2017년을 강타한 랜섬웨어 wannacry는 전 세계 150여 개국에 공황과 공포를 주며 악성코드의 위용을 보였다. 특히, wannacry 덕에 랜섬웨어가 무엇인지도 몰랐던 많은 사람이 하나둘 랜섬웨어가 무엇인지 알게 되었고, 악성코드 존재를 크게 위협적으로 못 느꼈던 일반인들에게 얼마나 위험할 수 있는 것인지 알게 해 준 계기가 되었으리라 생각한다. 물론, 국내에서 wannacry의 피해가 예상보다 크지 않아 여전히 모르거나 위협적으로 보이지 않을 수도 있다.^[1] 하지만 외국은 상황이 다르다. 영국에서는 국민보건서비스(NHS)가 감염되었고^[2], 프랑스의 자동차 회사인 르노도 피해를 당하였으며^[3], 이외에도 많은 기업과 사용자가 감염되었다^.[4] 이런 때에 넓고 빠르게 퍼져 나가고 있던 wannacry의 확산을 늦춘 이가 있었으니, 그가 바로 22세의 Marcus Hutchins다 사람들은 그를 영웅이라고 불렀고, 그의 우연한 한 수가 더 큰 피해와 확산을 막았다.^[5] 이것이 지난 5월의 이야기고, 지난 3일에 그는 악성코드 유포자로 FBI에 검거되었다.^[6]

wannacry는 윈도우 운영체제 사용자를 노린 랜섬웨어로, 윈도우 환경에 있는 파일들을 암호화하여 이 파일의 몸값으로 금전적 요구를 하는 악성코드다. 이 랜섬웨어는 누가 만들었고 네트워크에 풀었는지 밝혀진 바는 없지만 가장 유력한 용의자는 Shadow Brokers로 알려졌다. wannacry는 윈도우의 SMB 원격 임의 코드 실행 취약점을 이용하여 발생한 것으로 Drive-by-download, e-mail 등으로 유포되어 감염된다. wannacry가 실행되면 그 시점에서 300달러 상당의 비트코인을 요구하고, 제한된 날짜 3일이 지나게 되면 그의 두 배인 600달러로 늘어난다. 그리고 실행된 지 7일이 지나게 되면 완전히 파일 복구는 어렵다고 한다. 유로폴 국장 Rob Wainwright는 이 wannacry를 보며 이처럼 악성코드가 짧은 시간 안에 전 세계로 퍼지고, 이만큼 피해를 줬던 전례가 없었다고 얘기하기도 했다.^[7]

고삐 풀린 망아지처럼 빠르게 전 세계로 퍼져 나가던 wannacry에 고삐를 채운 것은 영국의 22세, Marcus Hutchins이다.^[8] 그는 의도한 바는 아니었지만, 우연히 wannacry의 확산을 막게 되었고 이 행동으로 그는 단번에 영웅이 된다. 워낙 wannacry의 피해가 컸었으므로 그의 이 같은 묘책은 더 큰 확산과 피해를 막는데 시간을 벌어주었다.^[9] 그가 한 묘책은 단순히 랜섬웨어 wannacry가 연결하려는 알 수 없는 사이트의 도메인을 사서 등록해버린 것이다. 즉, 그는 wannacry의 활동을 멈추는 ‘킬스위치’를 발견하고 이를 작동시킨 것이다^.[10]

어떻게 단순히 도메인을 산 것만으로 그는 랜섬웨어 wannacry의 확산을 막을 수 있었던 것일까. wannacry는 해당 시스템을 감염시키기 전에 먼저 어떤 도메인과 연결을 시도했다. 이때, wannacry는 연결이 되지 않으면 공격을 하였고, 연결되면 아무 행위도 하지 않고 사용자의 시스템을 빠져나갔다. 이를 발견한 Marcus Hutchins는 그 도메인을 실제로 등록하여 wannacry와 연결이 되도록 한 것이다.^[11] 나중에 말한 것이지만, Marcus Hutchins는 그 도메인을 등록시킨 것이 그만큼의 큰 효과를 가져다줄지 몰랐다며 이를 ‘우연한 성공’이라고 말했다^.[12]

