[포럼]사이버 안전예방수칙 생활화해야

허창언 금융보안원장

전 세계를 강타한 랜섬웨어'워너크라이(WannaCry)'의 공격으로 150개국 20만여대에 달하는 PC가 피해를 입은 것으로 유럽연합(EU) 사법경찰기구인 유로폴이 밝혔다. 랜섬웨어는 몸값을 뜻하는'랜섬(Ransom)'과'소프트웨어(Software 또는 Malware)'를 합성한 말로 해커들이 악성코드를 PC에 침투시켜 데이터를 사용할 수 없도록 한 뒤 이를 볼모로 하여 금전을 요구하는 방식의 공격으로 일종의'사이버 인질극'이라고 할 수 있다.

영국은 48개 병원에서 환자의 검진 기록파일을 열지 못하여 진료와 예약에 차질을 빚었으며, 중국의 국영석유기업은 결제시스템이 먹통이 되어 12시간 동안 주유소 시스템을 끊는 조치를 취하기도 하였다. 우리나라의 경우 영화관 등에서 일부 피해가 있었지만, 신속한 대처로 여타 국가에 비해 큰 피해는 발생되지 않았다. 현재 워너크라이의 피해가 더 이상 확대되지 않고 있으나 감염경로 차단을 위한 대책인'킬스위치(Kill Switch)'를 우회하는 변종이 확산되고 있어 긴장의 끈을 놓아서는 안 되겠다.

워너크라이가 이처럼 단기간에 큰 피해를 유발한 것은 전 세계 PC 운영시스템(OS)의 90% 이상을 점유하고 있는 마이크로소프트의 윈도우즈(Windows) 취약점을 공격하였기 때문이다. 이메일의 첨부파일 실행 등 특정 행위로 인해 감염되는 기존의 악성코드와 달리 워너크라이는 인터넷 연결만으로도 쉽게 전파가 가능하도록 서로 연결되는 윈도우즈의 취약점을 유포경로로 활용하였다. 과거 악성코드 공격에 비해 워너크라이의 피해가 걷잡을 수 없이 빠르게 확산될 수 있었던 이유다.

사실 워너크라이 피해를 사전에 예방하고 차단할 수 있는 방법은 이미 알려져 있었다. 워너크라이가 본격적으로 활동하기 2달 전인 2017년 3월, 마이크로소프트는 이번 공격에 활용된 취약점을 발견하고 이를 보완하기 위한 보안패치(Patch) 프로그램을 공개하였다. PC 사용자가 해당 보안패치만 적용하였다면 워너크라이 피해가 발생되지 않았을 것이라는 게 보안전문가 등의 공통된 의견이다. 우리나라 공공기관이나 금융회사 등에 피해가 거의 없었던 것도 이들 기관에서 사내 PC에 보안패치를 신속히 적용하는 등 보안 관리에 만전을 기해오고 있었기 때문이다.

전 세계가 하나의 네트워크로 연결된 국경 없는 사이버 세상에서 이번 워너크라이 사태와 같이 언제 어떠한 사이버 공격이 발생하여 우리에게 피해를 입힐지 예상하기 어렵다. 가까운 미래에 닥칠 것으로 예상되는 '사물이 네트워크로 서로 연결된초연결사회(Hyper-connected Society)'로 진입하게 되면, PC나 스마트폰뿐만 아니라 가전기기 등 모든 사물이 공격 대상이 되어 우리의 일상생활까지 사이버 위협에 광범위하게 노출될 것이다. 따라서 보안은 이제 기업체만의 고민거리가 아니며, 개인이 일상에서 반드시 준수해야 할 하나의 기본 질서로 인식되어야 한다.

이번 워너크라이 공격은 우리나라에 큰 피해를 주지는 않았지만 보안에 소홀하면 기업뿐만 아니라 개인도 사이버 범죄의 희생양이 될 수 있다는 경종을 울렸다는 점에서 시사하는 바가 크다. 일반인들에게는 다소 생소했던 랜섬웨어가 인터넷 실시간 검색어에 오르내리고 많은 국민들이 보안패치를 스스로 설치했던 점 등은 과거에는 경험하지 못했던 현상이다. 하지만, 이러한 관심이 단순 일회성에 그쳐서는 안 되겠다. 사이버 안전 예방수칙에 지속적으로 관심을 가지고 이를 생활화하여야 한다. 예방수칙을 지키는 작은 수고로움으로 인해 국민 모두가 사이버 세상의 풍요로움을 안전하게 영위할 수 있다는 점을 유념할 필요가 있다.

허창언 금융보안원 원장