최근 수정 시각 : 2024-11-18 04:56:17

워너크라이

WannaCry에서 넘어옴

주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

1. 개요2. 특징
2.1. 전파 경로2.2. 공격 대상
3. 피해 사례
3.1. 주요 국외 사례3.2. 대한민국 사례
4. 대응 방법5. 복호화 툴6. 배후?7. 주도자 발각8. 여담9. 관련 문서

1. 개요

파일:external/www.welivesecurity.com/wana-cry-encrypted.jpg
워너크라이 (Wanna Cry)
Microsoft Windows를 사용하는 컴퓨터를 대상으로 하는 랜섬웨어. Wannacrypt라고도 불린다. 2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 많은 컴퓨터에서 심각한 피해가 발생하였다. 감염되면 컴퓨터 내의 파일들이 암호화되어 버리며, 파일 몸값으로 비트코인 $300[1]를 요구하는 메시지 창이 화면에 뜬다.

이름 뒤의 Cry는 Crypt를 줄인 것이기도 하지만 '울고 싶다'를 뜻하기 위한 것이기도 한 중의적인 표현이다.

2. 특징

파일:WannaWallpaper-DevHackers.png
이런, 귀하의 중요한 파일들이 암호화되었습니다.
이 텍스트가 보이지만 "Wana Decrypt0r"라는 이름의 창을 보지 못하신 경우, 백신 프로그램 혹은 귀하가 복호화 프로그램을 삭제했을 가능성이 있습니다.
워너크라이는 감염되면 사용자의 파일을 암호화한 다음에 바탕화면을 위의 이미지로 바꾼다. 위의 파일은 백신이나 기타의 이유로 아래의 창을 여는 프로그램이 삭제되었을 때 해당 프로그램을 복구하라는 의미로, 변종에 따라서는 프로그램이 열려도 이 파일이 배경화면으로 뜬다.

파일:external/cdn.securelist.com/wannacry_05.png
제 컴퓨터에 무슨 일이 일어난 건가요?
당신의 중요한 파일들이 암호화되었습니다.
암호화로 인해 대부분의 문서, 사진, 동영상, 데이터베이스 등에 더 이상 접근할 수 없게 되었습니다. 파일을 복구할 방법을 찾으셔도 소용 없으니 시간을 낭비하지 마십시오. 저희 복구 서비스를 제외하고 암호화된 파일을 복구하는 방법은 없습니다.

파일을 복구할 수는 있는 건가요?
물론입니다. 저희는 암호화된 모든 파일을 쉽고 안전하게 복구할 것을 장담합니다. 하지만 당신에게 주어진 시간은 많지 않습니다.
'Decrypt' 버튼을 눌러 일부의 파일을 무료로 복호화해 볼 수 있습니다.
하지만 모든 파일을 복호화하고 싶으신 경우, 결제를 하셔야 합니다.
3일 안에 송금하지 않으신 경우, 송금하셔야 할 금액이 2배가 될 것입니다.
또한, 7일 내에 송금하지 않으신 경우엔, 영원히 파일을 복구하지 못하게 될 것입니다.
6개월 동안 대금을 지불하지 못하신 가난한 분들에게는 무료 복호화 이벤트가 있을 예정입니다.

어떻게 결제하면 되나요?
결제는 비트코인으로만 받고 있습니다. 비트코인에 대해서는 'About Bitcoin'를 클릭하시면 자세히 아실 수 있습니다.
현재 비트코인의 시세를 확인하신 후에 비트코인으로 환전해 주십시오. 자세한 사항은 'How to buy bitcoins'를 클릭하여 확인해 주십시오.
비트코인으로 환전하신 뒤에는 이 창에 나타나 있는 비트코인 계좌로 정확한 금액을 송금하여 주십시오.
송금이 완료되었으면 'Check Payment'를 클릭하여 주십시오. GMT+0 시각으로 월요일~금요일 오전 9시~오전 11시[2]에 Check Payment를 클릭하시는 것이 좋습니다.
입금이 확인된 즉시 파일 복호화가 가능합니다.

문의사항
도움이 필요하신 경우 'Contact Us'를 클릭하여 메세지를 보내실 수 있습니다.

송금 후 입금이 확인될 때 까지 백신을 종료하고, 이 복호화 프로그램을 삭제하지 않는 것을 강력히 권장합니다. 백신이 업데이트되어 이 프로그램이 삭제되면, 대금을 송금하시더라도 파일을 더 이상 복구할 수 없게 됩니다.
Wana Decrypt0r 프로그램이 처음 실행시키거나 실행되는 시점에서 300달러(한화 약 34만 원) 상당의 비트코인을 요구했다가 3일이 지나면 두 배인 600달러(한화 약 68만 원)로 늘어나며, 7일이 지나면 아예 파일 복구를 불가능하게 만든다.

비트코인을 지불하면 실제로 파일들을 풀어주는지는 변종에 따라서 다르다. 워너크라이는 2017년 5월 현재 280개의 변종이 발견되었으며, 워너크라이 2.0의 경우도 수백 개의 변종이 존재하기 때문이다. 일부 경우에는 요구하는 금액을 입금했는데도 파일들의 암호화를 풀어주지 않고 반응 없이 돈만 가로채 갔다고 한다.

