전세계 12만대 감염… 랜섬웨어 대응책 ‘킬스위치’는?
온라인뉴스부 기자
입력일 2017-05-13 21:51
수정일 2017-05-13 22:01
발행일 2017-05-13
99면
공유하기
전세계 12만대 컴퓨터를 감염시킨 ‘워너크라이’(WannaCry) 랜섬웨어의 확산 한국에서 주춤한 까닭은 보안 전문가들이 ‘킬스위치’를 발견하고 작동시킨 덕택이다.
랜섬웨어를 분석해 확산을 중단시키는 ‘킬스위치’는 ‘@malwaretechblog’라는 트위터 계정을 쓰는 한 사이버보안 전문가가 미국 보안업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 발견했다.
이 전문가는 악성 코드를 분석한 결과 이 코드가 매우 길다란 특정 도메인 이름(글자로 된 인터넷 주소)에 접속을 시도한다는 사실을 발견했다.
또 이 도메인 네임이 등록돼 있지 않아 활성화되지 않은 점도 발견했다.
이런 사실에 주목한 이 전문가는 10.69달러(한화 1만2천원)을 등록비로 내고 이 도메인 이름을 등록해 활성화한 후 미국 로스앤젤레스에 있는 한 서버가 이 도메인 이름을 쓰도록 했다.
이 전문가는 당초 워너크라이 랜섬웨어의 확산에 관한 정보를 분석하기 위해 시험삼아 이 도메인명을 등록했으나, 당초 기대보다 더 큰 ‘보답’을 받았다.
정보 분석 결과 워너크라이 랜섬웨어는 만약 이 도메인 이름이 활성화돼 있지 않으면 확산 활동을 계속하고, 이 도메인 이름이 활성화돼 있으면 스스로 전파를 중단하는 것으로 나타났다.
도메인 이름이 랜섬웨어 확산을 중단하는 일종의 킬 스위치로 작동하는 셈이다.
이에 보안업계와 외국 매체들은 해당 전문가를 ‘우연히 탄생한 영웅’(an accidental hero)라고 부르며 칭송하고 있다.
다만 워너크라이 랜섬웨어 제작자나 다른 해커가 킬 스위치를 없앤 변종을 새로 만들어 유포할 가능성이 있어 완전히 안심할 수는 없다.
또 킬 스위치가 작동하고 있다고 해서 이미 감염된 시스템이 치료되는 것은 아니므로 여전히 사용자들과 보안 전문가들의 주의가 필요하다.
온라인뉴스부
랜섬웨어를 분석해 확산을 중단시키는 ‘킬스위치’는 ‘@malwaretechblog’라는 트위터 계정을 쓰는 한 사이버보안 전문가가 미국 보안업체 프루프포인트의 다리엔 후스 등 다른 이들의 도움을 받아 발견했다.
이 전문가는 악성 코드를 분석한 결과 이 코드가 매우 길다란 특정 도메인 이름(글자로 된 인터넷 주소)에 접속을 시도한다는 사실을 발견했다.
또 이 도메인 네임이 등록돼 있지 않아 활성화되지 않은 점도 발견했다.
이런 사실에 주목한 이 전문가는 10.69달러(한화 1만2천원)을 등록비로 내고 이 도메인 이름을 등록해 활성화한 후 미국 로스앤젤레스에 있는 한 서버가 이 도메인 이름을 쓰도록 했다.
이 전문가는 당초 워너크라이 랜섬웨어의 확산에 관한 정보를 분석하기 위해 시험삼아 이 도메인명을 등록했으나, 당초 기대보다 더 큰 ‘보답’을 받았다.
정보 분석 결과 워너크라이 랜섬웨어는 만약 이 도메인 이름이 활성화돼 있지 않으면 확산 활동을 계속하고, 이 도메인 이름이 활성화돼 있으면 스스로 전파를 중단하는 것으로 나타났다.
도메인 이름이 랜섬웨어 확산을 중단하는 일종의 킬 스위치로 작동하는 셈이다.
이에 보안업계와 외국 매체들은 해당 전문가를 ‘우연히 탄생한 영웅’(an accidental hero)라고 부르며 칭송하고 있다.
다만 워너크라이 랜섬웨어 제작자나 다른 해커가 킬 스위치를 없앤 변종을 새로 만들어 유포할 가능성이 있어 완전히 안심할 수는 없다.
또 킬 스위치가 작동하고 있다고 해서 이미 감염된 시스템이 치료되는 것은 아니므로 여전히 사용자들과 보안 전문가들의 주의가 필요하다.
온라인뉴스부
랭킹뉴스
