북한이 신종 해킹 수법인 일명 ‘워터링 홀’ 방식으로 한국에 해킹 공격을 가한 것으로 보인다고 월스트리트저널(WSJ)이 30일(현지시간) 전했다. WSJ는 사이버보안 전문가들을 인용해 지난 2월부터 3개월간 한국 정부 관련 외곽단체의 웹사이트에 해킹 공격이 감지됐으며, 이는 북한의 소행으로 보인다고 전했다. 보도에 따르면 공격 대상은 항공우주와 외교, 통일 관련 웹사이트 9곳이었으며 워터링 홀이라는 새로운 수법이 사용됐다. 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격 대상이 평소 자주 방문하는 홈페이지에 미리 악성코드를 심어 둔 뒤 당사자가 접속하기를 기다리는 수법이다. WSJ는 최근 아시아는 물론 멕시코·폴란드 등의 글로벌 은행에 대해서도 비슷한 수법의 해킹 공격이 있었다며 북한의 연루 의혹을 제기했다. WSJ는 “북한 해킹그룹은 외국 은행·기업을 담당하는 A팀, 대남 해킹에 주력하는 B팀, 이메일 발송·정보 수집 등의 C팀으로 나뉜다”며 이번 워터링 홀 해킹도 B팀이 주도한 것으로 추정했다. 북한의 해킹 공작원은 1300명에 달하며 10여곳의 지원조직까지 더하면 5000명을 웃돈다고도 전했다. 앞서 WSJ는 사설에서 사상 최대 규모의 글로벌 해킹 사건인 ‘워너크라이’ 랜섬웨어 공격의 배후가 북한 김정은 정권이라는 증거들이 나오고 있다며 시급한 대책 마련을 촉구한 바 있다. 김미경 기자 chaplin7@seoul.co.kr

“전 세계를 대상으로 한 해커들의 인질극은 아직 끝나지 않았습니다.” 최근 전 세계를 혼란에 빠뜨렸던 ‘워너크라이’(WannaCry) 랜섬웨어 사태를 지켜본 한 보안 전문가의 말이다. 워너크라이는 영국의 국가의료보건서비스(NHS) 소속 병원, 러시아 내무부, 프랑스 르노자동차 공장, 중국 석유천연가스집단(CNPC), 미국 배송업체 페덱스, 독일 국영철도회사 도이치반, 스페인 통신사 텔레포니카, 우리나라 대형멀티플렉스 영화관 CGV 등 최소 150개국을 상대로 전례 없는 강도의 ‘사이버 인질극’을 벌였다.랜섬웨어란 ‘몸값’을 뜻하는 ‘랜섬’(ransom)과 ‘악성 소프트웨어’를 뜻하는 ‘멀웨어’(malware)를 합친 말로, 컴퓨터나 휴대전화 같은 내부의 파일 등을 암호화해 놓은 뒤 해결 비용(몸값)을 요구하는 악성코드를 말한다. 공격자들은 대부분 추적을 피하기 위해 익명의 네트워크를 사용하고 가상화폐인 ‘비트코인’으로 돈을 지불하도록 해 붙잡기가 극히 어렵다. 암호로 잠긴 파일을 열기 위해서는 해커가 요구하는 비트코인을 지급하고 다시 파일을 풀어낼 키를 획득해야 한다. 하지만 돈을 내도 키를 받을 수 있을지는 장담하지 못한다. 과거 해커들은 자신들의 실력을 과시하기 위해 사이버 공격을 하는 경우가 많았지만, 최근에는 정치적 목적이나 돈벌이를 위해 해킹을 하는 비율이 높아지고 있다. 우리나라와 중국 간 사드(고고도미사일방어체계) 문제가 불거지자 판단정보국(PIB), 중국독수리연합, 1937CN, 77169 등 유명 해커 그룹으로 이뤄진 중국 해커조직 연합은 소셜네트워크서비스(SNS)인 ‘웨이보’ 등에 올린 동영상을 통해 한국과 롯데그룹을 상대로 전쟁을 선포했다. 돈벌이를 위한 해킹 역시 기승을 부리고 있다. 전 세계적으로 랜섬웨어가 급증한 것은 돈을 뜯어낼 목적의 해킹이 증가하고 있음을 보여 준다. 19일 한국인터넷진흥원(KISA)에 따르면 지난 1분기 우리나라에서 분석된 악성코드 633개 중 가장 많이 나타난 유형은 랜섬웨어(275개)로 전체의 44%를 차지했다.랜섬웨어 감염을 예방하기 위해 과거에는 불특정 다수에게 보내는 스팸메일, 지적재산권을 침해하는 불법 다운로드, 불법대출이나 음란사이트 광고 등을 주의하면 됐다. 하지만 지금은 그런 주의 정도로 랜섬웨어를 완벽하게 피할 수는 없다. 웹서핑 도중 감염될 수도 있고 인터넷 네트워크에 접속하는 것만으로도 감염된다. 랜섬웨어 자체가 진화했다기보다 랜섬웨어를 심는 방식이 진화하고 있다고 보는 게 맞다. 랜섬웨어의 시작은 언제였을까. 1989년 악성코드를 침투시켜 하드디스크의 루트 디렉터리 정보를 암호화한 뒤 이를 풀어 주는 것을 빌미로 돈을 요구한 것이 효시로 알려져 있다. 그러나 랜섬웨어의 존재가 본격적으로 알려진 것은 2005년부터다. 이후 2013년 들어 비트코인 사용이 활성화되면서 전 세계적으로 급증하고 있다. 랜섬웨어의 종류는 수만 개에 이르지만 전문가들은 크게 ▲파일을 암호화하는 랜섬웨어 ▲컴퓨터가 부팅하지 못하게 잠그는 랜섬웨어 ▲바탕화면을 잠그는 랜섬웨어 등 3가지로 분류하고 있다. 가장 흔한 형태가 파일을 암호화하는 것이다. 지난해 말부터 올해 초까지 유행한 ‘비너스로커’(VenusLocker)나 워너크라이가 여기에 속한다. ‘골든아이’(GoldenEye), ‘펫야’(Petya)는 컴퓨터를 부팅할 때 화면을 잠그는 랜섬웨어다. 화면을 잠그는 랜섬웨어로는 ‘레벤톤’(Reventon)이 유명하다.파일을 암호화하는 랜섬웨어 중에서는 지금까지 ‘크립토로커’(CryptoLocker)와 ‘로키’(Locky) 등이 우리나라에 큰 영향을 미쳤다. 2015년 4월 인터넷 커뮤니티 ‘클리앙’ 사이트를 통해 한글로 된 크립토로커가 유포됐다. 공격자는 광고 배너에 악성 코드를 넣었고 이 사이트에 접속했던 이용자들이 다수 감염됐다. 인터넷 브라우저인 마이크로소프트(MS) ‘익스플로러’의 취약점을 이용해 보안 업데이트를 미룬 개인과 기업 컴퓨터 다수를 감염시켰다. 크립토로커에 감염되면 ‘주의, 귀하의 모든 파일을 크립토로커 바이러스로 코딩했습니다’라는 몸값 청구서(랜섬노트)가 뜬다. 몸값으로 1비트코인 이상을 요구한다. 피해자가 감염 후 1주일 이내 키를 구입하지 않으면 공격자는 2배 올린 가격으로 구매를 재요청하기도 한다. 랜섬웨어 로키의 이름은 파일을 암호화한 뒤 확장자를 일괄적으로 ‘locky’로 바꾸는 데 따라 붙여졌다. 지난해 3월 초부터 지금까지 이메일을 통해 확산되고 있다. 초기에는 MS 워드 파일(.doc)을 첨부해 보냈으나 최근에는 자바스크립트 확장자(.js) 파일 또는 악성코드 감염 파일을 묶어 하나의 압축 파일로 첨부해 발송한다. 프로그래밍 언어인 자바스크립트가 단독으로 첨부파일 등에 사용되는 것은 일반적이지 않다. 따라서 파일의 확장자가 자바스크립트(.js)만 존재하거나 여러 파일 중에 포함돼 있다면 로키 랜섬웨어 변종일 가능성을 의심해 볼 필요가 있다. 메일 제목에 ‘지급’(payment), ‘송장’(invoice), ‘계약서’(contract) 등 미끼 단어를 써서 유인하는 경우가 많다는 점도 참고할 만하다. 악성코드의 일부는 화면보호기 파일로 위장하기도 한다. 파일 암호화가 끝나면 바탕화면을 변조해 감염 사실을 사용자에게 통보한다. 이 밖에도 2015년 국내에 많이 유포된 ‘테슬라크립트’(TeslaCrypt) 랜섬웨어는 이동식 드라이브 등은 제외하고 고정식 드라이브만을 감염 대상으로 지정하는 특징이 있었다. ‘크립트XXX’는 2016년 5월 처음 국내에 모습을 드러냈다. 크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고 바탕화면에 랜섬노트가 뜬다. ‘케르베르’(Cerber)는 말하는 랜섬웨어로 유명하다. 감염이 되면 이 사실을 음성메시지로 알린다. 최근에는 한국인을 주요 타깃으로 한 ‘한국형’ 랜섬웨어도 등장했다. 이런 랜섬웨어들은 MS 워드 문서뿐 아니라 국내에서만 사용되는 한글(.hwp) 파일 등을 이메일에 첨부하는 방식으로 유포되며 사용자가 국내 웹사이트나 웹 광고에 접속하는 것만으로 감염되기도 한다. 전문가들은 한국형 랜섬웨어의 경우 국내 해커나 북한 해커의 소행으로 추정하고 있다. 휴대전화, 사물인터넷(IoT) 기기도 랜섬웨어의 공격 대상이 될 수 있다. 스마트폰에는 은행 계좌정보, 비밀번호, 위치정보, 사진, 지인 전화번호 등이 유출됐을 때 타격이 큰 개인정보들이 포함돼 있어 PC보다 더 큰 피해를 가져올 수 있다. 백신업체 G데이터에 따르면 올 1분기 동안 75만 4000여개의 모바일 악성코드가 발견됐다. 이 중 상당수가 랜섬웨어일 것으로 추정된다. IoT도 위험에 노출돼 있기는 마찬가지다. 가령 해커가 IoT 보일러 시스템을 잠가버릴 수도 있다. 비트코인을 내놓지 않으면 집안 온도를 마음대로 높이겠다고 협박을 해도 속절없이 당할 수밖에 없게 되는 것이다. 랜섬웨어에 감염되면 당장은 뾰족한 해법이 없으므로 예방이 최선이다. 운영체제(OS)는 물론 응용프로그램까지 모든 소프트웨어를 최신 버전으로 업데이트해야 한다. 백신 엔진도 늘 최신 버전으로 업데이트한다. 또 출처가 불명확한 이메일과 인터넷 주소 링크는 실행하지 말아야 한다. 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의해야 한다. 문서, 사진 등 중요 자료는 별도 매체에 정기적으로 백업하는 것도 필요하다. 보안업체 하우리의 최상명 실장은 “보안 취약점이 존재하는 한 랜섬웨어는 끊임없이 확대 재생산될 것”이라며 “스마트폰의 감염 사례가 발생하고 최근 보안업체에서 IoT의 감염사례 연구가 나오는 등 조만간 IoT 기기에 대한 감염도 우리를 위협하게 될 것”이라고 말했다. 윤수경 기자 yoon@seoul.co.kr