보안업체의 분석 결과대로라면, 워너크라이는 해커가 수동으로 복호화 키를 전송하는 방식이지만, 어떤 컴퓨터가 돈을 지불했는지 식별하는 부분이 없기 때문에 복구 가능성이 희박하다고 한다. # 즉, 실제로 몸값을 지불해도 자동으로 해독되지 않는다고 한다.

파일:WannaCry.KOR-DevHackers.png
사용자 PC의 시스템 언어에 맞게 메시지를 띄우는 버전도 있다.

한편 우리는 가난해서 6개월 안에 돈을 지불하지 못한 사람들을 위한 무료 이벤트를 열 것입니다. 라는 아이러니한 문구가 있다. 이 내용은 오히려 랜섬웨어를 통해서 사용자의 파일을 실제로 암호화해서 허풍치는 것이 아님을 보여주면서 돈을 뜯어내려는 범인들의 목적하고 대치되기 때문이다. 영어 원문에서는 We will have free events for users who are so poor that they couldn't pay in 6 months. 라고 되어 있다. 물론 6개월을 기다려도 이벤트 같은 건 없다.

워너크라이의 시스템 장악 방식과 파일 암호화 매커니즘
워너크라이는 부팅 시에 자기 자신의 자동 실행을 위해서 레지스트리를 수정하는데 사용자 계정 컨트롤를 회피하여 권한 상승을 통해 관리자 권한을 획득하는 기법을 사용하고 있다. SMB 취약점의 경우에도 원격 조종을 통한 권한 상승이 더 큰 문제를 야기했다. 거기에 UAC를 끄거나 UAC가 없는 Windows XP에서는 속수무책일 수밖에 없다.

참고로 가상머신에서 이 랜섬웨어를 재현하고자 의도적으로 감염시켰다가 결국 컴퓨터 본체로 번지는 사례가 있었다. dannoct1라는 유튜버는 가상머신의 가상 랜카드를 아예 작동불능하게 만들고 나서 시연했다. 그래야 혹여나 퍼지지 않기 때문.

상용 가상머신의 취약점은 정보가 자세히 공개된 것도 많지 않고[3] 지금까지 실제로 악성코드가 사용한 사례는 거의 없다. 그래서 위의 사례가 가상 머신의 취약점으로 VM escape를 한 것은 아니다. 그러나 이번 랜섬웨어의 경우 특이하게도 별도의 익스플로잇 킷 없이 자체적으로 감염을 할 수 있으며, 이 때 Windows의 SMB 프로토콜 처리상의 취약점을 이용하기 때문에 경우에 따라 네트워크를 통해 Guest 에서 Host 로 감염이 될 수 있다. 물론 Host의 Windows도 업데이트가 안 되어 이 취약점이 통할 경우에 해당된다. 따라서 무턱대고 VM에서 실행하지는 않는 것이 좋다.

2.1. 전파 경로

전파에 있어서 이 랜섬웨어의 가장 큰 특징은 웜(악성코드) 바이러스와 유사하게 자기 자신을 복제해 네트워크에 흘려보내는 것이 가능하며, 어찌되었든 브라우저를 열어 해킹된 광고 서버나 해킹된 사이트 자체에 접속을 시도해야 감염이 될 수 있었던 드라이브 바이 다운로드(drive-by download) 방식이나 이메일 첨부를 통한 고전적인 방식만을 사용하던 기존 랜섬웨어들과 달리 윈도우 OS의 취약점을 이용하기 때문에 인터넷에 연결되어 있기만 해도 감염이 될 가능성이 있었다.

정확히는 드라이브 바이 다운로드 방식과 이메일 전파 방식이 같이 사용하지만, MS 윈도우즈의 네트워크 파일 공유 프로토콜인 SMB의 보안 취약점을 이용해서도 전파될 수 있었다. 워너크라이 랜섬웨어의 SMB 취약점의 확인 및 진입 방법 MS는 이 취약점을 보완한 패치를 2017년 3월 중순부터 제공[4]했지만 업데이트를 하지 않거나 업무용 프로그램의 호환성 등을 이유로 백신, 방화벽 윈도우 업데이트를 꺼 놓은 업무용 PC와 보안 패치가 끊긴 Windows XP가 설치된 PC들이 주로 피해를 봤다.

한편 시만텍과 트랜드마이크로에 의하면 SMB 취약점만을 이용하는 것이 아니라 앞서 언급된 기본적인 전파 경로인 드라이브 바이 다운로드 방식과 이메일 유포 방식 역시 병행해서 사용한다고 한다. 실제로도 워너크라이의 초기 확산은 SMB 취약점보다 스팸 메일 전파에 크게 의존했다. 따라서 업데이트나 방화벽 세팅을 통해 SMB 취약점을 틀어막았다고 해서 워너크라이에 감염되지 않을 것이라고 확신할 수는 없다. 그러니까 이상한 이메일의 첨부파일을 함부로 받지 말자.

한국 통신사 3사의 경우에는 SMB에 사용되는 포트들을 원천봉쇄하고 있기 때문에 외부망을 통한 SMB 공격은 불가능하고 공유기나 허브 안의 내부망에서 한 대라도 감염된 PC가 나올 경우에는 SMB 공격을 철저하게 방어해야 한다.

파일:external/1.bp.blogspot.com/wannacry-2-ransomware-attack.png

영국의 한 보안관계자[5]가 워너크라이 전파를 무력화해서 감염자의 수는 줄어들고 있었으나 확산을 잠시 멈춘 것으로, 다음 날에 워너크라이 2.0 버전이 등장했고 킬 스위치가 없는 첫 변종이다.[6] 5월 14일 이후로는 2.0 버전이 기승을 부리고 있다.

2.2. 공격 대상

위에서도 언급했듯이 워너크라이는 Microsoft Windows에 대한 SMB 원격 임의코드 실행 취약점( MS17-010), 드라이브 바이 다운로드(Drive-by Downloads), 이메일 유포를 통해서 전파되고 있다. 이 중에서 SMB 공격을 받을 수 있는 OS는 다음과 같다.
Microsoft는 이례적으로 지원 중지된 Windows XP, Windows Server 2003, Windows 8에 대한 보안 패치를 내 놓았다. 이외 OS에서는 이미 해당 보안 업데이트를 2017년 3월에 배포했다. Windows 10/ Windows Server 2016 Version 1703 이상 버전에서는 해당 취약점에 대한 OS 내부적인 수정이 이미 이루어졌다.

3. 피해 사례

파일:external/www.dogdrip.net/54f85ffdb871a252d9c69757da9e0ca8.png
국가별 피해 건수 TOP 20
1. 러시아 2. 우크라이나 3. 인도 4. 대만 5. 타지키스탄
6. 카자흐스탄 7. 룩셈부르크 8. 중국 9. 루마니아 10. 베트남
11. 이탈리아 12. 라트비아 13. 브라질 14. 홍콩 15. 이란
16. 스페인 17. 우즈베키스탄 18. 아제르바이잔 19. 이집트 20. 탄자니아
위 그래프는 2017년 5월에 카스퍼스키가 공개한 워너크라이 최다 공격 20개국을 나타낸다. 워너크라이는 전세계 150여개국 20만대 이상의 컴퓨터 #에서 감염이 확인되었다.

3.1. 주요 국외 사례

  • 영국: 스페인과 더불어 1차 피해국. 특히 의료업계에서 피해를 입었다. 잉글랜드 스코틀랜드의 국민보건서비스(NHS) 산하에 있는 병원[7] 40여개소가 피해를 받아서 예약이 취소되거나 진료에 차질을 빚었다고 한다.
  • 일본: 5월 중순까지 600곳 이상 2000대 이상의 컴퓨터에 감염이 된 것으로 관측되었다.

    대표적으로 JR 동일본, 히타치, 이온그룹, 카와사키시 상하수도국, 오사카시청, 이와테현청 등이 있으며, 일본 거대 철도회사인 JR 히가시니혼의 경우 센다이역에 있는 열차 지연 안내판의 감염을 시작으로 JR 히가시니혼이 운영하는 전국 주요 역으로 전염이 되었다. 결국 요요기에 있는 본사 컴퓨터 1대를 시작으로 여러 컴퓨터에 랜섬웨어에 감염되기에 이르렀으며 JR 동일본을 넘어 JR그룹 전사가 사용하는 마르스(시스템)까지 감염되는 사태로 번지게 되었다. 다행히 신속한 대응으로 2차 피해를 막았으나, 마르스 시스템 감염 및 다운으로 업무가 마비되는 등 일부 역 창구에서 일시적으로 신칸센등의 열차 예약 시스템이 중단된 적이 있었으며, 현재는 대부분 정상화 되었다. 감염 기간 동안의 열차 운행에도 지장은 없었다고 한다. 현재 JR 동일본 히타치와 더불어 일본에서 랜섬웨어로 인한 피해가 제일 큰 곳이라고 한다.

    일본의 대형 할인매장인 '이온 몰'에서도 감염 되었으며, 전국적으로 증세를 보이고 있다고 한다. 이 외에 카와사키 수도국 등 기타 다른 기업에서도 속속 피해가 속출중이다. 사이버 보안 분야 민간 대응기구인 일본 컴퓨터긴급대응팀 협력센터(JPCERT/CC)에선 전국 600개소의 2000여개 단말기가 '워너크라이'에 감염됐을 가능성이 있는 것으로 보고 있다고 한다. 특히 업무가 시작되는 월요일부터 기관 곳곳에서 전산망 장애가 잇따라 일어나고 있다고 한다. 구체적으로 영국에 위치한 닛산공장이 직격탄을 맞아 전산망 장애로 인해 조업에 차질을 빚고 히타치 제작소는 국내*해외 지사에서 까지 이메일 송수신이 지연된다거나 첨부파일 열람이 불가능하다는 등의 전산망 장애 관련 보고가 속출해 복구작업이 진행중이다. 아사히 신문 보도에 의하면 '''도쿄도 내 일부 기업에서도 워너크라이 감염으로 의심되는 PC 장애 신고가 잇따르고 있다고 한다. # 오사카도 시청 인터넷 홈페이지 접속 장애가 계속되어 오사카도 공격을 받은 게 아니냐는 추측도 나오는 중.

