도난당한 해킹툴이 랜섬웨어로? 다시 도마에 오른 미 국가안보국(NSA)

전 세계 22만개의 프로토콜(IP)에 침투한 랜섬웨어 ‘워너크라이(WannaCry)’ 공격으로 미국 국가안보국(NSA)이 또 도마에 올랐다. 국가기관이 안보를 내세워 만든 사이버 무기가 범죄집단에 넘어가 막대한 피해를 불러온 것으로 추정되기 때문이다. 무차별 해킹과 도청을 시도해 정보를 수집해온 NSA에 이번 사태의 ‘원죄’가 있다는 지적이 나온다.

　

NSA를 향해 포문을 연 것은 마이크로소프트(MS) 최고법률책임자(CLO)인 브래드 스미스 사장이다. 스미스는 14일(현지시간) MS 블로그에 “중앙정보국(CIA)이 (소프트웨어) 취약점을 수집한 것이 위키리크스를 통해 폭로됐다. NSA가 이 취약점(에 대한 정보)들을 도난당해 전 세계 소비자들이 영향을 받았다”고 비판했다. 그는 “재래식 무기에 비유하면 미군이 토마호크 미사일을 도난당한 꼴”이라며 정부를 향해 일침을 놨다. 

　

독일 동부 작센주 켐니츠시의 한 기차역 전광판에 12일(현지시간) 컴퓨터 오류 경고가 떠 있다. 독일 철도청은 이날 전 세계 100여국에 확산된 렌섬웨어 공격을 받아 시스템 일부가 작동을 멈췄으나 열차 일정엔 큰 영향을 미치지 않았다고 밝혔다. _AP

MS가 이런 비난을 한 데에는 이유가 있다. NSA가 해킹 도구를 만들었고, 그 도구를 해커들이 훔쳐내 이번 공격을 가한 정황이 드러났기 때문이다. 올초 폭로전문 사이트 위키리크스는 CIA가 애플과 MS 등의 스마트폰과 컴퓨터 기기에 악성코드를 심어 도·감청해왔다고 폭로했다. 보안 전문가들은 워너크라이가 지난해 유출된 NSA의 해킹 도구 ‘이터널 블루’를 활용해 만든 것으로 보고 있다. 이터널 블루는 NSA가 MS의 운영체계인 ‘윈도’의 취약점을 활용해 만든 것이고, 해킹단체인 ‘섀도 브로커스’는 지난달 자신들이 이 도구를 빼내갔다고 주장했다. NSA는 공식 반응을 내놓지 않았지만, 월스트리트저널은 스미스의 발언에 대해 “NSA의 해킹 도구와 이번 랜섬웨어 공격이 연관돼 있음을 확인한 것”이라고 보도했다.

　

MS 측은 올초 당국으로부터 운영체계의 취약점이 유출됐다는 사실을 통보받고 지난 3월 약점을 보완한 패치를 만들어 공개했다. 하지만 두 달 만에 대규모 공격이 일어났고, 세계 150여개국이 피해를 입었다. NSA가 윈도의 취약점을 파악했을 때 곧바로 알려서 대응하게 했더라면 막을 수 있었다는 지적이 나온다. 정보기관이 프로그램 약점을 알고도 정보 수집 도구로 활용하기 위해 방치하다 피해를 키웠다는 것이다. 2013년 NSA의 무차별 정보 수집을 폭로한 후 러시아에 망명 중인 에드워드 스노든은 “당국이 약점을 도둑맞은 뒤가 아니라 발견했을 때 알렸다면 이번 사태는 일어나지 않았다”는 글을 트위터에 남겼다.

　

미국의 사이버 위험분석업체 사이언스는 이번 공격으로 인한 세계의 경제손실이 40억달러(약 4조5000억원)에 이를 것으로 추산했다. 비밀주의, 무차별적 정보 수집에 초점을 맞추느라 정작 사이버 공격에 취약하게 만든 NSA 등 미국 정보기관들의 정책적 실수가 이런 손실을 부른 셈이다. 스미스는 “정부는 취약성을 수집하고 활용하기보다는 기업에 알려줘야 한다”며 “전시 민간인 보호를 약속한 제네바협약처럼 사이버에서는 ‘디지털 제네바협약’이 필요하다”고 했다.

　

이번 사건은 국가기관의 사이버 무기가 범죄집단에 넘어가 악용될 수 있음을 증명해 보인 것이기도 하다. 방어에 신경을 쓰기보다 공격에 자원을 더 많이 투자해온 미국 정부의 사이버 전략 자체를 손봐야 한다는 목소리도 높다. 로이터통신은 미국 정부의 사이버 프로그램 관련 지출의 90%가 다른 컴퓨터에 침투하고, 도청하고, 인프라를 무력화시키는 식의 공격수단을 개발하는 데 집중돼 있다고 지적했다. 