“워너크라이 이전 버전 사용” .hwp 암호화 등 북한 수법 구글 등 외국보안업체들도 “北 해킹 그룹 코드와 유사” 軍당국, 인포콘 한 단계 격상 지난 12일부터 전 세계 컴퓨터 시스템을 덮친 ‘워너크라이’ 랜섬웨어 악성코드 공격의 배후가 북한일 가능성이 제기됐다. 특히 해외에서 이 같은 분석이 나오기 한 달 전인 지난 4월 이미 국내 보안 전문가들이 워너크라이의 전신 격인 ‘워너크립터 1.0’을 통해 북한 소행임을 파악한 사실도 새롭게 드러났다. 북한 사이버전을 연구하는 한 전문 연구 그룹은 워너크라이 사태가 발생하기 전인 지난 4월 10일 페이스북 계정에 “비너스로커에 이어 북한에서 제작된 것으로 추정되는 또 다른 랜섬웨어(워너크립터 1.0)가 확인됐다”는 글을 올린 사실이 16일 밝혀졌다. 지난해 말부터 올 초까지 유행했던 비너스로커 랜섬웨어는 국내에서 널리 사용되는 압축 프로그램과 한글로 된 정교한 파일명을 사용하는 등 한국인을 타깃으로 한 랜섬웨어였다. 비너스로커를 진화시킨 게 워너크립터 1.0이다. 워너크립터 1.0은 워너크라이 랜섬웨어의 전신으로 중국어 코드가 포함돼 있고 한글과 컴퓨터의 확장자(.hwp)를 암호화 대상으로 넣고 있어 북한 소행이 유력하다는 분석이 제기된다. 해당 그룹은 북한의 랜섬웨어 공격이 ‘비너스로커→워너크립터 1.0→워너크라이’로 진화해 온 것으로 추정한다. 해당 그룹에 속해 있는 보안 전문가는 “북한이 시야를 넓혀 이제 전 세계를 상대로 비트코인(가상화폐)을 통한 외화벌이를 하고 있다”고 분석했다. 해외에서도 북한 소행이 유력하다는 분석이 제기됐다. 가디언 등에 따르면 러시아 사이버 보안업체 카스퍼스키는 이번 사태를 일으킨 악성코드 워너크라이의 초기 버전이 북한과 연계된 해킹그룹 ‘래저러스’(Lazarus)가 만든 코드와 유사하다고 지적했다. 래저러스는 2014년 11월 영화사인 소니픽처스를 해킹했다. 구글 정보보안 전문가인 닐 메타도 래저러스의 백도어 프로그램(보안장벽을 우회하는 장치) ‘캔토피’의 2015년 초기 버전 코드가 지난 2월 워너크라이의 초기 버전에서 발견됐다고 설명했다. 한편 군 당국은 이와 관련해 지난 14일 정보작전방호태세인 ‘인포콘’을 ‘준비태세’ 단계인 4에서 ‘향상된 준비태세’ 단계인 3으로 한 단계 격상했다고 밝혔다. 윤수경 기자 yoon@seoul.co.kr 하종훈 기자 artg@seoul.co.kr 박홍환 전문기자 stinger@seoul.co.kr