    게다가 워너크라이 사태가 거의 끝난 뒤에도 피해를 입었다. 6월 21일, 혼다 공장 컴퓨터가 워너크라이에 감염돼 자동차 생산에 차질을 빚었다. #
  • 러시아: 현재까지 알려진 피해국 중 가장 큰 스케일의 피해를 받은 상황. 정부기관인 내무부 컴퓨터까지 감염되었을 정도다. 행정부 컴퓨터는 간신히 화를 면했지만… 이외에도 여러 공공기관에서 피해사례가 보고되었다. 정부기관 쪽에서는 보안 시스템이 미비했고 민간 부문에서는 사용중인 윈도우의 상당부분이 정품이 아닌 불법복제판이기 때문에 피해가 더욱 컸다고 한다.

3.2. 대한민국 사례

파일:external/image.fmkorea.com/d0ebe42ab3ff16dcea162ea921fc2afa.jpg
5월 14일 한국에서 4,000건이 넘는 워너크라이 계열 랜섬웨어가 탐지되었다. KISA의 발표에 의하면 5월 15일 기준 실제로 랜섬웨어에 감염된 사례는 위에 나오는 CGV #[9]을 포함 정식으로 피해 신고를 한 것은 국내 기업 9곳이며, 감염 의심 건수는 13건이라고 한다. ## 또한 아산시 버스 정류장 단말기 1대에도 감염이 된 것으로 확인되었다.

국내 신문 기사에는 병원이나 관공서만 공격하는 것처럼 기사가 나와 있는 경우가 많은데, 그렇지 않다. 병원이나 관공서에서 MS 지원이 중단된 XP 등의 구 버전을 아직 쓰는 경우가 많기 때문에, 그리고 업무 프로그램 호환 문제로 업데이트를 잘 안 하기 때문에 피해가 많다. 마이크로소프트에서 지원하고 있는 OS로 업데이트를 하고 지원을 하고 있는 OS의 경우 보안 업데이트를 귀찮더라도 꼭 해야 한다. 결국 컴퓨터에 대한 지식이 없어서 부주의하기 때문에 걸리는 경우가 태반이기 때문이다.

4. 대응 방법

다음 업데이트 중에서 딱 하나만 설치하더라도 MS17-010 취약점을 이용한 SMB 공격에서만큼은 안전하다.
  • KB4012598 (Windows XP 서비스 팩 3, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 8 개별 업데이트)
  • KB4012212 (Windows 7 서비스 팩 1, Windows Server 2008 R2 개별 업데이트)
  • KB4012214 (Windows Embedded 8, Windows Server 2012 개별 업데이트)
  • KB4012217 (Windows Embedded 8, Windows Server 2012 2017년 3월 품질 롤업 업데이트)
  • KB4012213 (Windows 8.1, Windows Server 2012 R2 개별 업데이트)
  • KB4012216 (Windows 8.1, Windows Server 2012 R2 2017년 3월 품질 롤업 업데이트)
  • KB4012606 ( Windows 10 RTM 개별 업데이트)
  • KB4013198 ( Windows 10 버전 1511 개별 업데이트)
  • KB4013429 ( Windows 10 버전 1607, Windows Server 2016 RTM 개별 업데이트)
  • KB4012215 (Windows 7 서비스 팩 1, Windows Server 2008 R2, Windows 10 버전 1607, Windows Server 2016 RTM용 2017년 3월 품질 롤업 업데이트)
  • 2017년 3월 (KB4012217/KB4012216/KB4012215) 이후에 배포된 최신 월별 품질 롤업 업데이트[10]
  • Windows 10 버전 1703이나 그 이후 버전을 설치한다

업데이트가 꼬이는 것이 싫다면 월별 품질 롤업 업데이트 하나만 설치하면 된다. Windows Update에서 위의 업데이트들이 뜨지 않고 수동으로 적용할 경우에 업데이트를 컴퓨터에 적용할 수 없습니다라고 나온다면 이미 업데이트가 적용된 상태다.

워너크라이의 전파 경로가 SMB에 대한 취약점에 한정되지 않고 이메일과 드라이브 바이 다운로드 공격까지 활용하기 때문에 보안 업데이트를 했다고 해서 워너크라이에 안 걸린다는 보장은 할 수 없다. 최대한 조심해야 한다.

KISA에서 대국민 행동지침을 발표하였다. SMB 취약점을 이용하고 있으므로 해당 프로토콜이 사용하는 TCP 및 UDP 135번 ~ 139번, 445번 포트를 윈도우 방화벽에서 막아버리는 임시조치이다. 유튜버 유재일 SMB 기능을 아예 꺼버리는 방법을 소개했는데 어쨌거나 취약점을 봉쇄한다는 점에서는 원리는 동일. 두 방법 다 일단 확산을 방지하는 효과는 있으리라 생각되나 근본적인 해결책은 아니므로 반드시 업데이트도 병행하기 바란다. 5월 당시엔 Kablesoft라는 팀에서 워너크라이(워너크립터) 랜섬웨어를 방지하는 프로그램을 순수 코딩하여 배포했었지만, 9월 달에 사라졌다.

