지난달 150여개국의 전산망을 마비시킨 ‘랜섬웨어 대란’이 46일 만에 또다시 전 세계를 강타했다. 이번 사태를 일으킨 바이러스가 앞선 ‘워너크라이’보다 더 강력한 악성코드로 알려진 가운데 전문가들 사이에서는 이번 공격이 수개월간 지속될 수 있다는 경고가 나와 각국 보안 당국에 비상이 걸렸다.
영국 일간 가디언 등은 27일(현지시간) 유럽과 미국을 중심으로 65개국에서 ‘페트야’ 랜섬웨어의 동시다발적인 공격이 발생했다고 보도했다. 랜섬웨어는 중요 컴퓨터 문서를 암호화한 뒤 암호 해독키를 제공하겠다며 300달러(약 34만원)의 비트코인(가상화폐)을 요구하는 해킹 수법으로 지난달 워너크라이 공격 때도 쓰였다.
이날 공격은 우크라이나 정부 전산망을 시작으로 러시아·덴마크·영국 등에서 거의 동시에 일어났다. 우크라이나 정부 전산망과 키예프 공항·지하철 등 중요 시설물이 피해를 입었고 일부 은행에서는 지점 영업과 현금지급기 가동이 중단됐다. 또 러시아 국영 석유기업 로스네프트, 덴마크 해운사 A.P.몰러머스크, 영국 광고기업 WPP 등 유럽의 주요 기업들이 공격에 노출됐으며 미국에서는 제약기업 머크 등이 큰 피해를 입었다.
공격은 유럽과 미국을 넘어 아시아와 호주로도 확산됐다. 블룸버그통신은 “뭄바이에 위치한 인도 최대 컨테이너선 항구 중 하나인 JNPT도 페트야 공격에 피해를 입었다”고 전했다. 호주에서는 캐드베리 초콜릿 제조공장에서 컴퓨터 시스템이 다운됐다.
특히 이번 사이버 공격은 30여년 전 원전사고가 발생했던 체르노빌의 방사능 감지 시스템까지 타깃을 삼아 충격을 줬다. 1986년 원자로 폭발 사고의 여파로 아직까지 방호벽을 덧씌우는 작업이 진행 중인 상황에서 방사능 감지 시스템이 사이버 공격에 노출된 것이다. 페트야의 공격에 이날 체르노빌원전의 방사능 자동 모니터링 가동은 즉각 중단되고 시스템은 수동으로 전환됐다. 체르노빌 원전 소개지역 관리청 공보실은 “원전의 모든 기술적 시스템은 정상 작동됐다”며 이날 사고로 인한 방사능 오염 위험은 없다고 강조했다.
페트야와 워너크라이는 유사한 랜섬웨어지만 확산을 저지하는 ‘킬 스위치(kill switch)’가 없다는 점에서 페트야가 훨씬 악성 바이러스라는 평가가 나온다. 연계 피해를 막는 장치가 없기 때문에 수개월에 걸쳐 사이버테러가 계속될 수 있다는 것이다. 미국 싱크탱크 애틀랜틱카운슬의 사이버기술계획 부국장 보 우즈는 “페트야가 워너크라이의 확산을 막았던 ‘킬 스위치’가 없는 형태로 만들어졌다면 수개월에 걸쳐 공격이 이어질 수 있다”며 “페트야가 마이크로소프트(MS) 윈도 운영체제(OS)의 다양한 버전에서 기존보다 빠르고 효과적으로 확산되고 있다면서 워너크라이보다 더 심각할 수 있다고 지적했다.
소프트웨어 패치의 효용에 대해서는 의견이 엇갈린다. 패치로 페트야를 예방할 수 있다는 주장과 이번 바이러스의 구조상 확산 위험이 커 별 소용이 없다는 주장이 맞서는 것이다. 글로벌 보안업체 시만텍의 연구원 에릭 젠은 “최근 워너크라이 사태로 사람들이 패치를 설치해 이번 공격이 큰 문제가 되지 않을 것”이라고 내다봤다. 반면 사이버보안업체 베라코드의 크리스 와이소펄은 “네트워크로 연결된 전체 시스템에 패치를 설치하지 않았다면 안전하지 않다”고 맞섰다.
이번 랜섬웨어도 워너크라이처럼 ‘이터널 블루(Eternal Blue)’ 코드를 사용했다면 배후를 밝히기 어렵다는 전문가 지적이 나온다. 이터널 블루는 미국 국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구로 지난 4월 해커 조직에 의해 유출됐다.