다른 사람의 컴퓨터나 서버에 몰래 침입해 파일들을 잠가두고 “정상으로 돌리려면 비용을 지불하라”며 돈을 뜯어가는 ‘랜섬웨어’ 공격은 악성코드를 활용한 신종 사이버 범죄이긴 하지만 당장 어제오늘 나온 것은 아니었다. 그럼에도 지난 12일 이후 전 세계에서 잇따른 ‘워너크라이’ 피해는 공격의 강도나 동시다발성 등의 측면에서 이전과는 차원이 다른 랜섬웨어 사태로 인식되고 있다.국제 보안 전문가들은 이번 사태를 ‘스팸테크’라는 이름의 해커조직이 벌인 것으로 추정하고 있다. 스팸테크는 워너크라이 피해가 확산되기 시작한 지난 12일 소셜네트워크서비스(SNS)에 자신들의 소행임을 밝힌 바 있다. 보안업계 관계자는 15일 “SNS에 글을 올린 시점이 해당 랜섬웨어가 퍼지기 시작했던 때라는 점을 고려할 때 실제로 스팸테크의 소행일 가능성이 높다”며 “스팸테크는 올 3월에 생겨난 신생 해커 조직으로 출신 국가 등이 아직 알려진 바 없다”고 말했다. 이번 워너크라이 사태로 영국, 러시아 등 150여개국에서 피해가 잇따랐다. 가장 큰 이유는 일반적인 악성코드들과 달리 컴퓨터를 켜기만 해도 감염이 된다는 사실이다. 통상 랜섬웨어는 이메일을 열거나 첨부파일을 실행시켜야 작동된다. 이런 공격이 가능했던 것은 PC 운영체제(OS)로 가장 많이 사용되는 ‘윈도’의 취약점이 해커들에 의해 공개된 탓이 크다. 지난해 ‘섀도브로커’라는 해커 조직은 미국 정보기관인 국가안보국(NSA)을 해킹했다. 이들은 NSA가 사이버 무기로 사용하고 있던 윈도 서버 취약점 공격 도구를 유출시키고 이를 공개했다. 해당 취약점을 이용하면 120초 만에 윈도 서버를 장악할 수 있는 것으로 알려졌는데, 이 때문에 크래커(악성 해커) 집단 등 사이버 범죄자들에게 각광을 받기 시작했다. 이번 워너크라이 랜섬웨어도 윈도 취약점 가운데 ‘서버 메시지 블록’(SMB) 프로토콜을 악용한 것이다. SMB는 컴퓨터에서 파일이나 주변 장치를 공유하는 데 사용되는 기술로, 한 사무실에서 한 대의 PC가 감염되면 같은 네트워크를 쓰는 PC는 모두 감염 대상이 될 수 있다. 감염된 PC는 또다시 다른 장치에 바이러스를 퍼뜨리는 PC가 된다. 하지만 워너크라이 랜섬웨어를 막을 수 있는 보안패치(보완 소프트웨어)는 이미 지난 3월 윈도 제작사인 미국 마이크로소프트에서 배포됐다. 한국인터넷진흥원(KISA) 역시 보안전문사이트 ‘보호나라’를 통해 해당 보안 패치를 설치할 것을 공지한 바 있다. 보안업체 하우리의 최상명 실장은 “현재 해당 취약점에 대한 보안 패치는 이미 나왔으니 반드시 패치를 설치해야 한다”며 “서버 같은 경우는 안전성을 이유로 보안 패치를 늦게 설치하는 경우가 많은데 검토 후 최대한 빨리 패치를 설치할 필요가 있다”고 밝혔다. 보안 전문가들은 당장은 워너크라이 랜섬웨어가 주춤해진 것처럼 보이지만, 280여개에 이르는 변종 공격이 계속되고 있어 안심하기는 이르다고 입을 모은다. 윤수경 기자 yoon@seoul.co.kr

초강력 랜섬웨어(악성코드의 일종)의 공포가 전국을 강타한 15일 ‘사이버 블랙먼데이(검은 월요일)’는 발생하지 않았지만 곳곳에서 피해 신고가 잇따랐다.국가 사이버 보안 전담기관인 한국인터넷진흥원(KISA)은 지난 13일부터 15일 오후까지 총 13건의 ‘워너크라이’(WannaCry) 랜섬웨어 감염 피해 사례가 접수됐으며, 이 중 기업 9곳이 실제 감염된 것으로 파악돼 기술 지원에 들어갔다고 밝혔다. 118 전화 상담센터를 통해서는 총 2931건의 문의가 들어왔다. 보안업체 안랩은 “12일부터 15일 오후 2시까지 총 187대의 피해 PC를 확인했다”고 밝혔다. 보안업체 하우리가 입수한 국내 랜섬웨어 감염 인터넷 주소(IP)는 4000개를 넘었다. 당초 지난 12일 유럽을 중심으로 랜섬웨어 공격이 발생하면서 대부분의 기업과 공공기관이 업무에 복귀하는 15일 대규모 피해 가능성이 우려됐다. 이 때문에 정부는 하루 전인 14일 오후 6시를 기해 국가 사이버위기 경보 단계를 ‘관심’에서 ‘주의’로 높였다. 그러나 이날 일부 기업을 제외하고는 정부나 공공기관에 별다른 피해는 일어나지 않은 것으로 파악됐다. KISA는 “대다수 기업과 공공기관이 사전 조치에 나섰기 때문으로 보인다”고 밝혔다.주요 기업과 기관의 보안담당 부서는 전날 비상근무를 하며 점검 사항을 확인했고, 이날 직원들이 출근한 후에는 윈도 최신 버전 업데이트 등 후속 조치에 주력했다. 이 때문에 일부 기업과 기관들은 오전 근무에 차질을 빚기도 했다. 인천시의 경우 보안 업데이트를 완료한 부서만 인터넷 외부망 접속을 허용하면서 상당수 부서가 이날 오전까지 외부 인터넷을 사용하지 못했다. 그러나 실제 피해 건수는 신고된 규모를 크게 웃돌 것으로 보인다. 보안업계 관계자는 “공공기관인 KISA를 거치지 않고 민간 보안업체 등으로 접수되는 피해 사례가 상당한 수준일 것”이라며 “기업들은 대외 이미지를 고려해 피해 사실이 외부에 노출되는 것을 꺼리기 때문”이라고 말했다. PC방과 식당 등 소규모 상가에서는 피해 사례가 속속 나타났다. 송정수 미래창조과학부 정보보호정책관은 “랜섬웨어 2차 공격이나 변종 공격 등이 우려되기 때문에 안심하기는 이르다”며 “‘주의’로 높였던 사이버 위기 경보 단계를 당분간 유지할 것”이라고 밝혔다. 서울 윤수경 기자 yoon@seoul.co.kr 세종 강주리 기자 jurik@seoul.co.kr

“아직 공격 끝나지 않았다” 경고 지난 12일부터 영국은 물론 전 세계를 혼란에 빠뜨린 랜섬웨어 확산을 막은 사람은 온라인 보안회사에 다니는 22세 청년이라고 BBC 등 영국 언론이 13일(현지시간) 보도했다. ‘크립토스 로그’라는 회사에 다니던 이 청년은 ‘워너크라이’(WannaCry) 랜섬웨어 확산을 중단시키는 ‘킬 스위치’를 발견해 이를 활성화했다. 자신을 ‘멀웨어테크’(악성소프트웨어 기술자)라고만 밝힌 그는 “분석을 통해 공격에 사용된 악성소프트웨어 샘플을 발견했으며 등록되지 않은 특정 도메인과 연결돼 있다는 사실을 알게 됐다”고 말했다. 그는 또 “회사가 해킹에 쓰이는 악성코드나 악성코드에 감염된 컴퓨터 집단을 말하는 ‘봇넷’을 추적하는 업체인 만큼 봇넷이 어떻게 확산되는지 보려고 글자로 된 인터넷 주소 도메인을 사들인 뒤 이를 등록했다”고 설명했다. 도메인을 등록하는 데 사용한 돈은 겨우 10.69달러(약 1만 2000원)에 불과했지만 엄청난 피해를 막는 데 결정적인 역할을 했다. 이 청년이 등록한 도메인이 랜섬웨어 확산을 중단하는 역할을 하는 스위치로 작동하면서 확산을 중단시킨 것이다. 보안업계 등은 그를 ‘우연한 영웅’(an accidental hero)이라고 말했으며 월스트리트저널(WSJ)은 ‘사이버범죄 배트맨’이라고 표현했다. 현재 1주일간 휴가를 얻은 그는 대학에 가거나 자격증을 취득하지 않고 독학으로 공부해 회사에 취직한 것으로 전해졌다. 그는 휴가를 반납하고 위기에 대처한 공로를 인정받아 1주일 추가 휴가를 얻었다. 이번 일로 세계의 주목을 받은 그는 “명백히 나쁜 사람을 상대로 일을 하는데 그들이 이번 일을 좋아하지 않을 것”이라며 익명으로 남아 있겠다고 고집했다. 또 아직 상황이 종료되지 않았다고 경고했다. 그는 “우리가 어떻게 확산을 멈췄는지 알아차리고 공격집단이 코드를 바꿔 다시 시작할 것”이라며 “이번에 등록한 도메인을 유지하면서 동료와 함께 인터넷주소(IP)를 수집한 뒤 법집행 기관에 보내 악성 소프트웨어 감염 피해자에게 알릴 수 있도록 할 계획”이라고 말했다. 이제훈 기자 parti98@seoul.co.kr

세게 곳곳에서 동시다발적 랜섬웨어 공격이 발생하면서 국내 이용자의 우려도 커지고 있다.중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어는 일단 감염되면 피해를 막기 힘든 만큼 예방이 최선이다. 이번 공격에 활용된 랜섬웨어는 인터넷 접속만으로 감염되기 때문에 예방을 위해서는 신속한 조치가 필요하다. 14일 한국인터넷진흥원(KISA)과 보안업계에 따르면 랜섬웨어 감염을 피하기 위해서는 우선 컴퓨터를 켜기 전 인터넷 네트워크를 끊고, 파일 공유 기능을 해제한 뒤 컴퓨터를 재시작해야 한다. 이후 인터넷에 다시 연결해 백신 프로그램을 최신 버전으로 업데이트하고, 악성코드 감염 여부를 검사한다. 마이크로소프트(MS)의 윈도 운영체제와 서버에 최신 보안 패치를 적용해야 한다. 윈도 7과 10을 비롯한 윈도 비스타 이상 버전은 ‘제어판’ 메뉴에서 ‘윈도 업데이트’를 실행하고, 윈도 XP·윈도 8 등 MS가 보안 지원을 중단한 옛 버전은 MS 업데이트 카탈로그 사이트(http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)에서 자신의 운영체제에 맞는 업데이트 파일을 수동으로 설치한다. 윈도 버전 확인은 ‘제어판’ 내 시스템 메뉴에서 할 수 있다. 가급적 옛 버전은 추가 위험을 막기 위해 최신 운영체제로 업그레이드하는 게 좋다. 일단 감염되면 한국인터넷진흥원 인터넷침해대응센터(국번없이 ☎118)나 보안업체에 신고해서 조언을 구해야 한다. 암호화된 파일은 사실상 복구가 어렵다. 데이터를 복구해준다는 민간 업체들이 많지만, 직접 복구하기보다는 해커가 요구하는 대로 비트코인(가상화폐)을 지불하고, 암호를 푸는 키(key)를 사서 복구하는 방식이 대부분이다. 이 과정에서 과도한 수수료를 요구하는 경우도 많다. 워너크라이 랜섬웨어는 초반 300달러(약 34만원) 상당의 비트코인을 요구하고, 사흘 내 지불하지 않으면 요구액을 600달러(약 68만원)로 올린다. 해커에게 돈을 지불한다고 하더라도 파일을 복구해준다고 장담하기 어렵다. 파일 복구가 어렵다 보니 가장 흔한 해결책은 컴퓨터를 초기화(포맷)하고, 프로그램을 다시 설치하는 것이다. 이 때문에 중요한 자료는 백업이 필수다. 중요한 파일은 수시로 백업하되 컴퓨터와 물리적으로 분리된 별도의 외장 하드나 USB, 클라우드에 이중 혹은 삼중으로 저장해야 한다. 감염이 의심된다면 즉각 USB와 외장하드 등 외부 저장장치와 연결을 해제해야 한다. 클라우드를 이용할 경우에는 실시간으로 동기화되는 설정을 해제해야 한다. 온라인뉴스부 iseoul@seoul.co.kr

구글 플레이 스토어에서 유통됐던 ‘시스템 업데이트’(System Update)라는 이름의 애플리케이션(앱)이 알고 보니 스파이웨어(다른 사람 기기에 잠입해 정보를 빼가는 소프트웨어)였던 것으로 뒤늦게 밝혀졌다. 6일 보안 전문기업 지스케일러(Zscaler)에 따르면 이 스파이웨어는 구글 플레이 스토어에 2014년 올라와 최근까지 배포됐으며, 현재까지 100만~500만명이 내려받았다고 연합뉴스가 보도했다. 구글은 최근 지스케일러로부터 이런 내용의 신고를 받은 후에야 이 앱을 구글 플레이 스토어에서 삭제했다. 지스케일러의 분석 결과 이 앱은 사용자 정보를 빼내 원격으로 전송하는 기능을 포함하고 있다. 물론 이에 대한 설명은 앱 소개글에는 없었다. 또 사용자가 이 앱을 시작하려고 시도하면 갑자기 “불행하게도 업데이트 서비스가 중단되었습니다”라는 메시지가 나오면서 앱 실행이 중단되고 메인 화면에서 이 앱의 모습이 보이지 않게 되는 것으로 드러났다. 스스로 모습을 감추고 다른 사람의 위치 정보와 문자메시지 정보를 훔쳐내 전송하는 스파이웨어였던 것이다. 그동안 구글 플레이 스토어에서 이 앱에는 “특수한 위치 기능을 업데이트하고 사용 가능하도록 합니다”라는 설명이 달려 있었다. 이로 인해 최신 안드로이드 업데이트를 제공하는 앱이라고 착각하고 내려받은 사용자들이 많았다. 이 스파이웨어는 문자메시지의 속성과 예외 처리 생성 등 교묘한 수법을 이용하기 때문에 40여개의 바이러스 엔진으로 악성코드 해당 여부를 검사하는 구글의 ‘바이러스토털’ 등 서비스로도 탐지되지 않는 것으로 알려졌다. 온라인뉴스부 iseoul@seoul.co.kr

한국인을 타깃으로 하거나 국내외 정치적 상황에 맞게 만들어진 신·변종 악성코드가 확산되고 있다. 또 공공기관을 사칭해 전자금융사기를 유도하는 ‘플로팅 배너’도 기승을 부리고 있다.3일 한국인터넷진흥원(KISA)에 따르면 올 1분기에 발견된 악성코드 가운데 ‘랜섬웨어’ 유형은 전체의 44%(275개)였다. 이어 원격제어(35%), 정보탈취(13%), 파밍(6%), 디도스(1%), 결제 유도(1%) 순이었다. 특히 2015년 770건에 불과하던 랜섬웨어 피해 신고는 올 1분기에만 990건이 접수됐다. 랜섬웨어란 컴퓨터 파일을 암호화해 놓고 돈을 요구하는 악성코드를 말한다. 특히 국내 PC 환경에 맞춰 제작되거나 국내외 정치적 상황을 고려한 것이 달라진 점이다.지난 2월 파악된 ‘트럼프 랜섬웨어’의 경우 이메일을 통해 압축파일 형태로 유포됐다. 압축파일을 풀면 ‘PDF’로 위장한 파일이 나오며 이를 실행하면 감염된다. 트럼프 사진을 노출해 놓고 해커는 72시간 내 비트코인 계좌로 150달러 입금을 요구한다. 설문지로 위장한 랜섬웨어의 경우 기존 버전에 없던 한글(.hwp) 확장자를 암호화해 한국인을 타깃으로 했다. ‘파밍’(가짜 사이트로 유도해 개인정보를 빼내는 전자금융사기) 수법도 정교해지고 있다. 최근에는 금융감독원과 미래창조과학부, KISA 등 공공기관으로 위장한 플로팅 배너 주의보가 내려졌다. 플로팅 배너란 인터넷 화면에 떠서 홈페이지 전체 혹은 일부를 가리는 신유형 광고로, 가짜 사이트 접속을 유도하는 미끼 같은 역할을 한다. 공공기관의 이미지와 문구를 그대로 차용해 이용자를 속이며 지난 1월에는 웹 접근성 인증마크까지 붙인 가짜 플로팅 배너까지 등장했다. 박진완 KISA 탐지팀장은 “개인뿐 아니라 기업도 파밍 악성코드에 감염되지 않도록 주기적으로 취약성을 점검하고 보안 패치를 업데이트해야 한다”고 말했다. 윤수경 기자 yoon@seoul.co.kr