그러나 위의 방법을 포함하여 인터넷에서 볼 수 있는 대처법은 거의 윈도우 8~10의 비교적 최신버전 기준으로만 설명되어 있어서 이보다 이전 체제의 사람들이 방법을 찾기엔 다소 애로사항이 있다. 예를 들면 위의 방법은 방화벽으로 포트 봉쇄의 경우 Windows Vista 이상에서만, SMB 1.0/CIFS 사용 안함의 경우는 Windows 8 이상에서만 가능한 방법이라 Windows XP 사용자의 경우에는 상당히 애매한 상황이다. Windows XP/Windows Server 2003의 경우 KISA의 보안공지에도 RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경이라고만 되어있어 컴퓨터에 능숙하지 못한 사용자의 경우 대단히 애매한데, 여기링크 삭제됨에서처럼
  • 네트워크 설정인터넷 프로토콜 (TCP/IP) → 고급WINS 탭으로 이동
  • TCP/IP에서 NetBIOS 사용 안 함을 체크
  • Microsoft 네트워크 용 파일 및 프린터 공유란을 체크 해제
  • 서비스TCP/IP NetBIOS Helper 서비스를 사용 안 함으로 변경한 후 중지

하면 당장에 SMB 프로토콜 사용은 중단이 가능하다.[11] 제어판Windows 방화벽에서 파일 및 프린터 공유 항목에 체크가 꺼졌는지도 확인한다.

Windows XP Professional 기준이지만, TCP 포트 139, 445를 차단하며, 원격 액세스를 막는 설정법도 존재한다.

현재 이 Wanncry 계열 랜섬웨어는 대부분의 백신에서 진단된다고 알려져 있으며, 차단이 확인된 백신으로는 비트디펜더, 어베스트, 앱체크, V3, 알약, 카스퍼스키, 노턴 시큐리티, 바이로봇, 닥터웹, 소포스, 에프시큐어, 존알람, 트렌드마이크로, 라바소프트, 엠시소프트, 불가드 등이 있다.
예방 조치툴도 있다(알약 블로그).

워너크라이 그 자체도 악질이지만 워너크라이로 인한 피해가 커진 이유는 보안 업데이트를 게을리하고 방화벽을 꺼놓을 정도로 보안에 무지한 사람들이 원인인 것이다. 특히 이번 공격은 보안 업데이트가 공개되지 않은 상태의 최신 취약점을 노린 제로 데이 공격도 아니고 이미 2017년 3월에 배포된 업데이트로 해결된 취약점을 이용하여 치명적인 피해를 입혔다. 워너크라이는 이러한 보안 불감증 철저히 이용하였다. 애시당초 윈도우 업데이트를 정기적으로 충실히 하고 방화벽의 설정을 잘 해놓은 경우에는 감염 될 가능성이 현저히 낮아질 수밖에 없었다. 수상한 이메일에 있는 첨부파일을 열어보거나 악성코드가 감염된 웹사이트나 광고 배너에 노출되지만 않는다면…

이나 리눅스는 공격에서 안전한 것으로 알려져 있다. 물론 Wine 같은 윈도우 호환 레이어를 사용하는 가정하에는 그냥 속절없이 털린다. 참고 그러나 Wine에서 작동하는 이유는 랜섬웨어의 구조가 단순해서 작동되는 것이다.[12] 모든 윈도우 프로그램이 돌아가기 위해선 수동으로 Wine을 통해 실행해야 하므로 수상한 파일을 열지 않으면 그만이다.

5. 복호화 툴

랜섬웨어 유포 시작 후 얼마 지나지 않아 워너키(Wannakey)라는 복호화 툴이 등장했다.

워너크라이 랜섬웨어는 윈도우에서 제공하는 암호화 툴을 이용해 암호화를 하는데 윈도우에는 이 암호화 툴에 취약점이 있다. 암호화 키를 메모리에 남겨두는 것인데, 이를 이용해 파일을 복구하기 때문에 컴퓨터를 껐다가 켜면 복호화가 불가능하다.[13] 하지만 이 복호화 툴은 윈도우 XP에서만 작동한다는 단점이 있었다.

그래서 프랑스 연구원인 방자맹 델피(Benjamin Delpy)가 윈도우 7까지 지원하는 새로운 복호화 툴을 내놓았다. 워너키위(WanaKiwi)라는 툴이며 깃허브 페이지에서 다운로드 받을 수 있다. 관련 기사

윈도우 10에선 아직까지 마땅한 해결책이 없다.[14]

6. 배후?

워너크라이 유포의 배후에 MS-13 갱단이 개입해 있다는 소문이 프로그래머들 사이에 퍼져 있어서 신원이 노출되어 있는 유명 화이트 해커들이 몸을 사리게 만들고 있다고 한다. 상술된 영국 보안회사의 프로그래머도 보복이 두려워서 큰 공적을 세웠음에도 불구하고 한동안 신원노출을 꺼렸다.