시민단체 미국시민자유연맹(ACLU)은 성명을 통해 “이번 공격은 보안기관뿐 아니라 전 세계 해커와 범죄자들이 (사이버상의) 취약점을 찾아내 악용할 수 있다는 것을 보여줬다”고 비판했다. 스노든은 “NSA는 서방을 겨냥할 수 있는 위험한 공격도구를 만들었고, 오늘 그 대가를 보고 있다”며 “NSA가 다른 소프트웨어의 취약성도 파악해놓고 있는지 의회가 조사할 필요가 있다”고 지적했다. 

무차별 랜섬웨어 막은 ‘우연한 영웅’은 22세 영국 청년

세계 100여개국을 습격한 사이버 공격을 22세 영국 청년이 막아냈다. 13만건 넘는 공격을 이어간 랜섬웨어의 확산을 중단시키는데 들어간 돈은 1만원 남짓이었다. 

13일(현지시간) 가디언 등에 따르면 미국 온라인 보안업체 크립토스로직에 근무하는 이 청년이 컴퓨터 파일을 인질로 금전을 요구하는 악성 프로그램인 ‘워너크라이’(WannaCry)를 막는 소프트웨어 ‘킬스위치’를 발견, 이를 활성화해 확산을 멈출 수 있었다고 보도했다. 언론에 익명을 요구하며 스스로를 ‘멀웨어테크(MalwareTech·악성소프트웨어 기술자)’라고만 밝힌 그는 “공격에 사용된 악성 소프트웨어 샘플을 발견한 뒤 등록되지 않은 특정 도메인과 연결돼 있다는 사실을 분석했다”며 “봇넷(Botnet·해킹용 악성코드나 악성코드에 감염된 컴퓨터)을 추적하는 업체에서 일하고 있어, 어떻게 확산되는지 보려고 이 도메인을 사들여 등록했다”고 말했다. 

이렇게 등록한 도메인이 랜섬웨어 확산을 중단하는 킬스위치로 작용하면서 이미 감염된 컴퓨터는 어쩔 수 없지만 추가 감염은 막을 수 있게 된 것이다. 청년이 도메인을 등록하는데 지불한 돈은 10.69달러, 약 1만2000원이었다. 

그는 고등학교를 졸업한 뒤 대학에서 공부하거나 자격증을 따지 않고 독학으로 공부해 소프트웨어를 만들면서 컴퓨터 기술을 다루는 블로그를 운영했다. 취미로만 작업을 해오다가 지금의 회사에 취직해 1년2개월째 일하고 있다. 이날은 휴가였으나 랜섬웨어가 확산되는 소식을 접하고 컴퓨터를 켰다가 ‘큰일’을 해냈다. 그는 트위터에 “도메인을 등록하기 전까지 이 멀웨어를 멈출 것이라고 생각하지 못했다는 걸 고백해야겠다”며 “우연이었다”고 적었다. 영국 언론들은 그를 ‘우연한 영웅(Accidental hero)’이라고 표현했다. 월스트리트저널은 ‘사이버 범죄 배트맨’이라고 불렀다. 

영웅이 된 청년은 “아직 상황이 종료되지 않았다”며 경고했다. 공격을 가한 집단은 자신이 랜섬웨어 확산을 어떻게 멈췄는지 알게 될 것이고, 코드를 바꿔서 다시 공격할 수 있다는 것이다. 다른 해커들이 변종을 만들어 유포할 가능성도 있다. 그는 “윈도를 업데이트한 뒤 재부팅해야 한다”고 조언했다. 또 등록한 도메인을 유지하면서 동료들과 공격당한 인터넷 주소(IP)를 수집해 당국에 전달하면 당사자는 알지 못한 채 감염된 피해자까지 파악할 수 있을 것으로 봤다. 

AFP통신 등에 따르면 이번 사이버공격은 역사상 가장 큰 랜섬웨어 공격이었다. 영국 국민보건서비스(NHS) 산하 40여개 병원들과 독일 철도청(DB), 러시아 내무부 등 여러 국가의 관공서뿐 아니라 미국 운송업체 페덱스, 러시아의 이동통신업체 메가폰, 자동차업체 닛산의 영국 공장 등 기업들도 공격을 받았다. 신화통신은 중국의 중학교와 대학교 컴퓨터들도 일부 감염됐다고 보도했다.

핀란드 보안업체 F-시큐어의 미코 히포넨 최고연구담당자(CRO)는 “100여개국에서 13만개 시스템이 영향을 받았다”며 “마이크로소프트(MS)의 윈도우 XP를 여전히 많이 쓰는 러시아와 인도에서 특히 타격이 컸다”고 전했다. MS의 윈도우 XP는 2014년 4월에 서비스가 만료돼 업데이트를 받을 수 없는 상태다.