지난해 12월 트럼프 미국 정부는 북한을 2017년 워너크라이(WannaCry ransomware) 공격의 배후로 지목했다.
로이터 통신(Reuters)에 따르면 익명의 정부 관계자가 라자루스 그룹(Lazarus group)이 워나크라이 공격의 배후라고 주장했다고 한다. 라자루스 그룹은 북한을 위해 일하는 해커 집단으로 2014년 소니 영화사(Sony Pictures) 해킹 사건, 2016년 방글라데시 은행 강도 사건, 2013년 다크서울(DarkSeoul cyberattack) 같은 강력 범죄에 연루되어 악명이 높아졌다.
와이어드(Wired)지는 워너크라이 공격이 거의 100개 국의 컴퓨터를 공격했다고 전했다. 감염된 컴퓨터는 접속을 거부했고 300비트코인을 요구하는 메시지가 출력됐다. 이 사태는 "싱크홀"이 등장할 때까지 이어졌다.
마르커스 허친스(Marcus Hutchins) 미 멀웨어테크(MalwareTech)의 보안 연구원은 "우연히" 약 10달러(한화 약 1만 1000원)로 워너크라이를 막았다.
그는 공격을 막기 위해 이 프로그램을 분석한 후 워너크라이가 등록되지 않은 도메인을 입력받도록 프로그래밍됐다는 것을 발견했다. 그는 10.69달러(한화 약 1만 1000원)을 투자해 도메인을 등록했고 워너크라이를 멈출 수 있었다.
허친스는 블로그 게시물에 도메인을 단지 "변덕"으로 만든 것은 아니라고 밝혔다. 그는 자신의 업무 중 서버 도메인을 조종하는 등록되지 않거나 만료된 시스템 파괴 소프트웨어를 찾아 싱크홀에 버리는 일도 포함된다고 했다.
"싱크홀은 악의적인 트레픽을 포착하고 범죄자들이 컴퓨터를 감염시켜 제어하는 것을 막도록 설계된 서버다." 라고 블로그에 설명했다.
허친스는 나중에야 자신이 등록한 도메인이 워너크라이를 막았다는 것을 깨달았다.
다리엔 허스(Darien Huss) 미 프루프포인트(Proofpoint)사 연구원은 의도적으로 등록되지 않은 도메인에 접속하려고 시도하는 프로그램의 취약점을 집어냈다. 만약 접속된다면 "중단 명령"으로 작동하고 시스템 파괴 소프트웨어는 시스템에 침입하지 않는다.
와이어드지는 싱크홀이 워너크라이에 감염된 컴퓨터를 해독한 것은 아니지만 랜섬웨어를 막을 수 있는 패치를 만든 관리자들에게 상황을 제어할 충분한 시간을 벌었다고 전했다.
허친스는 이 방법은 일시적이며 해커들이 중단 명령을 프로그램에서 제거하는 것을 막을 수 없다고 했다. "아직 패치가 되지 않은 시스템들을 빨리 패치하는 것이 가장 중요하다"고 덧붙였다.