사이버보안 경찰관, 동료 사생활 협박음악파일 위장··· 탈취·엿보기 기능 사이버 보안 전문가인 경찰이 동료 여경의 컴퓨터를 해킹한 뒤 사생활을 빌미로 협박해 1000만원을 갈취하고, 다른 동료 30명에게도 같은 악성코드를 유포한 사실이 확인됐다. 이 사건을 수사 중인 경기남부지방경찰청 사이버수사대는 디지털 증거분석을 통해 전모(43) 경위가 다른 동료 30여명에게도 같은 악성 코드를 유포한 사실을 확인했다고 27일 밝혔다. 전 경위도 추가 조사에서 “동료 경찰관 30여명에게도 같은 악성 코드를 유포했다”며 “언제, 누구에게 유포했는지는 정확히 기억나지 않는다”라고 진술한 것으로 전해졌다. 다만 실제로 돈을 요구해 받은 것은 여경 A(42)씨 밖에 없다고 주장하고 있다. 이에 따라 경찰은 앞서 전 경위가 악성 코드를 유포한 경찰관 30여명을 상대로 피해 사실이 있는지 수사를 확대하고 있다. 전 경위는 지난해부터 올해 초까지 경찰 내부망 메신저를 이용해 A씨에게 악성 코드를 유포한 뒤 사생활을 빌미로 협박, 1천만원을 뜯은 혐의로 25일 긴급체포됐다. 전 경위는 과거 같은 부서에서 근무하며 알게 된 A씨에게 음악 파일을 넘겨주는 척하며 컴퓨터에 악성 코드를 심었다. 전 경위가 인터넷에서 다운 받은 이 악성 코드는 타인의 컴퓨터를 원격제어하거나 화면 엿보기, 파일 탈취 등의 기능이 있다. 악성 코드를 이용해 A씨의 사생활을 엿보던 그는 약점을 잡고 지난달 17일 오후 전화를 걸어 “누군가 네 사생활을 알고 있다고 하는데, 내가 막아주겠다”라며 돈을 요구한 것으로 조사됐다. 같은 날 저녁 퇴근 무렵 A씨 근무처 인근 주차장에 세워둔 차 안에서 A씨를 만난 전 경위는 현금과 수표 800만원을 받았고, 이후 계좌이체로 200만원을 추가로 받았다. 하지만 속은 사실을 알게 된 A씨는 감찰부서에 전 경위의 범행을 제보했고, 경기남부청 감찰부서는 사안이 중하다고 판단, 이달 중순께 사이버수사대에 수사를 의뢰했다. 사이버수사대는 압수수색 과정에서 전 경위의 범행 정황을 입수해 25일 오전 전 경위를 긴급체포하는 한편 26일 공갈 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 등 혐의로 구속영장을 신청했다. 온라인뉴스부 iseoul@seoul.co.kr 　

경찰 간부가 동료 여경 컴퓨터에 악성 코드를 심어 알아낸 사생활을 빌미로 돈을 뜯어낸 사실이 밝혀졌다. 경기남부지방경찰청 사이버수사대는 화성 모 경찰서 소속 전모(43)경위는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 등 혐의로 긴급체포했다고 26일 밝혔다. 전 경위는 메신저를 이용해 서울에 근무하는 여경 A(42)씨의 컴퓨터에 악성 코드를 심어 A씨의 사생활을 알아낸 뒤 이를 빌미로 지난달 17일 1000만원을 뜯은 혐의를 받고 있다. 전 경위와 A씨는 과거 같은 경찰서에서 근무하며 알게 된 사이다.전 경위는 인터넷에서 악성 프로그램을 다운 받아 음악 파일을 넘겨주는 척하며 A씨의 컴퓨터에 악성 코드를 심은 것으로 조사됐다. 이 악성 코드는 타인의 컴퓨터를 원격제어하거나 화면 엿보기, 파일 탈취 등의 기능이 있다. 전 경위는 경찰 조사에서 “장난삼아 악성 코드를 보냈는데, 실제 사생활과 관련된 무언가를 알게 돼 돈을 달라고 했다”고 진술한 것으로 알려졌다. A씨는 이러한 사실을 감찰 부서에 제보했고, 경기남부청 감찰부서는 사안이 중하다고 판단해 이달 중순쯤 사이버수사대에 수사 의뢰했다. 사이버수사대는 압수수색 과정에서 전 경위의 범행 정황을 입수해 25일 오전 긴급체포했다. 경찰은 전 경위를 상대로 사건경위를 더 조사한 뒤 이날 중 구속영장을 신청할 방침이다. 온라인뉴스부 iseoul@seoul.co.kr

중국 해커 조직이 국내 사드(고고도미사일방어체계) 배치와 관련 한국 기업 등에 대한 공격을 예고한 가운데 정부는 “최근 외교부 홈페이지 등에 대한 중국발 디도스(DDoS·분산서비스거부) 공격 시도가 수차 간헐적으로 발생했다”고 28일 밝혔다. 조준혁 외교부 대변인은 이날 정례브리핑에서 “이에 대한 즉각적인 방어 조치를 통해 현재까지 피해 사례는 없다”면서 이같이 말했다. 조 대변인은 “외교부는 긴급 대응반을 구성하고 본부와 중국 전역에 걸쳐 있는 우리 공관과 유관 기관에 상황 및 대응 요령을 전파했으며, 비상근무체제를 유지하고 있다”고 설명했다. 이어 그는 “우리 정부로서는 모든 형태의 사이버 공격에 반대한다는 중국 정부의 일관된 입장 표명에 주목하고 있다”며 “이에 부합하는 책임 있는 조치를 지속적으로 취해줄 것을 기대하고 있다”고 강조했다. 한편 조 대변인은 북한 정권과 연계된 것으로 추정되는 해커들이 폴란드 은행을 비롯한 국제 금융기관에 악성코드를 유포하는 등 해킹을 시도했다는 보도에 대해 “우리 정부는 대북 제재가 진행 중인 가운데 북한이 불법 사이버 활동을 외화 획득 수단으로 활용하고 있을 가능성에 주목하고 있다”고 했다. 조 대변인은 “우리 정부는 북한의 사이버위협에 대응하기 위해 주요국들과 관련 정보를 공유하고 공조를 강화해 나갈 예정”이라고 덧붙였다. 온라인뉴스부 iseoul@seoul.co.kr

