웹 서버에 저장된 데이터베이스(DB)를 암호화해 인질로 삼고 돈을 요구하는 ‘랜섬웹(RansomWeb)’이 등장했다. PC 파일을 인질로 삼아 돈을 요구하는 랜섬웨어에서 더 발전된 형태로 주의가 요구된다. 랜섬웹 공격을 당하면 웹 서비스가 중단되는 심각한 피해를 입을 수 있다.
이스트소프트(대표 김장중)는 웹 서버에 저장된 DB를 암호화하고 백업 데이터도 암호화된 DB고 가득 채운 후 해당 정보를 인질로 삼아 돈을 요구하는 랜섬웹을 경고했다. DB에 들어 있는 파일이 암호화되면 중요 서비스가 차단될 수 있어 랜섬웨어보다 피해가 더욱 크다.
이메일로 전파되는 랜섬웨어와 달리 랜섬웹은 우선 웹 서버 해킹 공격으로 시작된다. 웹 서버 해킹에 성공하면 공격자는 관리자 몰래 서버 스크립트를 조작해 암호화할 때 사용하는 암호화 키(비밀키)를 공격자 키로 변경한다. 이후 공격자 암호화 키를 공격자 서버에 저장하고 원격으로 통신한다.
한마디로 관리 서버와 DB 사이에 들어가 공격자 서버를 거쳐 통신하게 만든다. 이렇게 되면 DB는 공격자 암호화 키로 암호화돼 저장된다. 일정 시간이 지나면 공격자 암호화키로 암호화된 DB로 백업 서버가 가득 채워진다. 공격자는 이후 원격서버에 저장된 암호화 키를 삭제해 버린다. 공격자의 암호화 키가 없는 데이터는 복호화할 수 없기 때문에 정상적인 웹 서버를 제공할 수 없다. 공격자는 관리자를 속이기 위해 가장 중요한 데이터필드만 암호화해 서비스 속도저하를 최소화한다.
공격자는 특정 웹 페이지 관리자에게 ‘DB복호화’라는 제목의 이메일을 보낸다. 암호화된 서버 자료를 복호화하고 싶으면 돈을 내라는 내용이다. 하지만 돈을 낸다고 해서 DB암호를 풀어줄 지는 낙관할 수 없다.
랜섬웹은 랜섬웨어와 비교했을 때 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다. 이런 이유로 피해자가 공격자 요구에 응할 가능성이 높다.
이스트소프트는 랜섬웹 공격을 방지하기 위해서는 서버 보안을 철저히 해야 하며, 임의 사용자가 서버 권한을 탈취하지 못하도록 충분히 조치를 취해야 한다고 조언했다. PC를 비롯해 DB를 이중화해 백업 시스템을 갖춰야 피해를 최소화할 수 있다.
김인순기자 insoon@etnews.com