<랜섬웨어 확산> ① 진화하는 '사이버 인질범'

(서울=연합뉴스) 고현실 기자 = #.직장인 A 씨는 지난달 말 겪었던 일을 생각하면 지금도 끔찍하다.

회사 컴퓨터를 켜둔 채 외출했다 돌아와 보니 일부 문서파일이 정체불명의 파일로 바뀌고 컴퓨터가 '먹통'이 돼 있었다. 별생각 없이 컴퓨터를 재부팅 하자 화면에 영어로 된 메시지가 떴다. 암호화된 파일을 풀려면 비트코인(가상화폐)을 내라는 내용이었다.

말로만 듣던 랜섬웨어(ransom ware)였다.

A 씨는 부랴부랴 보안업체에 연락했지만, 방법이 없다는 대답이 돌아왔다.

중요 자료를 포기할 수 없던 A 씨는 결국 전문업체에 연락해 200만 원을 주고 파일을 복구해야 했다.

A 씨는 "뒤늦게 복구업체도 해당 해커에게 돈을 주고 암호를 푸는 키(key)를 샀다는 얘기를 들었다"며 "사실상 해커에게 돈을 주지 않으면 해결할 수 없다는 게 무섭다"고 고개를 내저었다.

이렇게 컴퓨터의 중요 정보를 암호화하고 이를 푸는 대가로 금전을 요구하는 랜섬웨어가 기승을 부리고 있다. 최근에는 보안 솔루션의 약점을 집중적으로 공략하는 변종이 급격히 늘면서 피해 규모를 키우고 있다.

11일 보안업체 하우리에 따르면 지난 1분기 웹을 통해 국내에 유포된 랜섬웨어는 963종으로, 작년 동기 56종보다 16배 급증했다.

이 기간 비트코인을 지불할 때까지 매시간 파일을 삭제하거나 화면을 아예 정지시켜버리는 신종 랜섬웨어들이 1∼2주 단위로 등장했다.

한글 버전도 잇따라 나타났다. 최근 대형 온라인 커뮤니티를 통해 유포된 '크립트(crypt)XXX'가 대표적이다.

지난 현충일 연휴 기간 온라인 커뮤니티 '뽐뿌'의 배너 광고를 통해 유포된 이 랜섬웨어는 웹사이트에 접속만 해도 감염돼 피해를 키웠다.

랜섬웨어는 네트워크를 타고 급속도로 확산한다. 변종이 나타나는 속도도 빠르고, 유포 경로 역시 다양해지고 있다.

초기에는 이메일의 첨부 파일이나 링크를 통해 유포됐지만, 최근에는 운용체계(OS), 애플리케이션, 배너 광고 등 다양한 경로로 퍼지고 있다. 유포 파일 형태도 실행파일(.exe)이나 문서파일(.doc, .pdf) 위주에서 프로그래밍 언어인 자바와 매크로까지 확대됐다.

지난해 중반부터는 개인이나 집단의 의뢰를 받고 랜섬웨어 제작과 배포까지 대행해주는 업체가 늘고 있다. 전문 해커들이 의뢰인에게 수수료를 받아 랜섬웨어를 제작·유포해주는 방식이다. 전문적인 지식이 없는 개인이나 집단도 이런 '서비스형 랜섬웨어(RaaS)'를 통해 이익을 얻을 수 있는 상황에 이른 셈이다.

미국 FBI가 운영하는 인터넷범죄신고센터에 따르면 2014년 4월부터 작년 6월까지 랜섬웨어 '크립토월' 한 종류로 인한 피해액만 1천800만 달러(현재 환율 기준 210억 원)에 달했다.

보안업체 이노티움이 운영하는 한국랜섬웨어침해대응센터는 지난해 국내 랜섬웨어 피해액이 1천90억원에 달한다고 밝혔다.

랜섬웨어가 특히 무서운 이유는 일단 암호화된 파일은 사실상 복구가 불가능하기 때문이다. 상당수 랜섬웨어가 파일을 암호화하는 방식과 푸는 방식이 다르므로 공격자가 아니면 파일을 복구하기가 어렵다.

직접적인 공격을 받지 않더라도 네트워크로 연결된 컴퓨터를 통해 감염될 수 있다는 점도 위협적이다. 공유 폴더로 연결된 컴퓨터가 많은 기업에서 연쇄 감염이 많은 것은 이 때문이다.

일단 감염되면 컴퓨터 처리 속도가 느려지고, 백신 등 중요 시스템 프로그램이 작동하지 않는다. 중요 파일을 암호화하는 작업이 진행 중이기 때문이다.

암호화가 완료되면 비트코인 계좌로 특정 금액을 보내라는 알림창이 화면에 뜬다. 초기에는 현금을 요구하는 경우가 있었지만, 최근에는 거래 기록을 추적하기 힘든 비트코인을 주로 이용한다. 요구액은 1∼2 비트코인으로 현 시세 기준 대략 60만∼120만 원이다.

비트코인은 계좌를 만들 때 아이디와 패스워드 외에 개인 정보를 입력할 필요가 없어 익명성이 보장된다. 비트코인 전문 거래소에서 유통할 때도 거래 당사자를 알 수 없다. 주식시장에서 주식을 사고파는 것과 유사하다.

또한, 거래소에서 현금으로 바꿀 수 있다는 점도 해커들에게는 매력적이다.

랜섬웨어 공격자는 시간이 흐를수록 비트코인 가격을 올리는 방식으로 피해자를 압박한다. 피해자가 해커가 지정해준 아이디와 계좌로 지정된 시간까지 비트코인을 보내지 않으면 요구액은 배 이상으로 뛴다.

지난해 9월 독일에 등장한 변종인 '키메라(Chimera)'는 돈을 지불하지 않으면 암호화된 파일을 인터넷에 공개하겠다는 협박까지 한다.

민감한 개인 정보를 가진 기업이나 기관은 이러한 공격에 취약할 수밖에 없다.

글로벌 보안업체 파이어아이의 조사 결과 지난 3월 일본 기업을 대상으로 한 랜섬웨어 공격은 작년 10월보다 3천600배 급증했고, 홍콩은 1천600배 늘었다. 한국도 같은 기간 약 22배 증가했다.

보안업계 관계자는 "중요 데이터를 많이 다루는 기업이나 개인은 특히 피해가 크다"며 "최근에는 랜섬웨어의 침투 경로가 교묘해지고, 변종도 빠르게 등장해 사전에 차단하기가 쉽지 않다"고 말했다.

okko@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2016/06/11 09:33 송고