세계 곳곳 공장 멈추고 환자파일 '먹통'…국내 대학병원도 감염
지난 주말 랜섬웨어 워너크라이(WannaCry) 공격으로 세계 곳곳에서 공장이 멈추고 병원 환자파일이 먹통이 되는 등 혼란이 일었다. 글로벌 보안업체들은 지금까지 총 21만건 이상의 해당 랜섬웨어 감염 사례를 발견했다. 한국에서도 감염 의심사례가 등장하면서 피해가 커질 가능성이 있다는 우려가 나온다. 보안 전문가들은 대부분 직장인이 업무를 시작하는 월요일(15일)이 국내 피해 규모를 가늠할 분수령이 될 것으로 보고 있다.
세계 곳곳 공장 멈추고 환자파일 '먹통'…국내 대학병원도 감염
영국·러시아·중국 등 전세계 21만건 피해사례 발견

이번 사이버 공격은 지난 12일 영국 국민보건서비스(NHS) 산하 10여개 병원의 컴퓨터와 전화교환 시스템이 갑자기 작동을 멈추면서 알려졌다. 이들 병원은 응급환자 외 진료를 중단하고 예약을 취소했다.

영국 내 최대 자동차 생산공장인 닛산 선덜랜드 공장도 타격을 입었다. 이 공장은 이날 오후 5시부터 가동을 중단했다. 프랑스 르노자동차도 상두빌 공장의 가동을 일부 중단했다. 회사 관계자는 “(공장 가동 중단은) 바이러스 확산을 막기 위한 선제적인 조치”라고 설명했다.

유럽연합(EU) 경찰기구인 유로폴에 따르면 지금까지 영국 러시아 등 150여개국에서 피해 사례가 접수됐다. 랜섬웨어 감염 상황을 실시간으로 집계하고 있는 맬웨어테크닷컴에 따르면 지금까지 감염 사례는 21만건을 넘어섰다. 추가 피해 접수가 이어지고 있어 피해 규모는 더 커질 전망이다. 롭 웨인라이트 유로폴 국장은 “역사상 전례가 없을 정도 수준”이라고 했다.

아시아에서도 피해 사례가 잇따랐다. 중국 최대 국영에너지기업인 중국석유천연가스집단(CNPC)과 일부 대학의 피해 사례도 나왔다. 인도네시아에서는 국립 암센터 등 대형 종합병원 두 곳의 컴퓨터 시스템이 손상됐다. 인도네시아 자카르타에 있는 다르마이스병원 관계자는 “병원의 거의 모든 컴퓨터가 감염됐다”고 말했다.

공격 배후로는 지난해 미국 국가안보국(NSA)에서 해킹 툴을 훔쳤다고 주장한 해커단체 ‘섀도 브로커스(Shadow Brokers)’ 등이 거론되고 있다.

이번 사태를 일으킨 해커들은 상대적으로 사이버 보안이 취약한 병원과 기업을 노렸다. 중요한 고객 정보가 많은 배송업체와 대형 통신사도 주요 공격 대상이 됐다. 이들은 윈도 파일 공유에 사용되는 서버메시지(SMB) 원격코드의 취약점을 악용한 것으로 파악된다.

한국도 안전지대 아니다…윈도 구버전 사용자 특히 취약

한국인터넷진흥원( KISA)에 따르면 14일까지 국내에서 총 7건의 워너크라이 피해 관련 문의가 들어왔다. 이와 별도로 민간 보안업체와 데이터 복구업체 등이 접수한 피해 사례도 상당한 것으로 파악된다. 업계 관계자는 “상당수 업체가 대외 이미지를 고려해 피해를 외부에 알리는 것을 꺼리고 있어 피해 규모 파악이 쉽지 않다”고 전했다. 일부 인터넷 댓글이나 소셜네트워크서비스(SNS)에 올라온 글을 보면 백화점이나 음식점 결제 단말기 등에서도 피해 사례가 확인되고 있다.

보안 전문가들은 국내에서도 피해 규모가 커질 수 있다고 경고했다. 워너크라이는 이메일 첨부 파일을 통해 유포되는 대부분 랜섬웨어와 달리 인터넷에 접속만 해도 감염되는 방식이어서 전파 속도가 빠르다. 보안업체 하우리의 최상명 침해대응실장은 “주말이 끝나고 기업들이 업무를 시작하는 월요일(15일)에 피해가 급증할 가능성이 있다”고 말했다.

모바일 보안업체 스틸리언의 박찬암 대표는 “보안 업데이트 지원이 아예 종료됐거나 자동으로 업데이트되지 않는 윈도 구버전 사용자가 특히 취약할 것으로 보인다”고 분석했다.

■ 랜섬웨어

랜섬웨어 사용자의 PC를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom·몸값)’이란 수식어가 붙은 악성코드. 공격자가 사용자의 컴퓨터에 잠입해 파일에 암호를 걸어 열지 못하도록 잠근 뒤 열쇠 프로그램을 전송해 주는 대가로 금품을 요구하는 사이버 범죄 수법.

유하늘/추가영 기자 skyu@hankyung.com