이번 사태를 추적하는 몇몇 보안업체들은 소니 픽처스 해킹사태와 유사점이 있다고 지적하면서 정황상 북한이 배후에 있을 가능성을 제기하거나 가능성이 높다고 발표했다. # 하지만 워너 크라이는 중국에 엄청난 피해[15]를 안겨준 상황이라 북한이 진짜 배후일 경우 중요한 동맹국에 가장 큰 피해를 입혀버렸다는 아이러니한 결론이 나오게 된다. 이번 사태에서 중국은 러시아에 이어 두번째로 가장 많은 피해를 입은 국가이기 때문이다. 결정적으로 한국어 메세지가 너무 엉성하다. 아무리 남북한이 그동안 크게 달라졌다지만, 이건 높임말/반말이 뒤죽박죽 섞인, 기본조차도 제대로 지켜지지 않은 번역기 돌린 티가 팍팍 나는 문장이다. 다만 이 때문에 북한이 범인이 아니라고 할 수는 없다. 최초 전파라면 몰라도 그 이후에 바이러스가 퍼져나가는 경로는 제작자가 조절할 수 없는 것이기 때문. 그렇다고 아예 "특정 국가의 컴퓨터임이 감지되면 감염시키지 않음"같은 코드를 넣어버리면 그건 오히려 분석가들에게 실마리를 더 던져주는 꼴이 될 것이다.(...)

이에 대해 북한은 뭐 안 좋은 일이 일어나면 무조건 우리가 배후냐며 부정했으나, NSA 워너크라이 공격의 배후로 북한 정찰총국을 최종 지목하였다. 그리고 영국 정부와 미국 정부는 2017년 12월에 한번 더 배후로 북한을 지목했다. 좀 더 정확히 말하자면 북한의 해킹집단인 라자루스 그룹으로 지목되었다.[16] 그리고 2018년 9월 8일에 라자루스 그룹의 일원인 박진혁을 적색수배령으로 기소했다. # #

스팸테크라고 하는 해커 집단이 이번 일을 한 게 우리 멤버 중 하나라고 주장했다. # 그런데 이 집단에 Shadow Brokers가 참가하고 있거나, Shadow Brokers의 일원이었던 이가 이 집단에 참가하고 있다는 의혹이 있다. 이런 상황에서 Shadow Brokers가 6월에 Windows 10을 겨냥한 새로운 해킹툴과 북한의 미사일 정보도 공개한다고 예고하는 바람에 사람들에게 혼란을 줬다. 참고로 Shadow Brokers는 러시아의 해커로 추정된다. 만약 이 추정과, 스팸테크와 Shadow Brokers가 관련되어 있다는 의혹까지 사실로 드러나면 그야말로 자국민에 의해 당한 꼴.

한편, 미국의 보안회사 플래시포인트는 언어 분석 결과를 통해 워너크라이의 중국어 텍스트에 사용된 중국어에 중국 남부 지방의 방언이 섞였음을 근거로 워너크라이가 중국 남부 지방이나 홍콩, 대만, 싱가포르 출신 해커들이 만든 것일 가능성이 있다고 추론했다. # # 워너크라이의 중국어 텍스트에서 도움을 뜻하는 중국어 단어가 표준중국어 단어인 帮助가 아닌 남부 지방의 방언인 '방쭈(幇組)' 로 쓰였다거나, 주(week)를 뜻하는 단어로 표준중국어인 '싱치(星期)'가 아닌 중국 남부 지방의 방언이자, 기독교에서 유래된 표현인 '리바이(禮拜)' 가 사용되었다는 사실 등을 들었다. 단, 리바이는 중국 내 다른 지방 사람들이나 비기독교인들도 구어체로 많이 쓴다.

위의 있는 가설들을 모두 묶어서 사실은 북한이 주도하고 러시아 진영에서는 스팸테크와 Shadow Brokers가, 중남미 진영에서는 MS-13이, 그리고 중화권 진영에서는 중국 남부 해커 집단이 담당하여 세계 여러나라에 있는 해커 집단을 사주하여 벌인게 아니냐는 가설도 나오고 있다.

7. 주도자 발각

그러던 중, 2019년 북한의 해킹그룹 ‘ 라자루스’가 워너크라이를 주도한 혐의로 미 재무부에 의해 특별 제재 대상(SDN)으로 지정되었다. #

이들은 사이버 첩보와 정보 탈취, 현금 강탈, 파괴적인 멀웨어 활동 등을 통해 다른 나라 정부와 군, 금융, 언론 기관 등을 공격해왔으며, 워너크라이 공격은 이 중 하나에 불과했다고 밝혀졌다.

미국은 이들이 이미 미국과 유엔의 제재를 받고 있는 북한 정찰총국에 의해 통제되는 북한 정부의 공식 해킹팀이었다고 밝히고 이에 따라 특별 제재를 가했다고 밝혔다. 미국 정부는 현재까지 박진혁, 전창혁, 김일 등 3명의 북한 정찰총국 소속 해커를 기소했다.

