화한 뒤 이것을 푸는 대가로 300~600달러(약 34만~68만원)에 해당하는 가상화폐 비트코인을 요구하는 것으로 전해졌다.

“인터넷 접속만으로 감염되기 때문에 15일 출근하면 우선 컴퓨터를 켜기 전에 인터넷 네트워크를 끊어라. 이어 파일 공유 기능을 해제한 뒤 컴퓨터를 다시 시작하라. 그리고 인터넷에 다시 연결해 백신 프로그램을 최신 버전으로 업데이트하고 감염 여부를 검사한다.” 전 세계 150여개 국가의 기업과 병원을 동시다발적으로 공격한 랜섬웨어 ‘워너크라이’(WannaCry)에 대한 주요 예방 조치다. 마이크로소프트(MS) 윈도7 이하 버전은 설정에 따라 업데이트가 제때 이뤄지지 않아 피해를 볼 수 있으니 유의해야 한다. 일단 감염되면 한국인터넷진흥원 인터넷침해대응센터(국번 없이 118)나 보안업체에 신고해 조언을 구해야 한다. 국내에서도 기업 4곳이 랜섬웨어에 감염된 것으로 파악됐다. 14일 한국인터넷진흥원에 따르면 전날부터 이날 오후 6시 20분까지 기업 7곳이 랜섬웨어 문의를 해왔고, 이 중 4곳은 정식으로 피해를 신고했다. 미래창조과학부는 이날 오후 6시를 기해 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 한 단계 올렸다. 랜섬웨어는 중요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성 프로그램이다. 지난 12일(현지시간) 유럽을 중심으로 랜섬웨어 워너크라이 공격이 발생해 최소 20만여건의 피해가 발생한 것으로 추정되고 있다. 윤수경 기자 yoon@seoul.co.kr

랜섬웨어로 피해를 본 사례가 전 세계 150개국 20만 건에 달하는 것으로 집계됐다. 유럽연합(EU) 경찰기구인 유로폴(Europol)의 롭 웨인라이트 국장은 14일(현지시간) 영국 ITV와의 인터뷰에서 랜섬웨어 피해 규모에 대해 “전례 없는 수준의 전 세계적인 범위“라며 ”최신 집계에서 확인된 피해는 최소 150개국에서 20만여 건에 달한다”고 말했다고 AFP 통신이 보도했다.웨인라이트 국장은 “매년 사이버 범죄 200건 정도를 다루고 있지만, 이 같은 공격은 이전에 본 적도 없다”며 “피해를 본 이들 가운데 대다수는 기업체일 것이며 대기업도 포함된다”고 덧붙였다. 그는 지금까지 랜섬웨어 공격으로 범죄조직에 돈을 낸 이들은 극소수라면서도 “월요일 아침에 출근한 사람들이 컴퓨터를 켜면서 피해 규모가 늘어날 것이 우려된다”고 말했다. 이번 랜섬웨어 공격은 감염된 컴퓨터 한 대가 네트워크를 통해 다른 컴퓨터까지 자동으로 감염시킨다는 특징 때문에 유독 빠르게 전파됐다고 웨인라이트 국장은 말했다. 랜섬웨어는 중요파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성 프로그램이다. 은행이 피해를 본 경우는 드물었지만, 영국 국민보건서비스(NHS·한국의 건강보험공단과 유사한 조직)가 공격을 받아 산하 40여 개 병원이 환자 기록 파일을 열지 못하는 등 진료에 어려움을 겪었다. 이밖에 러시아 내무부 컴퓨터 약 1000대와 이동통신업체 메가폰, 프랑스 자동차기업 르노, 중국 내 일부 대학교가 공격을 받은 것으로 알려졌다. 온라인뉴스부 iseoul@seoul.co.kr

세계 각국에 확산 중인 워너크라이(WannaCry) 랜섬웨어 피해 신고를 한 국내 기업이 4곳으로 늘어났다. 14일 한국인터넷진흥원(KISA)에 따르면 전날부터 이날 오후 6시 20분까지 국내 기업 7곳이 관련 문의를 해왔고, 이 가운데 4곳은 정식으로 피해 신고를 하고, 기술 지원을 받기로 했다.이날 오전까지 신고 기업은 두 곳이었지만, 오후 들어 두 곳이 늘었다. 이 외에도 민간 보안업체와 데이터 복구업체 등을 통해 접수되는 피해 사례도 상당한 것으로 파악된다. 보안업계에 따르면 랜섬웨어에 감염된 국내 IP(인터넷주소)는 4000여개로 알려졌다. 보안업체 이스트시큐리티의 통합 백신 ‘알약’이 탐지한 공격 건수도 12일 942건, 13일 1167건으로 이틀간 2000 건을 넘었다. 랜섬웨어는 중요 파일을 암호화한 뒤 이를 복구하는 대가로 금전을 요구하는 악성 프로그램이다. 감염된 IP로 접속하면 중요파일이 암호화되는 피해를 볼 수 있다. 대부분의 기업과 공공기관이 근무를 시작하는 월요일(15일)에는 피해 기업이 늘 것으로 우려된다. 이에 따라 미래창조과학부는 이날 오후 6시를 기해 국가 사이버위기 경보를 ‘관심’에서 ‘주의’로 한 단계 올렸다. 보안업계 관계자는 “워너크립트 변종이 계속해서 나오고 있어 보안 패치를 최신 버전으로 업데이트하는 것이 중요하다”며 신속한 업데이트를 당부했다. 온라인뉴스부 iseoul@seoul.co.kr