'우연히 탄생한 영웅'이 랜섬웨어 확산 저지…'킬스위치' 작동
변종 나올 가능성 있어 안심은 금물
(서울=연합뉴스) 임화섭 고현실 기자 = 러시아와 영국 등 세계 각국에서 급속히 유포돼 수많은 컴퓨터를 감염시킨 '워너크라이'(WannaCry) 랜섬웨어의 확산이 13일 오후(한국시간) 들어 주춤하고 있다. 보안전문가들이 이 랜섬웨어를 분석해 확산을 중단시키는 '킬 스위치'를 발견하고 이를 작동시킨 덕택이다.
13일 보안업계에 따르면 '@malwaretechblog'라는 트위터 계정을 쓰는 한 사이버보안 전문가가 미국 보안업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 워너크라이 랜섬웨어의 킬 스위치를 발견했다.
이 전문가는 악성 코드를 분석한 결과 이 코드가 매우 길다란 특정 도메인 이름(글자로 된 인터넷 주소)에 접속을 시도한다는 사실을 발견했다.
또 이 도메인 네임이 등록돼 있지 않아 활성화되지 않은 점도 발견했다.
이런 사실에 주목한 이 전문가는 10.69달러(한화 1만2천원)을 등록비로 내고 이 도메인 이름을 등록해 활성화한 후 미국 로스앤젤레스에 있는 한 서버가 이 도메인 이름을 쓰도록 했다.
이 전문가는 당초 워너크라이 랜섬웨어의 확산에 관한 정보를 분석하기 위해 시험삼아 이 도메인명을 등록했으나, 당초 기대보다 더 큰 '보답'을 받았다.
정보 분석 결과 워너크라이 랜섬웨어는 만약 이 도메인 이름이 활성화돼 있지 않으면 확산 활동을 계속하고, 이 도메인 이름이 활성화돼 있으면 스스로 전파를 중단하는 것으로 나타났다.
도메인 이름이 랜섬웨어 확산을 중단하는 일종의 킬 스위치로 작동하는 셈이다.
랜섬웨어 제작자는 원하는 경우 확산을 중단할 수 있도록 도메인 이름으로 된 킬 스위치를 넣어 악성코드를 설계한 것으로 추정된다.
문제의 도메인 이름을 등록한 보안전문가는 미국 정보기술 매체 '더 데일리 비스트'와의 인터뷰에서 "(도메인 이름이) 등록돼 있지 않은 것을 보고 '내가 등록해야겠다'는 생각을 했다"며 "(로스앤젤레스의 서버에 도메인을 등록하자마자) 즉각 초당 5천∼6천건의 접속이 이뤄지는 것을 봤다"고 설명했다.
그는 "도메인 이름을 등록할 당시에는 이렇게 하면 확산이 중단될 것이라는 사실을 몰랐고, 그런 면에서는 우연히 발견한 것이라고 할 수 있다"고 설명했다.
이 도메인 이름이 활성화된 후부터 워너크라이 랜섬웨어는 스스로 전파를 중단하기 시작했다.
보안업계와 외국 매체들은 해당 전문가를 '우연히 탄생한 영웅'(an accidental hero)라고 부르며 칭송하고 있다.
다만 워너크라이 랜섬웨어 제작자나 다른 해커가 킬 스위치를 없앤 변종을 새로 만들어 유포할 가능성이 있어 완전히 안심할 수는 없다.
또 킬 스위치가 작동하고 있다고 해서 이미 감염된 시스템이 치료되는 것은 아니므로 여전히 사용자들과 보안 전문가들의 주의가 필요하다.
solatido@yna.co.kr, okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
변종 나올 가능성 있어 안심은 금물
(서울=연합뉴스) 임화섭 고현실 기자 = 러시아와 영국 등 세계 각국에서 급속히 유포돼 수많은 컴퓨터를 감염시킨 '워너크라이'(WannaCry) 랜섬웨어의 확산이 13일 오후(한국시간) 들어 주춤하고 있다. 보안전문가들이 이 랜섬웨어를 분석해 확산을 중단시키는 '킬 스위치'를 발견하고 이를 작동시킨 덕택이다.
13일 보안업계에 따르면 '@malwaretechblog'라는 트위터 계정을 쓰는 한 사이버보안 전문가가 미국 보안업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 워너크라이 랜섬웨어의 킬 스위치를 발견했다.
이 전문가는 악성 코드를 분석한 결과 이 코드가 매우 길다란 특정 도메인 이름(글자로 된 인터넷 주소)에 접속을 시도한다는 사실을 발견했다.
또 이 도메인 네임이 등록돼 있지 않아 활성화되지 않은 점도 발견했다.
이런 사실에 주목한 이 전문가는 10.69달러(한화 1만2천원)을 등록비로 내고 이 도메인 이름을 등록해 활성화한 후 미국 로스앤젤레스에 있는 한 서버가 이 도메인 이름을 쓰도록 했다.
이 전문가는 당초 워너크라이 랜섬웨어의 확산에 관한 정보를 분석하기 위해 시험삼아 이 도메인명을 등록했으나, 당초 기대보다 더 큰 '보답'을 받았다.
정보 분석 결과 워너크라이 랜섬웨어는 만약 이 도메인 이름이 활성화돼 있지 않으면 확산 활동을 계속하고, 이 도메인 이름이 활성화돼 있으면 스스로 전파를 중단하는 것으로 나타났다.
도메인 이름이 랜섬웨어 확산을 중단하는 일종의 킬 스위치로 작동하는 셈이다.
랜섬웨어 제작자는 원하는 경우 확산을 중단할 수 있도록 도메인 이름으로 된 킬 스위치를 넣어 악성코드를 설계한 것으로 추정된다.
문제의 도메인 이름을 등록한 보안전문가는 미국 정보기술 매체 '더 데일리 비스트'와의 인터뷰에서 "(도메인 이름이) 등록돼 있지 않은 것을 보고 '내가 등록해야겠다'는 생각을 했다"며 "(로스앤젤레스의 서버에 도메인을 등록하자마자) 즉각 초당 5천∼6천건의 접속이 이뤄지는 것을 봤다"고 설명했다.
그는 "도메인 이름을 등록할 당시에는 이렇게 하면 확산이 중단될 것이라는 사실을 몰랐고, 그런 면에서는 우연히 발견한 것이라고 할 수 있다"고 설명했다.
이 도메인 이름이 활성화된 후부터 워너크라이 랜섬웨어는 스스로 전파를 중단하기 시작했다.
보안업계와 외국 매체들은 해당 전문가를 '우연히 탄생한 영웅'(an accidental hero)라고 부르며 칭송하고 있다.
다만 워너크라이 랜섬웨어 제작자나 다른 해커가 킬 스위치를 없앤 변종을 새로 만들어 유포할 가능성이 있어 완전히 안심할 수는 없다.
또 킬 스위치가 작동하고 있다고 해서 이미 감염된 시스템이 치료되는 것은 아니므로 여전히 사용자들과 보안 전문가들의 주의가 필요하다.
solatido@yna.co.kr, okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
