러시아와 영국 등 세계 각국에서 급속히 유포돼 수많은 컴퓨터를 감염시킨 랜섬웨어 확산 속도가 주춤해진 것으로 보인다. 랜섬웨어를 분석해 확산을 중단시키는 ‘킬 스위치’가 작동했다는 분석이다.
13일 보안업계에 따르면 문제의 랜섬웨어 ‘워너크라이’는 도메인 이름이 활성화돼있으면 스스로 전파를 중단하는 것으로 나타났다. 이 사실을 찾아낸 사람은 ‘@malwaretechblog’라는 트위터 계정을 쓰는 한 사이버보안 전문가로 미국 보안업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 워너크라이 랜섬웨어의 킬 스위치를 발견했다. 이 전문가는 악성 코드를 분석한 결과 이 코드가 매우 길다란 특정 도메인 이름(글자로 된 인터넷 주소)에 접속을 시도한다는 사실을 발견했다. 또 이 도메인 네임이 등록돼 있지 않아 활성화되지 않은 점도 발견했다.
이런 사실에 주목한 이 전문가는 10.69달러(한화 1만2,000원)을 등록비로 내고 이 도메인을 등록해 활성화한 후 미국 로스앤젤레스에 있는 한 서버가 이 도메인 이름을 쓰도록 했다. 이를 시도해보니 워너크라이 랜섬웨어는 만약 이 도메인 이름이 활성화돼 있지 않으면 확산 활동을 계속하고, 이 도메인 이름이 활성화돼 있으면 스스로 전파를 중단하는 것으로 나타났다. 도메인 이름이 랜섬웨어 확산을 중단하는 일종의 킬 스위치로 작동하는 셈이다. 이를 볼 때 랜섬웨어 제작자는 원하는 경우 확산을 중단할 수 있도록 도메인 이름으로 된 킬 스위치를 넣어 악성코드를 설계한 것으로 추정된다.
이 도메인 이름이 활성화된 후부터 워너크라이 랜섬웨어는 스스로 전파를 중단하기 시작했다.
이 보안전문가는 미국 정보기술 매체 ‘더 데일리 비스트’와의 인터뷰에서 “(도메인 이름이) 등록돼 있지 않은 것을 보고 ‘내가 등록해야겠다’는 생각을 했다”며 “(로스앤젤레스의 서버에 도메인을 등록하자마자) 즉각 초당 5,000∼6,000건의 접속이 이뤄지는 것을 봤다”고 설명했다. 또 그는 “도메인 이름을 등록할 당시에는 이렇게 하면 확산이 중단될 것이라는 사실을 몰랐고, 그런 면에서는 우연히 발견한 것이라고 할 수 있다”고 덧붙였다. 이에 보안업계와 외국 매체들은 해당 전문가를 ‘우연히 탄생한 영웅’(an accidental hero)라고 부르며 칭송하고 있다.
다만 워너크라이 랜섬웨어 제작자나 다른 해커가 킬 스위치를 없앤 변종을 새로 만들어 유포할 가능성이 있어 완전히 안심할 수는 없다. 또 킬 스위치가 작동하고 있다고 해서 이미 감염된 시스템이 치료되는 것이 아니기 때문에 주의가 필요하다.
/정혜진기자 madein@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >