‘어느 날 오후 외근 중이던 40대 직장인 A씨는 급하게 이메일을 확인하기 위해 커피숍에서 노트북을 꺼냈다. 그런데 노트북 화면에 이상한 문구들이 나타나며 노트북이 작동하지 않았다. 노트북 화면에서 100만원 상당의 비트코인을 지불하지 않으면 시간이 흐를수록 조금씩 데이터를 파괴하겠다는 메시지가 나타났다. 랜섬웨어(ransomware)였다. 당황한 A씨는 회사 전산팀에 문의했지만 뾰족한 방법을 찾지 못했다. 급하게 지인의 소개로 데이터 복구 업체에 연락했지만 100만원 이상의 비용이 든다는 이야기를 들었다. 결국 A씨는 노트북 속의 문건들을 포기할 수밖에 없었다.’

한국 사회가 랜섬웨어라는 사이버인질극 공포에 휩싸였다. 랜섬웨어는 단순한 공포가 아니라 실체적인 위협으로 다가오고 있다. 과거 영어로 된 랜섬웨어가 해외에서 유포됐던 상황에서 벗어나 한글화된 랜섬웨어 악성코드가 한국 온라인 공간에서 국민들을 위협하고 있다. 또 랜섬웨어 공격이 지능화되고 서비스화되면서 올해 하반기에도 랜섬웨어 위협이 확산될 것으로 우려되고 있다.

지난해 말부터 랜섬웨어 창궐

각종 보안지표들은 랜섬웨어 위협이 고조되고 있음을 보여주고 있다. 한국인터넷진흥원(KISA)의 118사이버민원센터에 접수된 랜섬웨어 관련 상담건수는 지난해 4분기 급증했다. 지난해 7~9월까지 랜섬웨어 관련 상담이 70건이었는데 10월 241건으로 급증한 후 11월 294건, 12월 131건으로 집계됐다. 지난해 4분기에만 666건의 상담이 이뤄졌다. 올해 1분기에는 랜섬웨어 상담건수는 188건으로 지난해에 비해 줄어드는 듯 보였다. 그런데 4~6월 사이 396건으로 다시 증가해 보안전문가들을 긴장시키고 있다. 실제 피해건수는 KISA 상담건수보다 최소 몇 배 더 많을 것으로 추정된다.



또 KISA는 7월 중순 ‘2016년 상반기 악성코드 은닉사이트 탐지 동향 보고서’를 공개했다. 흥미로운 점은 KISA가 탐지한 악성코드 중 5%가 랜섬웨어 악성코드라는 점이다. 5%를 전체 악성코드 비중에서 적게 생각할 수도 있지만 상황은 그렇지 않다. 2015년 KISA가 탐지한 악성코드 종류 중 랜섬웨어 관련된 것은 1% 이하로 주요 항목에 조차 들어가지 못했다. 그런데 올해 상반기 5%라는 수치로 나타난 것은 랜섬웨어가 현실적인 위협이 됐다는 뜻이다.



보안기업들의 분석 자료는 더 충격적이다. 이스트소프트가 6월 30일 공개한 2016 상반기 랜섬웨어 동향에 따르면 올해 1월부터 현재까지 알약 PC버전의 행위기반 탐지기능을 통해 차단된 랜섬웨어 공격은 총 247만94건에 달한다. 이는 일일 평균 1만3723건, 매월 41만1682건 이상의 랜섬웨어 공격이 있었다는 것이다.

한국인 노리는 랜섬웨어

문제는 최근 랜섬웨어가 한국 사이트에서 한글화된 형태로 퍼지고 있다는 점이다.
하우리는 5월 3일 올해 1분기 웹을 통해 국내에 유포된 랜섬웨어 악성코드 수치가 전년도 1분기 대비 약 17배 증가했다고 밝혔다. 국내에 웹을 통해 유포된 랜섬웨어 악성코드가 2015년 1분기 56종에서 2016년도 1분기 963종으로 약 17배 증가했다는 것이다. 또 하우리는 5월 30일 파일 암호화 후 한글로 비트코인 지불 안내창을 띄울 수 있는 한글화 버전의 ‘CryptXXX’ 변종 랜섬웨어가 등장했다고 경고했다. 더구나 이 랜섬웨어 악성코드는 한국 유명 휴대폰 관련 커뮤니티를 통해 유포돼 충격을 줬다.

