PC 데이터를 암호화해 먹통으로 만든 후 돈을 요구하는 랜섬웨어의 공격 대상이 최근 해외에서 스마트폰, TV, CCTV 등으로 확대되고 있다. 국내에서도 비슷한 공격이 확산될 수 있어 주의가 요구되고 있다.

16일 보안 전문가들에 따르면, 한국인터넷진흥원(KISA)은 ‘보호나라&KrCERT’ 사이트를 통해 새로운 방식으로 유포하는 안드로이드 랜섬웨어가 발견됐다며 주의를 당부했다.

KISA는 보안업체 시만텍이 최근 모바일 사용자 대상 드롭퍼 방식으로 배포되는 변종 랜섬웨어 ‘락드로이드(Lockdroid)’를 발견했다고 설명했다. 드롭퍼 방식은 백신 소프트웨어(SW) 등의 감시를 피하기 위해 특정 기능을 갖춘 소형 악성코드로 감염을 시킨 후 다시 대형 악성파일을 설치하는 방식이다. 드롭퍼 방식이 안드로이드 랜섬웨어에 사용된 것은 이번이 처음으로 알려졌다.

이 랜섬웨어는 스미싱 문자메시지 등을 보내 링크 클릭을 유도하고 악성파일을 설치한다. 악성파일은 스마트폰의 루팅(판매자 제약 해제) 여부를 확인한다. 루팅이 안 된 경우에는 잠금화면을 보여주며 돈을 요구하고 잠금해제와 돈 지불을 위해 2D바코드(QR코드) 스캔을 유도한다. 이를 통해 다른 기기를 추가로 감염시키는 것이다. 루팅이 된 경우에는 관리자 권한을 요구한 후 악성앱을 설치해 스마트폰을 장악한다.

윤광택 시만텍코리아 상무는 “이번에 발견된 랜섬웨어는 스미싱 메시지를 보내 드롭퍼 방식을 사용하는 것이 특징”이라며 “이런 공격을 막기 위해 의심스러운 링크를 클릭해서는 안 된다”고 말했다. 전문가들은 스마트폰을 감염시키는 유사한 공격이 더 늘어날 것이며 국내에서도 발생할 수 있다고 우려하고 있다.

지난해 국내에서 랜섬웨어가 기승을 부렸다. KISA의 ‘2016년 랜섬웨어 동향 및 2017년 전망’ 보고서에 따르면, 2015년 랜섬웨어 관련 민원이 770건 접수됐는데 지난해에는 1438건으로 약 2배가 늘어났다. 전문가들은 실제 피해는 이보다 훨씬 많을 것이라고 추정하고 있다.

문제는 랜섬웨어 공격이 스마트폰 뿐 아니라 최근 다방면으로 확산되고 있다는 점이다. 1월 초 미국 IT월드는 미국에서 사용자가 안드로이드 기반 TV에 영화 시청 앱을 다운로드 받은 후 랜섬웨어에 감염되는 사건이 발생했다고 보도했다. 범죄자들은 TV를 먹통으로 만든 후 500달러를 요구했다. 그동안 TV를 겨냥한 랜섬웨어 가능성이 제기됐고 이에 대한 실험, 시연도 있었다. 그런데 실제로 사건이 발생한 것이다.

또 미국 워싱턴포스트는 1월 말 트럼프 미국 대통령의 취임식 전 랜섬웨어 공격으로 인해 워싱턴 DC 경찰의 CCTV 카메라 가운데 약 70%가 수일 동안의 기록을 저장할 수 없었다고 보도했다. 워싱턴포스트에 따르면, 187대 네트워크 비디오 레코더 가운데 123대가 1월 12일 랜섬웨어에 감염됐다. 워싱턴 DC 경찰은 범죄자들의 돈 지급 요구를 거절하고 자체적으로 이를 복구하는데 수일이 소요됐다.

앞서 전문가들은 이미 이런 상황을 예측했었다. 지난해 12월 KISA는 국내외 보안업체들과 2017년 7대 사이버 공격 전망을 발표했다. KISA는 올해 주요 보안위협 중 하나로 다양한 형태의 랜섬웨어가 대량으로 유포될 것이라고 경고했다. 당시 KISA는 “모바일 환경을 대상으로 유포되는 랜섬웨어가 해외와 비교해 아직 국내에서는 그 사례를 찾아보기가 힘들었으나 2017년에는 국내도 모바일 및 사물인터넷(IoT) 디바이스들에 대해서 랜섬웨어의 직접적인 영향을 받을 것으로 예상된다”고 밝혔다.

전문가들은 국내에서도 스마트폰과 각종 전자기기를 대상으로 한 랜섬웨어 공격이 시간 문제인 만큼 이에 대한 대책 마련에 나서야 한다고 지적하고 있다.

[테크M = 강진규 기자(viper@techm.kr)]