우크라이나를 비롯한 유럽 각국과 미국, 한국 등 전 세계에서 정부 전산망과 기업이 동시다발적인 사이버 공격을 받았다. 지난달 12일 99개국에서 12만대 넘는 컴퓨터를 감염시킨 랜섬웨어 ‘워너크라이(Wannacry)’ 사태가 되풀이되는 것 아니냐는 우려가 높아지고 있다.

로이터 통신에 따르면 27일(현지시간) 우크라이나 정부 전산망과 수도 키예프의 보리스필 국제공항, 중앙은행, 우크르에네르고, 우크르텔레콤 등 전력·통신 기업의 시스템이 해킹당했다.

이번 공격에는 랜섬웨어 ‘페티야(Petya)’의 변종이 사용됐을 가능성이 제기되고 있다. 랜섬웨어는 컴퓨터 파일을 암호화해 기기를 마비시킨 뒤 돈을 지불하면 복구해주겠다고 협박하는 수법을 일컫는다. 이들은 300달러(약 34만3000원)어치 비트코인을 입금하면 시스템을 정상화시켜주겠다고 밝혔다. 미 CNN방송은 처음 공격이 발생한 우크라이나의 한 업체에서 악성코드가 포함된 업데이트 소프트웨어를 공개해 사태가 커진 것으로 추정된다고 보도했다.

특히 체르노빌 방사능 감지 시스템도 공격을 받았다. 자동 모니터링 시스템이 수동으로 전환됐으나 다행히 정상 작동하고 있다. 이외에도 러시아 국영석유기업인 로스네프트와 바시네프트, 프랑스 건축자재업체 생고뱅, 덴마크의 세계 최대 해운사 AP몰러머스크, 영국의 최대 광고업체 WPP 등이 타깃이 됐다. 미국에선 대형 제약회사 머크, 식품업체 몬델리즈, 로펌 디엘에이 파이퍼 등이 피해를 입었다. 머크의 한국 지사인 한국MSD도 본사를 통해 감염돼 업무에 차질을 빚고 있다고 밝혔다. 인도와 호주, 중국에서도 공격받았다는 제보가 쏟아졌다. 글로벌 보안업체 카스퍼스키랩은 최소 2000여건의 피해사례가 집계됐다고 전했다.

아직 공격 주체는 밝혀지지 않았다. 전문가들은 이번 랜섬웨어가 워너크라이와 마찬가지로 미국 국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구 ‘이터널 블루(eternal blue)’의 코드를 사용한 것으로 보고 있다. 이터널 블루는 지난 4월 해커 조직 섀도 브로커스에 의해 유출된 뒤 무차별적으로 확산됐다.

페티야가 변종 랜섬웨어라면 배후 세력을 밝혀내기는 사실상 불가능하다. 페티야는 불법 정보가 오가는 다크웹(dark web)에서 거래된 데다 피해자가 파일을 되찾기 위해 돈을 지불하면 페티야 제작자들이 일정 금액을 자동으로 떼가는 방식으로 운영된다.

이번 랜섬웨어가 변종이 아닌 전혀 새로운 형태라는 주장도 제기된다. 카스퍼스키랩은 확산을 저지할 수 있는 킬 스위치(kill switch)가 없는 강력한 랜섬웨어로 보인다고 분석했다. 미 싱크탱크 애틀랜틱 카운슬의 사이버기술계획 부국장 보 우즈는 “워너크라이의 확산을 막았던 킬 스위치가 없는 형태로 만들어졌을 수 있다”며 “만약 그렇다면 수개월 동안 공격을 가할 수도 있다”고 설명했다.

김미나 기자 mina@kmib.co.kr