본문 바로가기

안전한사이버세상

랜섬웨어의 진화와 피해사례

랜섬웨어에 대하여,

"이대로 가다간 막대한 피해로 이어질 수 있다"...카보나이트(IT월드, `16. 9. 22.)

지구촌 '랜섬웨어' 피해 속출...국내 기업 7곳도 '공격당해'(경향신문, `17. 5. 14.)

전세계 랜섬웨어 '사이버 쇼크'…"피해 최소 7만5000건"(조선일보, `17. 5. 17)

 

최근에 자주 들려오는 랜섬웨어 사고 소식은 더 이상 ‘컴퓨터 덕후(?)’에게만 한정되는 뉴스가 아닌 것이 되었습니다. 랜섬웨어는 무료 소프트웨어를 찾거나, 야동 혹은 불법 영화를 다운로드 받아야만 감염되는 것이 아닙니다. 아무런 행동을 하지 않았지만, 혹은 특별히 경솔히 행동한 적이 없었음에도 어느 순간 랜섬웨어의 피해자가 될 수 있습니다.

랜섬웨어의 평균 요구액은 약 300만원입니다. 본 특집기사에서는 다양한 각도로 랜섬웨어를 조명해보고, 감염 예방을 위한 올바른 ‘사이버 위생수칙’을 제시하여, 어쩌면, 낭비하게 될 여러분의 300만원을 절약해 드리겠습니다.

랜섬웨어란, 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템에 접근할 수 없도록 키보드 마우스 혹은 화면을 차단하거나 사용자의 파일(데이터) 등을 암호화해 사용할 수 없도록 하고, 이를 인질로 금전을 요구하는 악성 프로그램(≒컴퓨터바이러스)을 말합니다.

 

랜섬웨어의 진화

태동기, 차단형 랜섬웨어

자신을 숨기고 감염 사실을 최대한 노출되지 않으려 많은 노력을 하는 일반적인 컴퓨터 바이러스와 다르게 랜섬웨어는 감염이 완료된 후 스스로를 드러내기 때문에 공격자 입장에서 상당히 과감한 공격 방법입니다. 초창기 랜섬웨어는 불법적인 행위를 하는 사용자들을 대상으로, 수사기관으로 사칭하고 단순히 컴퓨터 화면을 잠그거나, 인터넷 검색을 제한하는 등 데이터에 대한 접근을 차단하는 방식으로 몸값(랜섬)을 요구하는 수준 이였습니다.

1998년 AIDS Trojan(에이즈 트로이안, PC Cyborg)이 의료산업계에 대유행(90개국에 걸쳐 2만여개 디스크 감염)한 것을 시작으로, 위와 같은 차단형 랜섬웨어가 세상에 알려지게 되었습니다. 2012년 알려진 Reveton(레베톤)이 대표적인 차단형 랜섬웨어입니다. Reveton은 수사기관을 사칭하는 감염 화면 때문에 Police Trojan(경찰 트로이안)으로 널리 알려져 있습니다. 이와 같은 방식에서는 몸값을 입금받기 위한 정보가 포함되어 있기 때문에 수사기관에 의한 추적이 용이할 뿐만 아니라, 데이터에 대하여 전문적으로 깊이 있게 접근할 경우 바이러스를 손쉽게 우회할 수 있어 몸값 수금 확률이 매우 낮았습니다.

