본문 바로가기

'랜섬웨어' 공포 누가·어떻게 막았나...'22세 우연한 영웅'

중앙일보 2017.05.15 08:39
랜섬웨어.

랜섬웨어.

12일(현지시각) 영국·러시아·우크라이나·대만 등을 중심으로 랜섬웨어 '워너크라이(WannaCry)'의 공격이 동시다발적으로 발생해 전 세계가 혼란인 가운데, 랜섬웨어의 추가 확산을 막는 데 결정적인 역할을 한 인물은 22세의 영국 출신 청년인 것으로 확인됐다. 이 청년은 '우연한 기회'에 랜섬웨어의 추가 확산을 막았다.
 
13일(현지시각) 영국 일간 가디언 보도에 따르면, 이 청년은 자신을 익명의 말웨어 기술자(악성 소프트웨어 기술자) 라고만 소개했다. 그는 랜섬웨어 '워너크라이' 샘플 구해 소스코드를 분석한 결과 특정 도메인과 연결된 주소를 발견했다.
 
그는 가디언과의 인터뷰에서 "친구와 점심을 먹고 들어왔더니 영국국가보건의료서비스 등 영국의 다양한 기관이 피해를 당했다는 뉴스를 접했다"라며 "랜섬웨어 샘플을 구해 그 안에서 등록되지는 않았으나, 특정 도메인으로 연결되는 주소를 찾았다. 그때는 그것이 무엇인지 몰랐다"라고 밝혔다.
 
그는 해당 도메인을 등록했다. 단순히 랜섬웨어의 확산을 모니터링 하기 위한 조치였을 뿐이지만, 결과는 전혀 기대하지 않은 방향으로 전개됐다. 수십만 명의 피해자를 양산한 랜섬웨어 확산이 멈춘 것이다. 이른바 '킬스위치'다. 그가 도메인을 등록하는 데 들인 비용은 불과 10.69달러. 우리나라 돈으로 약 1만 2000원이다.
 
랜섬웨어를 배포하거나 제작한 공격자가 랜섬웨어 확산을 중지하는 킬스위치를 소스코드 안에 심어놨는데, 바로 도메인 주소였다. 이번에 문제가 된 랜섬웨어는 도메인 주소가 등록되지 않은 상태에서는 계속 확산하고, 도메인이 등록된 것으로 확인되면 확산이 멈추도록 설계된 것이다.
 
그는 "나중에 무슨 일을 할 수 있을까 싶어 그저 랜섬웨어의 확산을 모니터링하기 위함이었는데, 결과적으로 도메인을 등록하는 것만으로 확산이 멈췄다"라며 "감정적인 롤러코스터였다"라고 밝히기도 했다.
 
이 청년은 고등학교를 졸업하고 대학에 진학하는 대신 홀로 컴퓨터를 공부했다. 지금은 미국 LA에 있는 보안 소프트웨어 업체 크립토스로직에서 일하고 있다. 악성코드 전문 블로그 '말웨어테크'를 운영 중이기도 하다.
 
오원석 기자 oh.wonseok@joongang.co.kr
공유하기
광고 닫기