2016년 5월 발견된 한글화된 랜섬웨어 모습 [출처: 하우리]

한글화되지는 않았지만 다양한 기능의 랜섬웨어가 올해 상반기 국내에서 기승을 부렸다. 안랩은 7월 6일 올해 상반기 주요 랜섬웨어 동향을 분석했다. 안랩이 국내에서 창궐한 것으로 손꼽은 랜섬웨어는 테슬라크립트(TeslaCrypt), 록키(Locky), 서버(CERBER), 마크툽(Maktub), 페트야(Petya), 미샤(Mischa), 크립트엑스엑스엑스(CryptXXX) 등 다양하다. 이들 중에는 음성으로 협박을 하는 랜섬웨어, 부팅이 안 되도록 하는 랜섬웨어 등도 있다.

랜섬웨어의 목적은 명확하다. 협박을 통해 돈을 갈취하겠다는 것이다. 안랩은 올해 상반기 랜섬웨어 동향 분석에서 2015년 1월에 발견된 크립토월 3.0의 제작자가 전 세계적으로 3억2500만달러(한화 3900억원)의 수익을 거둔 것으로 추정된다고 밝혔다.
랜섬웨어가 돈이 된다는 사실이 알려지면서 범죄의 분업화, 서비스화가 이뤄지고 있다.

김창희 안랩 팀장은 “랜섬웨어 범죄가 조직화되고 있으며 생태계가 만들어지고 있다”며 “랜섬웨어 제작 툴을 서비스하는 곳, 범죄 수익으로 얻은 비트코인을 유통하는 곳 등이 나타나고 있다. 과거에 악성코드를 만들 수 있는 사람이 공격했던 것과 달리 서비스로서의 소프트웨어처럼 랜섬웨어가 서비스화되고 있다”고 지적했다.

주어진 시간 안에 돈을 주지 않으면 데이터를 파괴하겠다고 협박하는 랜섬웨어 협박 화면 [출처: 안랩]

임진수 인터넷진흥원 분석1팀 팀장도 “암시장에서 랜섬웨어 제작 툴킷이 판매되는 것으로 추정된다”며 “랜섬웨어가 서비스 관점으로 변하고 있다. 마치 무기를 팔듯이 랜섬웨어 악성코드를 팔고 있다”고 설명했다.

랜섬웨어에 대한 우려와 대응법

랜섬웨어도 진화하고 있다. 전통적인 랜섬웨어는 PC의 파일을 암호화한 후 데이터를 파괴하겠다고 협박했다. 그런데 암호화를 막는 방안에 대응해 랜섬웨어는 데이터를 네트워크를 통해 다른 곳에 저장한 후 원본을 삭제하고 데이터를 돌려주지 않겠다고 협박하는 사례도 있다. 기업이나 개인의 민감한 데이터를 확보한 경우 범죄자들은 돈을 주지 않으면 기업 정보, 개인 사생활 정보를 온라인상에 유포하겠다고 협박하는 경우도 있다는 지적이다.

김창희 안랩 팀장은 “랜섬웨어가 심리전 양상을 보이고 있다”며 “1시간 내로 폭파하겠다고 협박하거나 시간이 흐름에 따라 순차적으로 데이터를 삭제한다고 협박하며 심리적인 압박을 하는 경우도 있다”고 말했다.

보안 전문가들은 랜섬웨어에 걸리지 않도록 조심하는 것이 가장 중요하다고 지적하고 있다. 랜섬웨어 예방을 위해 백신SW를 최신 업데이트로 유지해야 하며 발신처가 불분명한 이메일을 주의해야 한다는 지적이다. 또 취약해 보이는 사이트는 방문하지 않아야 하고 외장 하드 등에 자료를 주기적으로 백업할 것도 권고하고 있다.

랜섬웨어에 감염됐을 때는 협박에 응하지 말고 복구툴을 찾는 것이 우선이라는 지적이다. 임진수 인터넷진흥원 팀장은 “랜섬웨어 협박에 응해 돈을 지불할 경우 범죄자들이 한국에서 돈을 벌었다고 판단해 공격을 강화할 수 있다”며 “요즘 보안업체들이 복구 가능한 보안SW를 제공하고 있는 만큼 랜섬웨어에 감염되면 우선은 가능한 복구 프로그램을 찾아봐야 한다”고 조언했다.

[테크M = 강진규 기자(viper@techm.kr)]