미국 중앙정보국(CIA)이 컴퓨터와 스마트폰, 스마트 TV 등을 이용해 일반인을 대상으로 전방위 도·감청을 했다는 위키리크스의 폭로에 미 연방수사국(FBI)이 수사에 착수했다고 영국 BBC, CNN 등이 8일(현지시간) 보도했다. FBI는 CIA와 협조를 통해 대량의 문건이 어떻게 위키리크스의 손에 넘어갔는지, 내부 직원이나 하청업자가 이를 유출했는지 등을 조사하고 있다고 미 관리들은 전했다. 미 정보기관과 수사당국 관리들은 유출된 문건이 진짜 CIA 문서로 보인다면서 CIA의 협력업체가 보안 규정을 어기고 이를 유출한 듯하다고 로이터통신에 말했다. 위키리크스는 7일 2013~2016년 사이 작성된 CIA의 사이버정보센터 웹페이지 문서 7818건과 첨부문서 943건을 ‘볼트(Vault) 7’이라는 이름으로 공개했다. 위키리크스의 폭로에 침묵하던 CIA는 대변인을 통해 “미국을 테러리스트와 다른 위협으로부터 보호하기 위한 노력이 위키리크스의 폭로로 피해를 입었다”며 “이런 폭로는 미국민을 위험에 빠뜨릴 뿐 아니라 우리의 적을 이롭게 할 뿐”이라고 맹비난했다. 숀 스파이서 백악관 대변인도 “도널드 트럼프 대통령이 이번 사태에 대해 심각하게 우려하고 있다”면서 “(폭로가) 주장인 만큼 현시점에서 그것을 확인하진 못하지만 대통령의 이전 발언에서도 알 수 있듯 이 문제에 대해 굉장히 우려하고 있다”고 말했다. 이와 관련, 뉴욕타임스는 CIA 해킹으로부터 기기를 보호하기 위해서는 “모든 기기를 최신 버전으로 업데이트하거나 업데이트가 쉽지 않다면, 과감히 기기를 버리고 신제품을 구매하라”고 조언했다. 위키리크스는 안드로이드폰의 경우 안드로이드 4.0 버전이 주로 공격을 당했다고 밝혔다. 구글은 현재 전 세계적으로 안드로이드 4.0 버전에 기반을 둔 기기를 사용하는 사람은 안드로이드 사용자의 약 30%에 해당하는 최소 4억 2000만명인 것으로 추산했다. 구글의 안드로이드 최신 OS 버전은 지난해 8월 공개된 7.1 ‘누가’다. 그러나 삼성 갤럭시 S3와 같은 구형 기기는 최신 안드로이드 소프트웨어를 다운로드 할 수 없다. 전문가들은 이 경우 새 스마트폰을 살 수밖에 없다고 강조했다. 아이폰은 iOS 버전 8.2에서 작동하는 해킹 사례가 언급됐다. 애플은 전체 애플 사용자의 79%는 iOS 10을 이용하고 있으며 5%가량이 iOS 9보다 오래된 버전을 사용한다고 밝혔다. 애플은 “위키리크스에 언급된 보안 문제의 대부분은 이미 최신 버전(iOS 10)에서는 해소됐으며 나머지 취약점은 해결을 위해 노력 중”이라고 말했다. 문제는 CIA가 영국 정보기관 MI5와 공동 개발한 악성코드 ‘우는 천사’(Weeping Angel)의 공격을 당한 것으로 알려진 삼성 스마트 TV다. 스마트TV는 보안 취약성으로 가장 문제가 되는 사물인터넷의 범주에 속하기 때문에 스마트폰과는 달리 해결책을 찾기가 쉽지 않다. 전문가들은 특히 ‘우는 천사’는 꺼진 것처럼 보이는 상태에서도 TV를 쉽게 조정할 수 있기 때문에 보안을 위해 와이파이 설정을 강화하고 스마트홈 장치의 소프트웨어 업데이트를 정기적으로 검사한다 하더라도 충분하지 않다고 지적했다. 최선의 방법은 삼성 스마트TV를 인터넷에서 차단하는 것뿐이다. 라우터도 정기적으로 펌웨어 업데이트를 체크해 최신 보안 기능을 받는 것이 가장 확실하다. 심현희 기자 macduck@seoul.co.kr

폭로 전문 웹사이트 위키리크스가 7일(현지시간) 미국 중앙정보국(CIA) 사이버정보센터 문서 8700여건을 공개했다고 이날 AP통신, 뉴욕타임스(NYT), 월스트리트저널(WSJ) 등이 보도했다. 이 문서에는 CIA가 구글·애플·삼성·마이크로소프트 등 글로벌 정보통신 기업의 휴대전화, 스마트TV 등을 활용해 일반인을 대상으로 광범위한 도·감청을 했다는 충격적인 내용이 포함돼 있어 파문이 예상된다. 위키리크스는 2013~2016년 사이 작성된 CIA의 사이버정보센터 웹페이지 문서 7818건과 첨부문서 943건을 ‘볼트(Vault) 7’이라는 이름으로 공개했다. 위키리크스는 확보한 문건을 “이제까지 CIA가 작성한 가장 많은 양의 비밀 문건”이라고 강조했다. 위키리크스는 해킹 소스에 대해 “CIA 사이버정보센터 내부에서 고립되고 보안 수준이 높은 네트워크”라고만 밝혔다. 위키리크스가 공개한 문건에서 CIA는 다양한 종류의 악성코드로 전 세계 소비자의 스마트TV, 스마트폰 등 가전, 정보기술(IT)기기에 침투해 감청한 것으로 드러났다. CIA는 영국 정보기관 MI5와 공동 개발한 ‘우는 천사’(Weeping Angel)라는 악성코드로 삼성 스마트TV를 공격해 TV에 저장된 와이파이 사용자와 비밀번호를 알아냈다. 또 ‘위장 전원 꺼짐’으로 불리는 기술로 TV가 꺼진 상태에서도 주변의 소리를 녹음해 CIA로 전송하는 방식을 통해 정보를 수집했다. 위키리크스는 삼성 스마트TV의 경우 TV를 끈 상태에서도 TV에 설치된 마이크를 통해 도·감청을 할 수 있다고 설명했다. CIA는 원거리에서 조종할 수 있는 악성코드를 이용해 텔레그램과 시그널, 왓츠앱 등 메신저 서비스도 해킹했다. 안드로이드 휴대전화에 침투해 데이터가 암호화되기 전에 음성 및 메시지 정보까지 수집한 것으로 밝혀졌다. CIA는 컴퓨터 시스템이 내장된 자동차를 해킹하는 방안도 검토했다. 이번 폭로가 사실이라면 2013년 미국 정보당국의 전방위 도·감청을 폭로한 에드워드 스노든 전 국가안보국(NSA) 직원 사태보다 훨씬 큰 파문을 일으킬 것으로 전망된다. 정보기관이 마음만 먹으면 일상생활의 필수품으로 자리잡은 제품을 얼마든지 도·감청 도구로 활용할 수 있음을 보여 줬기 때문이다. WSJ는 “이번 문건에는 스마트폰과 컴퓨터 운영체제, 메신저 애플리케이션, 스마트TV 등을 해킹하는 도구에 대한 구체적인 내용이 담겼다”며 “스노든이 미국 감시의 요약본을 제공했다면 CIA 감시 폭로는 (도·감청의) 청사진을 보여 줬다는 점에서 훨씬 중요한 의미가 있을 것”이라고 전했다. 문서에 언급된 기업도 타격을 입을 것으로 보인다. NYT는 “위키리크스의 이번 폭로가 사실이라면 전 세계 IT업계를 뒤흔들 일대 사건”이라고 전했다. CIA가 만든 악성 소프트웨어는 애플의 아이폰과 안드로이드 체계를 무력하게 만들 수 있다. 사용자의 위치는 물론 아이폰의 카메라와 오디오 기능을 조종해 사진과 녹음파일을 받는 것도 가능하다. 삼성전자 스마트TV에 대한 도청 가능성도 다시 수면 위로 떠올랐다. 삼성은 2015년 스마트TV 도청 가능성에 대해 “음성인식 기능을 제공하고자 일부 음성 명령은 필요한 경우 음성을 문자로 바꾸는 제3자 서비스에 제공될 수 있다”고 경고했다. 당시 영국 BBC는 스마트TV의 음성인식 기능을 조지 오웰의 소설 ‘1984’에 등장하는 ‘빅브러더’에 빗대 보도했다. 미국 전자프런티어재단은 “수집된 목소리를 텍스트로 변환해 제3자가 이용할 수 있다”고 강력 비판했다. CIA는 “근거 없는 문서의 진위에 대해서는 확인해 주지 않는다”며 위키리크스 폭로에 대한 공식 답변을 거부했다. 숀 스파이서 백악관 대변인도 “아직 확인된 것은 없다”고 말을 아꼈다. 미국 정보 전문가인 ‘렌디션 인포섹’ 공동창업자 제이크 윌리엄스는 “이처럼 방대한 분량의 문서가 날조됐을 가능성은 거의 없다”며 위키리크스의 폭로가 사실일 것이라고 분석했다. 스노든은 트위터에 “아직 발표문을 읽고 있지만 위키리크스가 진정으로 대단한 것을 가졌다. 진짜인 듯하다”고 밝혔다. 심현희 기자 macduck@seoul.co.kr

