사이버 테러 74개국 강타…“해커들 美NSA 훔친 툴 사용한듯”

랜섬웨어에 감염된 컴퓨터 화면 모습. /AFP

[이데일리 김형욱 기자] 12일(현지시간) 영국을 비롯한 전 세계 74개국 주요 사이트를 강타한 사이버 테러를 벌인 해커가 미국 국토안보부(NSA)에서 훔친 방식을 사용한 것으로 보인다고 영 일간지 파이낸셜타임스(FT)가 같은 날 보도했다. 이번 테러는 영국 국가보건의료서비스(NHS)와 병원을 시작으로 유럽 통신사 텔레포니카, 미국 물류회사 페덱스, 러시아 최대 통신사 메가폰 등 전 세계 주요 기관·기업 홈페이지로 퍼져나갔다. 역대 가장 빠른 속도였다.

페덱스는 “우리 윈도 기반 시스템이 멀웨어(악성코드)에 방해를 받았다”고 말했다. 러시아 내무장관은 “전체의 약 0.1%인 1000대의 컴퓨터가 감염됐으나 서버에는 이상이 없었다”고 말했다. 이어 포르투갈, 타이완, 독일, 베트남 등이 영향을 받았다. 중국 관영 신문 인민일보도 자국에 비슷한 공격이 이뤄졌을 수 있다는 트윗을 남겼다. 국내 병원에서도 확산 우려에 비상이 걸린 상태다.

사이버 보안 애널리스트들은 이번 테러를 벌인 해커가 미 스파이가 개발한 ‘이터널 블루(Eternal Blue)’란 툴을 사용해 ‘워너크라이(WannaCry)’란 랜섬웨어의 변형된 툴을 확산시켰다고 분석했다. 랜섬웨어(ransomware)란 컴퓨터 사용자의 데이터를 암호화한 채 이를 인질 삼아 금전 등을 요구하는 악성 코드다. 몸값을 뜻하는 랜섬(ransom)과 소프트웨어(software)의 합성어다. 이터널 블루는 이 악성 코드를 파일 공유 프로토콜을 통해 퍼뜨리는 역할을 한다.

가장 큰 피해를 본 영국 보안 당국은 범인을 특정하진 않지만 명백히 범죄 집단의 소행이며 NSA의 툴을 사용한 것으로 보고 있다. 영국은 이미 260개 주요 병원의 3분의 1이 공격을 당했다. 고객 예약 정보 등이 뒤엉키며 직원들이 종이와 펜을 사용해 상황을 수습 중이다. NHS는 아직 환자 정보 유출 증거는 없지만 공격이 ‘현재진행형’이라며 더 큰 피해가 있을 수 있다고 전했다.

사이버 정보 회사 디지털 쉐도우스의 부사장 베키 핑커드는 “범인이 누구이든 NSA의 툴을 사용하고 있을 가능성이 매우 크다”고 전했다. 지난해 높은 보안 등급의 NSA의 디지털 무기가 ‘쉐도우 브로커스(Shadowbrokers)’란 그룹에 유출됐다는 게 그 근거다. 핑커드는 “이번 악성 코드가 빠르게 확산한 것은 NSA의 툴이었기 때문”이라고 설명했다. 미 국가사이버보안센터(GCHQ)는 최고 수준의 경계령을 내린 상태다. 사이버 보안회사 피델리스의 존 밤베닉 매니저는 “우리는 첫 감염원(patient zero)을 계속 찾고 있다”며 “특정 타깃을 목표로 한 범죄 집단의 소행으로 추정된다”고 말했다.