8. 여담

  • MS 측은 정부가 자사 운영체제의 보안 취약점들을 쌓아둔다고 간접 비판했다. #
  • 워너크라이가 유행하기 전인 2017년 5월 12일 이전에 SMB 취약점을 보호한 백신 프로그램은 ESET, 카스퍼스키 뿐이다. #
  • 파일 헤더가 아닌 확장자로 구분한다. 여기를 참고해서, 목록에 없는 확장자가 있다면 암호화되지 않았으니 복구 및 백업을 시도해 보자. hwp는 있지만 alz, egg는 목록에 없다.[17]
  • 샘플을 분석해 보면 알지만, 해당 랜섬웨어는 이메일 유포와 드라이브 바이 다운로드와 더불어서, 방식으로도 네트워크에 전파된다. 해외 통신사의 경우에는 SMB 포트를 풀어놓기 때문에 피해가 심각했던 것이고, 국내 통신사의 경우에는 막아놓기 때문에 국내 피해 사례는 단 10여건 밖에 되지 않았다. 근데 내부망에서 한대라도 감염되면 SMB를 통해서 급속도로 퍼진다는 것. CGV도 그렇고 버스 안내 시스템도 그렇고… 이메일을 함부로 열어보는 직원들의 부주의한 실수로 사내망 내에 PC 한대가 감염되고 그 다음에 SMB를 통해서 좀비처럼 사내망 내에 다른 PC들을 감염시킨 것이다.
  • 이번 사태에 의한 한가지 좋은 영향은, 최신 버전 OS로 업데이트하는 것과 보안 업데이트를 성실하게 해두는 것이 얼마나 중요한지 일반인들도 알게 되었다는 것이다. 특히 한국은 새로운 윈도우가 출시되거나 인터넷 익스플로러의 새 버전이 출시되면 엄청나게 귀찮아하며 이를 무시하거나 아예 꼼수를 써서 우회해버리는 이들이 많고, 심지어 은행이나 공공기관이 앞장서서 사용자에게 "새 버전으로 업데이트하지 말아달라"고 요구하는 판이다. ActiveX의 보안 취약점을 지적하자 그 대안이랍시고 아예 실행파일(.exe)을 내려받아 실행하도록 하고 있다! 악성 해커에게 우리나라 인터넷은 그야말로 앞문 뒷문 다 열려있고 유리창엔 아예 잠금장치도 없는 집과도 같은 형국이다. 그런데 이번 사태를 통해 보안 취약점이 제거된 최신 버전 OS의 중요성이 널리 홍보되었고 출처가 불분명한 실행파일을 내려받아 실행한다는 것이 얼마나 위험한지 다들 알게 되었으니, 향후 개선을 기대할 수 있을 듯…?
  • 워너크라이에는 비트코인 계좌 3개가 하드코딩되어 있다. 몸값을 받기 위한 것인데, 비트코인의 월릿은 소유주는 알 수 없으나 거래내역은 누구나 볼 수 있는 특징이 있다. 이 월릿들을 모니터링 하는 트위터 봇이 생겼다. 이 봇에 따르면 한국 시간으로 2017년 6월 28일 약 오전 12시 기준으로 336건 총 51.94456837 BTC가 입금되었다고 한다( 미화 130,201.14달러, 한화 1억 4,894만 9,944원). 이 사태로 인해 비트코인의 나쁜 점이 다시금 수면 위로 부상하였는데, 추적이 어려운 비트코인 때문에 이러한 랜섬웨어 피해가 커졌다는 것이다.[18]
    흥미로운 것이라면 전세계적으로 문제를 일으킨 것에 비하자면 상대적으로 번 돈은 그리 많지 않다는 것이다. 애초에 요구 금액이 상당히 높기도 하고, 잘 알려진 만큼 사람들이 돈을 보내주길 꺼리게 된 것도 이유로 들 수 있을 듯 하다. 또한 워너크라이를 만든 쪽에서는 이만큼 널리 퍼질 것이라 예측 못했다고도 볼 수 있을 듯한데, 애초에 대량감염사태를 일으켰다면 소액의 금액을 요구해서 많은 사람들에게 조금씩 돈을 많이 받는 박리다매식으로 운용하는 게 더 이득이었을 테니 말이다.
  • 워너크라이가 기승을 부리는 타이밍에 월트 디즈니 픽처스가 랜섬웨어에 감염되어 미개봉 영화들의 DCP 배포본[19]이 모조리 유출되었다고 한다. 해당 해킹 집단에 의하면 비트코인을 주지않으면 유출된 미개봉 영화들을 모조리 인터넷에 공개하겠다고 협박하였다. 영화 정보는 공개되지 않았으나, 시기상 캐리비안의 해적: 죽은 자는 말이 없다 카 3: 새로운 도전으로 예상된다. 처음에는 5분만 공개하고 그 다음에는 20분씩 추가로 공개하는 식으로 협박했다고 한다. 한편, 월트 디즈니 픽쳐스는 비트코인을 지불하지 않고 FBI에 의뢰해서 지금도 수사 중에 있다고 한다. 워너크라이를 제작하고 유포한 집단이 아닌, 월트 디즈니 픽쳐스를 타겟으로 특수 제작한 랜섬웨어를 사용한 별개의 해킹 집단일 가능성이 높다. 워너크라이의 경우에는 묻지도 따지지도 않고 최대한 무식하게 많이 퍼뜨리는 것만이 목적이다. 워너크라이를 퍼뜨린 해킹 집단은 단순히 암호화 키만 알 수 있기 때문에 어떤 PC가 감염되었고 어떤 파일이 감염되었는지는 일일이 파악하기가 어렵고 그들에게는 중요한 정보가 아니기 때문이다.
  • 한국에서 랜섬웨어 피해는 몇 년전부터 있었지만 특별한 대책을 내놓지 않다가, 이번에 여러 기업들이 피해를 입고 나니 예방법을 공개하는 등 사람들의 시선은 좋지 않았다.[22] 다만 업데이트를 하라는 가장 기본적인 예방법조차 지키지 않는데 정부의 지침이 사전에 있었다 한들 지켜졌을지는 의문이다.