지난 7일 오후 8시, 영하의 날씨에 찾은 서울 서대문 독립공원 주변에선 휴대전화를 바라보며 우두커니 서 있는 사람들을 쉽게 만날 수 있었다. 역사공원이지만 독립문, 서재필 동상, 독립관, 3·1독립선언기념탑 인근에 포켓몬이 많이 출몰하고 게임 아이템을 얻을 수 있는 포켓스톱이 즐비한 데다가 다른 게임유저와 대결하는 체육관까지 있어 ‘포켓몬 성지’ 중 하나로 꼽히는 곳이다.오는 3월 고등학교에 진학한다는 김모(17)군은 원하는 포켓몬을 찾으려는 듯 휴대전화를 뚫어지게 들여다보며 공원을 배회하고 있었다. “근처 학원에서 수업을 듣는데 포켓몬고 애플리케이션(앱)에 희귀몬(희귀한 포켓몬)이 출현했다는 소식이 떠서 집중할 수가 없었습니다. 학원을 마치자마자 공원으로 달려나온 건데 이미 사라져 버려서 너무 안타깝습니다. 지난주에도 희귀몬을 잡으러 광화문까지 걸어갔는데 허탕을 쳤거든요.” 지난해 여름 강원 속초시 등 일부 지역에서 포켓몬고 게임이 열리며 마니아 사이에 열풍이 분 데 이어 올겨울 전국에서 게임이 가능해지면서 포켓몬고는 본격적인 인기몰이에 나선 상황이다. 지난달 24일 출시 후 2주 만에 이용자 수는 700만명을 넘어섰고 스마트폰 보조배터리, 터치장갑, 무선충전기 등 게임 부가장비 매출도 급성장하고 있다. 포켓몬고 성지 주변 상권의 활성화로 ‘포케코노미’라는 신조어도 생겼다. 하지만 게임에 집중하다 부상을 입거나 행인끼리 싸움이 나는 등 부작용도 무시할 수 없는 상황이다. 8일 낮 12시 30분, 포켓몬고 성지라는 서울 덕수궁에서도 점심시간을 이용해 게임을 하는 직장인과 대학생들이 보였다. 대학생 최재호(22)씨는 “덕수궁에 강한 캐릭터인 ‘뿔카노’가 출몰했다는 소식을 듣고 강서구 집에서 서둘러 나왔다”며 “입대를 앞두고 더 많은 포켓몬을 모으려고 서울시내를 부지런히 다닌다”고 말했다. 속초에서 왔다는 목수 김모(67)씨는 “속초에 산다고 하면 포켓몬고를 하도 물어봐 아예 게임에 입문했다”며 “남대문시장에서 볼일 보고 여기에 포켓스톱이 많다고 해 찾아왔다”고 말했다. 그러나 포켓몬고 열풍에 곱지 않은 시선을 보내는 시민들도 있었다. 보라매공원에서 자주 운동을 한다는 홍모(31)씨는 “운동장 트랙을 달리던 중 포켓몬고를 하고 있던 대학생과 부딪쳤다”며 “사과도 한마디 하지 않고 ‘잡았다’고 외치는 모습에 어이가 없었다”고 말했다. 포켓몬고를 즐긴다는 직장인 이모(34)씨는 “게임에 열중하며 계단을 내려오다 발을 헛디뎌 다리에 깁스를 하는 부상을 입었다”고 전했다. 게임의 경제적 효과는 꽤 큰 편이다. 성지 주변의 많은 상점이 게임을 이용해 소셜네트워크서비스(SNS)에 광고를 한다. 실제로 포켓몬 성지인 홍대와 올림픽공원 근처에 있는 커피빈의 매출은 게임 출시 후 1주간 전주 대비 약 40%가 늘었고, 보라매공원 매장은 24.1% 증가했다. 포켓몬고뿐 아니라 게임을 돕는 보조 앱도 인기다. 하지만 경찰청은 지난 7일 보조 앱 44개 중 19개(43.2%)가 주소록·사용지 위치 등 평균 10개의 개인정보 수집 권한을 요구한다며 지나치다는 분석을 내놓았다. 또 이런 앱에 악성코드를 심어 해킹하거나 계정·아이템 등을 판매한다며 금품을 뜯어내는 등의 범죄가 발생할 수 있다고 주의를 당부했다. 박기석 기자 kisukpark@seoul.co.kr

스마트폰 현실증강게임 ‘포켓몬고’가 선풍적인 인기를 끌면서 개인정보 유출과 이에 따른 사기 등 사이버 범죄 우려도 덩달아 커지고 있다. 경찰청이 7일 구글 플레이스토어에 등록된 포켓몬고 보조 애플리케이션(앱) 44개를 전수분석한 결과 19개(43.2%)가 주소록·사용지 위치·저장공간 접근 등 평균 10개의 개인정보 수집 권한을 요구하는 것으로 드러났다. 심지어 34개의 정보를 요구하는 앱도 있었다. 보조 앱이란 포켓몬고 자동 실행, 포켓몬 출현 위치 정보 등 게임 진행을 도와주는 프로그램이다. ●보조앱 43%서 주소록·위치 등 요구 경찰은 또 포켓몬고 관련 컴퓨터 프로그램에 악성코드를 심어 해킹하거나 계정·아이템 등을 판매한다며 금품을 뜯어내는 등의 범죄가 발생할 가능성이 높다고 보고 있다. 이미 경찰은 포켓몬고를 PC에서 실행시킬 수 있게 해 별도 조작 없이 포켓몬을 자동 사냥해 주는 ‘오토봇’ 프로그램에서 사용자의 구글 계정 암호를 수집하는 기능을 발견했다고 전했다. 현재 포털사이트 네이버 카페 ‘중고나라’ 등에는 포켓몬고 계정이나 희귀한 포켓몬, 오토봇 프로그램 등을 판매한다는 글부터 돈을 주면 아이템 수집, 레벨업을 대신 해 주겠다는 게시글들이 올라오고 있다. ●자동 사냥 프로그램엔 암호 수집 기능 경찰 관계자는 “개인 간 게임 계정 거래 등은 사기로 이어질 우려가 크고, 검증되지 않은 오토봇 프로그램 등에는 악성코드가 탑재됐을 가능성이 있다”며 “이미 설치했다면 앱을 지우거나 휴대전화 설정에서 권한을 차단할 필요가 있다”고 당부했다. 강신 기자 xin@seoul.co.kr