성장기, 비밀형(암호화) 랜섬웨어

이렇게 랜섬웨어가 태생적으로 가지고 있는 모순적인 특징으로 인해 널리 주목받지 못하였지만, 꾸준히 발전을 해왔습니다. 우선, 효과적인 인질극을 위해 공격자 의사에 반하여 피해복구가 되지 않도록 데이터 암호화 기법을 탑재하여 악성프로그램의 기능을 개량하였습니다. 다음으로, 익명 인터넷(TOR, The Onion Router) 이용하여, 피해자와 협상하기 위한 창구를 안전하게 확보 하였습니다. 랜섬웨어 제작자는 익명 인터넷을 통해 피해자에게 몸값을 지불할 입금 정보를 제공하고, 암호화된 파일을 복구하기 위한 도구와 복호키를 제공합니다. 마지막으로 몸값의 지불 방식을 추적이 어려운 가상화폐 이용하기 시작하며, 몸값 수금 확률이 비약적으로 높아지고 그로 인해 많은 사이버범죄자들이 너도나도 랜섬웨어 분야에 뛰어들기 시작 하였습니다. 물론, 이 과정에서 초창기 등장한 랜섬웨어는 복호키 관리의 문제가 있어 감염된 PC 분석으로 파일을 복구할 수 있었지만, 최근에 발견되고 있는 랜섬웨어는 이러한 취약점이 없는 구조로 정교하게 구성되어 있어, 공격자만 가지고 있는 복호키가 이는 복구가 되지 않는 경우가 대다수입니다. 바야흐로 랜섬웨어 르네상스 시대로 접어들은 것이지요.

부흥기, 맞춤형 랜섬웨어

랜섬웨어 공격자는 보다 높은 수익률을 위해 더 돈이 많은 피해자들을 노리기 시작 하였습니다. 회사나 병원 등이 가지고 있는 주요 정보를 암호화하고, 복호키 제공을 대가로 큰 금액의 몸값을 요구합니다. 게다가 개인적인 데이터를 암호화하는 것이 몸값 수금 확률을 올릴 수 있다는 사실을 깨닫자, 이제는 PC와 더불어 휴대폰과 같은 모바일 기기를 노린 랜섬웨어가 기승을 부리고 있습니다.

이와 같은 맞춤형 랜섬웨어는 기기에 대한 접근권한을 획득한 이후 이뤄지기 때문에 몸값을 지불하고 복호화 된다고 하여도 이미 데이터가 유출된 상태일 가능성이 높아 2차, 3차 피해로 이어지는 매우 심각한 공격으로 분류됩니다.

 

 

랜섬웨어의 위력

휴대폰에 랜섬웨어가 감염되면, 기기를 공장 출고 상태로 초기화 하지 않고서는 정상적으로 복구하기 어렵습니다. 이 경우 휴대폰에 저장된 모든 연락처에 랜섬웨어를 추가로 발송하기 때문에 피해가 빠르게 확산됩니다. 최근에는 냉장고, 에어컨, 스마트TV 같은 IOT기반 장비들을 장악하고, 이를 인질로 매우 높은 몸값을 요구하기도 합니다.

최근 한 중소기업은 랜섬웨어에 감염되어 약 3,400여 고객사의 데이터가 암호화 되었고, 그 복구 비용을 감당하고자 회사를 매각하여 해커에게 약 13억 상당의 몸값을 지불하였지만, 해커가 제공한 복호키로 데이터 전체가 복구되지 않아, 곤혹을 겪고 있습니다. 사실 몸값을 정상적으로 지불한 피해자들 중 20%는 파일 복구에 실패하고 있습니다.

뿐만 아니라 워너크라이 사태(`17. 5. 12.)로 국내 유명 극장 상영 시스템과 지하철, 버스 안내 시스템에 영향을 주는 등 랜섬웨어에 의한 피해가 실생활로 파고들고 있는 실정입니다. 또한, 영국에서는 워너크라이 랜섬웨어로 인해, 국민건강서비스 산하 40여개 병원에서 진료에 차질을 빚는 등 그 사회적 심각성이 높아지고 있습니다.

랜섬웨어에 감염된 피해자는 심리적으로 공격자에게 의존할 수밖에 없는 서글픈 신세가 됩니다. 인터넷서비스를 이용하는 모두가 피해자가 될 가능성이 있기 때문에 감염 예방에 많은 노력을 기울여야 합니다.

다음 편에서는 랜섬웨어 감염을 예방하기 위해 주요 감염 경로와 공격 시나리오를 알아보고, 간단히 지킬 수 있는 사이버 위생수칙을 소개 하겠습니다.