9. 관련 문서


[1] 한국 원화로 33만 5천원. [2] KST(GMT+9) 기준 오후 6시~오후 8시 [3] Pwn2Own이나 PwnFest 등의 컨테스트에서나 등장한다. 물론 여기선 규칙상 취약점 정보를 공개하지도 않는다.(일정 기간 후에 당사자가 공개할 수는 있다) [4] NSA가 2017년 1월에 이 취약점을 MS에 알려줬다. 그런데 이 사정이 좀...이 취약점을 이용해 NSA는 공격형 소스인 이터널블루를 개발했다. 그런데 2016년에 Shadow Brokers가 NSA를 해킹했고, 해킹당한 정보 중에 이터널블루가 있다는 걸 안 NSA가 MS에게 이 취약점을 알려준 것이다. 출처 [5] 이 관계자는 이 행동으로 영웅이 되는가 싶었으나, 미국에서 멀웨어 판매 혐의 등으로 고소 및 재판을 받고 있다. 워너크라이와는 별개로, 화이트햇으로 전향하기 이전에 해킹툴 제작에 가담한 전적이 있기 때문. 워너크라이 전파를 막은 공로와 이를 통해 보여준 도덕성이 참작되어 1년간의 보호관찰 처분을 받고 풀려났다. # [6] 다행히 2.0은 SMB 취약점을 사용하지 않으므로 전파력에 크게 한계가 있다. [7] 대부분 잉글랜드의 병원들이 피해를 입었고 스코틀랜드의 병원들은 소수가 피해를 입었다. 5월 중순 기준으로 웨일스 북아일랜드의 병원들은 피해를 입지 않았다. [8] 게다가 논문 등을 준비해야 하는 졸업시즌이 가까운지라 그 피해가 더 심했다. [9] 그 외에도 랜섬웨어 여파로 광고를 틀지 못하고 있다. [10] 해당 업데이트는 4월 및 5월 품질 롤업 업데이트에도 통합되어 있다. 그리고 6월에 나올 다음 품질 롤업 업데이트에도 포함될 것이다. [11] 여담이지만 이 포스팅은 2004년에 쓰여진 것이다. 말하자면 SMB 1.0 프로토콜에 취약성이 있다는 사실 자체는 10년도 더 전에 알려져있었다는 이야기. 사실 IT나 전산보안 쪽에 근무하던 사람들에게 SMB 프로토콜과 윈도우 파일공유 기능에 보안 상 취약하다는 것은 거의 2000년대 초부터 거의 상식으로 통했던 것으로 보인다. 보안의식이 높은 외국계 기업에서는 이미 당시부터 파일공유가 대부분 차단되어 있었다. 국내는 대기업에서도 업무편의를 이유로 2018년 현재도 달만 사용하고 있으니 문제지만… [12] 다양한 API를 떡칠 할 필요 없이 암호화랑 결제만 작동하면 그만이니. [13] 현재 유포되고 있는 복호화 툴은 100% 이 원리를 사용하여 복호화한다. [14] 진짜 간절하다면 윈도우의 강력한 호환성을 믿는 수 밖에 없다.(대표적으로 윈도우 10에서 돌리던 것을 윈도우 11에서도 돌릴 수 있고 반대도 마찬가지. 윈도우 XP에서 돌리던 것을 윈도우 11에서도 돌릴 수 있으니 말 다했다.) 건투를 빈다... [15] 중국 중요시설이나 공공기관에서 쓰는 OS가 보안 업데이트가 안된 XP가 태반이었다고 한다. 게다가 기본 인구가 많은 만큼 인터넷 사용자들도 많으니 피해도 커질 수 밖에 없다. [16] 참고로 이 집단은 예전에는 히든 코브라로 불렸다. [17] .cell과 .show는 암호화되지 않는다. 당연히 .xlsx, .pptx 저장 옵션을 켜면 털린다. [18] 비트코인이 투명성이 있다고 하지만 거의 전세계적 피해를 입혔는데도 아직도 이 해커들의 신원마저도 못 잡고 있다. [19] DCPDigital Cinema Platform의 약자로 멀티플렉스의 서버에서 영사기에 해당 영화를 재생할 때에 사용되는 영상 파일이다. 확장자는 MXF(Material Exchange Format)이고 비디오 코덱은 JPEG2000, 오디오 코덱은 PCM이다. [20] 랜섬웨어 문서의 각주 중 '명칭주의'을 참조. [21] 심지어 알약에서는 Trojan.Android.Ransom.Wannacry 로 진단한다. [22] 업데이트를 자주 하라는 것은 평소에도 지켜야 할 상식이고, SMB 프로토콜 관련 예방법은 이번 워너크라이에만 해당되는 대처법일 뿐이다. 랜섬웨어라고 해서 다 같은 랜섬웨어가 아니므로 각각의 랜섬웨어에 대한 대처는 모두 같을 수가 없다. 이번 사태가 예외적으로 심각하기 때문에 더 강조되었을 뿐이다. 예를 들자면 손을 잘 씻고 다니라는 것은 평소에도 지켜야 할 상식이지만, 전염성이 큰 코로나19 등이 유행하는 경우에는 특히 손씻기를 더 강조하고 다른 사람의 눈을 가급적 만지지 말라는 대처법을 알리는 것과 다를 바가 없다.