"해커들, 미국 프로그램 훔쳐 사용한 듯"

단돈 10달러로 확산 막은 영국 청년
도메인 이용한 '킬 스위치' 만들어 "아직 안끝났다…변종 가능성" 경고
랜섬웨어 공격을 받은 독일 동부 작센주 켐니츠시의 한 기차역 전광판에 12일(현지시간) 컴퓨터 오류 경고가 떠 있다. AP연합뉴스

랜섬웨어 공격을 받은 독일 동부 작센주 켐니츠시의 한 기차역 전광판에 12일(현지시간) 컴퓨터 오류 경고가 떠 있다. AP연합뉴스

세계 100여개국을 강타한 이번 대규모 랜섬웨어 공격은 미국 국가안보국(NSA)의 해킹 프로그램이 유출되면서 발생한 사건이라는 분석이 나오고 있다.

14일 외신들에 따르면 영국 러시아 등지에 큰 피해를 준 워너크라이(WannaCry) 랜섬웨어는 NSA가 첩보로 활용하던 해킹 툴에서 비롯된 것으로 추정된다. NSA는 마이크로소프트(MS) 윈도 운영체제(OS)의 파일 공유 취약점을 이용해 개발한 ‘해킹 툴’이 최근 유출된 사실을 알고 MS에 통보했다. 이에 MS는 즉각 보안 패치를 제공했지만 업데이트를 하지 않은 이용자가 많아 랜섬웨어가 빠르게 확산된 것으로 알려졌다.

보안 전문가인 영국의 한 청년은 이번 랜섬웨어가 특정 도메인(인터넷 주소)에 접속을 시도한다는 사실을 우연히 발견해 확산을 막는 데 큰 도움을 줬다. 영국의 온라인 보안 회사 크립토스로그에 근무하는 22세 청년은 “분석을 통해 공격에 사용된 악성 소프트웨어 샘플을 발견했다”며 “이 악성 소프트웨어가 등록되지 않은 특정 도메인과 연결돼 있다는 사실을 알게 됐다”고 설명했다. 그는 이후 랜섬웨어가 어떻게 확산되는지 확인하기 위해 이 도메인을 사들인 뒤 등록했다.

도메인을 등록하는 데 들인 돈은 불과 10.69달러(약 1만2000원)였지만 그가 얻은 성과는 값을 매길 수 없을 정도로 컸다. 워너크라이 랜섬웨어가 이 도메인이 활성화돼 있지 않으면 확산을 계속하고, 이 도메인이 활성화돼 있으면 스스로 전파를 중단하는 것을 발견했기 때문이다. 도메인이 랜섬웨어 확산을 중단하는 일종의 ‘킬 스위치’로 작동한 셈이다.

보안업계와 언론은 그를 ‘우연한 영웅’이라고 부르며 칭송했다. 하지만 이 청년은 영국 가디언과의 인터뷰에서 “아직 상황이 종료되지 않았다”고 경고했다. 그는 “공격집단이 우리가 어떻게 랜섬웨어 확산을 막았는지 알아차리고 코드를 바꿔 다시 공격을 시작할 것”이라며 “킬 스위치를 없앤 변종을 새로 만들어 유포할 가능성도 있다”고 말했다.

안정락 기자 jran@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지