그렇다면 어째서 wannacry는 도메인에 연결하려 했었을까. 이에 대해서는 여러 사람이 추측을 했지만, 그 중 가상머신을 피하려는 방법이 가장 유력한 이유로 보고 있다. 실제로 악성코드가 시스템에 들어가게 되면 그 시스템이 가상머신인지 여부를 알기 위해 흔히 사용된다고 한다. 이는 가상머신 환경에서 등록되어 있지 않은 도메인을 보기에는 정상적인 도메인처럼 보이니 그냥 통과시켜버리는 때도 있기 때문이다. 즉, 등록되지 않은 도메인의 등록 여부를 확실하게 확인하지 않고 그냥 넘겨버리는 것이다. 따라서 악성코드가 이러한 응답을 받게 되면 악성코드는 자신이 있는 환경이 가상머신 환경임을 알게 되는 것이다. 악성코드가 자신이 있는 환경이 가상머신임을 알게 되면 악성코드는 분석을 당하지 않기 위해 동작을 멈춘다. 이 같은 점을 노려 Marcus Hutchins는 wannacry에서 사용되는 도메인을 실제로 등록하여 wannacry가 봤을 때 세상 모든 시스템이 가상머신처럼 보이게 한 것이다.^[13]

하지만 wannacry의 우연한 영웅 Marcus Hutchins는 3개월 뒤 미국에서 FBI에게 체포된다 그는 미국에서 열리는 데프콘(DEFCON)에 참가하기 위해 라스베가스에 왔지만 그대로 공항에서 체포된 것이다.^[14] 그의 혐의는 금융 악성코드인 크로노스(Kronos)를 개발하고 유포한 것이었다. 그가 제작한 악성코드인 크로노스는 인터넷 뱅킹과 같은 온라인 서비스에 접속한 사용자의 금융정보를 훔치기 위해 만들어진 트로이목마 악성코드로^[15] 지난 2014년 7월 한 보안연구자가 이를 발견하게 되었다.^[16] 당시, 러시아 온라인 사이트에 이 악성코드 판매 글이 올라왔고 7,000달러에 판매되었다.^[17] 크로노스는 탐지와 분석을 피하고자 여러 모듈을 제공할 뿐만 아니라 악성코드를 사기 전에 일주일 동안 악성 코드를 테스트할 수 있는 옵션을 제공했다.^[18]

FBI는 2014년 7월부터 2015년 사이에 Marcus Hutchins가 크로노스 악성코드를 제작하고 판매 및 배포하여 수익을 창출했다고 주장했다.^[19] Marcus Hutchins 외에도 다른 이들도 기소장에 이름이 올라왔지만, 아직 검거되지는 않았다. 이에 Marcus Hutchins는 자신이 악성코드 크로노스를 만들기는 했지만 판매하지는 않았다고 밝혔다.^[20] 이에 따라 FBI는 Marcus Hutchins가 크로노스를 판매하며 동업자들과의 수익금을 제대로 나누지 못한 점을 불평하는 채팅 기록을 가지고 있다며 뜨겁게 공방 중이다.^[21] 이 사건에 대해 영국의 반응은 Marcus Hutchins의 체포를 알고 있으며, 이는 미국 당국의 문제이고 이에 따라 더는 얘기하기를 거부했다.^[22]

사건이 터지고 Marcus Hutchins가 무죄이냐 유죄이냐에 따라 의견이 갈라지고 있다. 두 세력은 오래된 채팅로그와 트위터, 블로그 게시물, 크로노스 악성코드 판매자의 인터뷰를 포함하여 이 사건에 대해 파헤치고 있다고 한다.^[23] 여기서 한 가지 짚고 넘어가야 할 것은 악성 코드를 만드는 것은 범죄가 아니며, 악성 코드를 판매하는 것은 범죄가 아니라는 점이다. 범죄는 다른 사람의 범죄를 조장하려는 목적으로 악성 코드를 판매하는 것이다.^[24] 수사는 진행 중이며 만약 여기서 Marcus Hutchins의 범죄가 인정되면 최고 40년의 징역을 선고받을 수 있다.^[25] 개인적인 생각으로 FBI가 움직였다면 이미 증거도 다 확보한 상태이지 않을까 생각한다. 만약, 실제로 그가 그런 짓을 하였다면 영웅놀이 한 셈이 아닌가. 앞으로의 공방이 어떻게 될지 궁금하다.