선풍적인 인기를 끌고 있는 증강현실(AR) 게임 ‘포켓몬 고’ 사용자들의 주의가 요구된다. 개인정보 유출, 악성코드 유포 등 사이버범죄 우려도 커지고 있기 때문이다. 7일 경찰청에 따르면 지난달 24일 포켓몬 고 한국 서비스가 개시된 이후 게임 정보 공유, 위성위치확인시스템(GPS) 조작 등 게임 진행을 도와주는 ‘보조 앱(애플리케이션)’도 덩달아 관심을 모으고 있다. 경찰은 “이들 앱 가운데는 불필요하게 많은 개인정보를 요구하는 사례가 있어 불법 유통 등으로 악용될 우려가 있다”면서 “해당 앱의 목적·기능과 관계없이 수집된 개인정보는 불법 유통 등으로 악용될 수 있으니 개인정보 수집에 동의할 때 주의해야 한다”고 전했다. 포켓몬 고 열풍을 틈탄 악성코드 유포나 사기, 해킹 등도 우려된다. 경찰에 따르면 포켓몬 고를 PC에서 실행시킬 수 있게 해 별도 조작 없이 포켓몬을 자동 사냥해주는 ‘오토봇’ 프로그램에서 사용자의 구글 계정 암호를 평문으로 수집하는 기능이 발견됐다. 네이버 카페 ‘중고나라’ 등에는 포켓몬 고 계정이나 희귀한 포켓몬, 오토봇 프로그램 등을 판매한다는 글이 속속 올라오는 상황이다. 아이템 수집이나 레벨업을 대신해주겠다며 돈을 요구하기도 한다. 경찰은 이런 게시물이 사기로 이어질 우려가 크고, 검증되지 않은 오토봇 프로그램 등에는 악성코드가 탑재됐을 가능성이 있다며 주의를 당부했다. 온라인뉴스부 iseoul@seoul.co.kr

온라인에서 개인정보가 유출됐거나 해킹과 불법 스팸 등으로 피해를 입었을 때 도움을 요청할 수 있는 곳이 있다. 바로 한국인터넷진흥원(KISA)의 ‘118 사이버민원센터’이다. ‘118’로 전화만 걸면 된다. 민원 내용은 스팸 신고부터 PC 악성코드 감염 치료까지 다양하다. ‘사이버 사기’가 점차 진화하고, 정책이 바뀜에 따라 민원 내용도 달라지고 있다. 2014년에는 개정된 개인정보보호법의 영향으로 주민등록번호 수집을 제한하는 민원이 가장 많았지만, 2015년에는 주민등록번호 대용으로 사용되는 ‘아이핀’ 발급·폐기 등에 대한 질문이 많았다. 지난해는 보이스 피싱 등으로 노출된 개인정보를 어떻게 해야 할지를 묻는 질문이 가장 많았다. KISA가 최근 가장 많은 민원 3807건을 분석해 행정자치부가 해설서를 만들 수 있도록 도왔다. 이 밖에 KISA는 본인이 가입하고도 사용하지 않거나 본인 모르게 가입된 사이트를 찾아 주고 탈퇴 신청도 가능한 사이트인 ‘e프라이버시 클린서비스’(www.eprivacy.go.kr)를 운영하고 있다. 지난해 16만명이 이 서비스를 통해 회원 탈퇴를 요청했다. KISA 관계자는 “정부3.0 정책 방향에 따라 이용자 눈높이에 맞는 정책을 추진하고 개인정보에 대한 자기결정권을 강화할 수 있도록 서비스 품질을 개선하고 있다”고 밝혔다. 윤수경 기자 yoon@seoul.co.kr

보수단체로 가장… 관심 유도 美서버 거쳐 軍기밀 등 노린 듯 “현재 대한민국의 상황은 실로 커다란 우려를 자아내고 있다. 최순실 국정 농단으로 정국이 뒤집히고 박근혜 대통령의 하야를 노골적으로 외치고 있다. 변변한 말 한마디 없던 야당이 때를 만난 듯이 정부를 공격하고 비방하고 정권탈취를 시도하고 있다.(중략) 해법은 무엇인가? 바로 박 대통령을 지키는 일이다.”누가 보더라도 박 대통령 탄핵 반대를 외치는 보수시민단체가 작성했을 법한 내용이다. 그러나 이 글을 담은 이메일을 작성한 주체는 놀랍게도 북한인 것으로 경찰 수사 결과 드러났다. 친정부적이고 강한 보수 색채의 주장으로 우리나라 정부 및 통일연구원 관계자들의 관심을 끌어 해킹 악성코드를 심으려는 시도로 풀이된다. 남한 정부를 비방하며 남남 갈등을 조장하던 그간의 기조와 정반대의 형태다. 북한의 해킹 수단이 빠르게 진화하고 있는 셈이다. 경찰청은 지난해 11월 악성코드에 감염된 ‘우려되는 대한민국.hwp’ 파일을 유포한 이메일의 인터넷 프로토콜(IP)을 추적한 결과 평양 류경동에서 발송된 것을 확인했다고 25일 밝혔다. 류경동은 조선 체신성, 중국 랴오닝(遼寧)성과 함께 북한의 대표적인 사이버테러 진원지다. 메일에는 ‘모든 종북파들, 야당파들이 나라의 모든 공권력을 틀어쥔다고 생각해 보라. 그들은 김정은을 대통령직에 모셔올지도 모른다’, ‘아직 특검도 끝나지 않고 여론으로만 문제가 불거진 상황에서 어제 박원순 서울시장의 인터뷰를 보니 더욱 기가 막힌다’, ‘북한에 더이상 기회를 줄 수 없음을 말하고 싶다’ 등의 내용이 포함됐다. 경찰은 북측이 사회 갈등을 부추기려는 목적보다, 사회적 관심이 큰 주제를 실어 메일을 열도록 해 악성코드를 확산시키려 했던 것으로 봤다. 쉽게 말해 스스로를 비판하면서까지 해킹 툴을 확산하려 했다는 의미다. 이달 초에 북측이 유포했던 ‘2017년 북한 신년사 분석.hwp’의 경우에는 통일부가 지난 1일 실제 배포한 보도자료에 북측이 악성코드를 심었던 것으로 밝혀졌다. 가상 단체인 ‘통일연구원 산하 북한연구학회’ 명의로 온 메일에 첨부된 보도자료를 열면 자동으로 컴퓨터에 악성코드가 설치돼 정보들을 유출한다. 이번 메일들은 국방부 관계자 3명, 외교부 관계자 1명, 통일연구원을 비롯한 북한·국방·안보 관련 연구기관 관계자, 북한 관련 민간단체 관계자 등 총 40명에게 발송됐다. 하지만 실제 악성코드에 감염된 건은 없었다. 경찰은 북한이 군사·외교 기밀 및 탈북자 정보 등을 빼내려 한 것으로 봤다. 이번 사건과 별도로 경찰은 중국 랴오닝성 IP를 쓰는 북한 해커 조직이 2012년 5월부터 지난해 말까지 우리나라 정부 기관, 유엔, 포털사이트 보안팀을 사칭한 이메일 계정 58개로 정부기관, 언론사 직원 등 785명에게 악성 메일을 보낸 사실도 확인했다. 경찰은 발송자가 분명치 않은 이메일의 첨부 파일을 실행할 때 주의를 당부했다. 강신 기자 xin@seoul.co.kr

블로그의 초상권 침해를 주장하며 보낸 첨부파일을 실행하면 감염시키는 피싱 공격이 발생해 주의가 요구되고 있다. PC 및 모바일 백신 ‘알약’을 서비스하는 이스트시큐리티는 지난 16일 새벽부터 국내 유명 블로그 운영자들을 대상으로 한 피싱 공격이 발생하고 있다고 밝혔다. 시큐리티대응센터에 따르면 이번 공격은 국내 유명 포털사이트 블로그 운영자들에게 “게시글에 나와 가족들의 사진이 동의 없이 게재됐다”면서 수정 조치를 요구하며 보낸 이메일을 통해 이뤄졌다. 해당 메일에는 ‘문제가 된 사진’이라는 이름의 압축파일이 첨부돼 있다. 이 압축파일 안의 ‘사진1.exe’ 파일을 실행하면 ‘키로깅(Keylogging)’ 악성코드가 설치된다. 이 악성코드는 사용자가 PC에 입력하는 모든 내용을 가로채 해커에게 넘긴다. 이스트시큐리티 김준섭 부사장은 “이번 피싱은 실제로 블로거들이 저지르는 실수를 악용한 사회공학적 공격 기법의 하나”라며 “피해 예방을 위해서는 모르는 사용자가 보낸 메일과 첨부 파일은 열어보지 않는 게 좋다”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr