국내 랜섬웨어 상륙과 함께 시장이 형성된 `복구대행` 업계 부작용이 수면 위로 떠올랐다. 수익성은 갈수록 떨어지는데다 복구 요청 고객 PC에 랜섬웨어를 몰래 심은 수리기사 일당까지 검거돼 신뢰성에 타격을 입었다. 해커에게 범죄 수익을 전달하는 창구로써 랜섬웨어 기승을 부추긴다는 지적도 이어진다.
27일 업계에 따르면 랜섬웨어 복구대행업은 주로 전국 가맹망을 가진 기존 컴퓨터수리업체와 데이터 복구전문업체, 전·현직 보안업체 종사자 등으로 구성됐다. 지난해 국내 대형 온라인 커뮤니티에서 랜섬웨어가 대량 유포돼 피해자가 급증하면서 여러 업체가 `랜섬웨어 전문`으로 간판을 바꿔달고 시장에 뛰어들었다.
랜섬웨어는 일단 감염되면 PC 내 문서와 사진, 동영상 등 파일을 암호화하고 확장자를 바꾼다. 복호화 도구가 공개된 일부 오래된 랜섬웨어를 제외하고는 해커가 제공하는 `키` 없이 복구가 불가능하다. 주로 해외에 있는 랜섬웨어 유포자도 수익성을 극대화하기 위해 한글로 몸값 지불 방법을 안내하거나 고객센터까지 운영하는 형태로 진화했다.
복구대행업체가 하는 일은 피해자를 대신해 해커에게 비트코인으로 몸값을 지불하고 복호화 키를 받아 고객 PC에 적용하는 정도가 대부분이다. 데이터 복구보다는 `대행`이 차지하는 비중이 크다. 별다른 전문 기술을 요하지 않지만 비트코인 거래에 익숙하지 않고 랜섬웨어 관련 정보가 부족한 고객이 많이 찾는다.
고객 유치는 보통 검색포털 키워드 광고와 블로그 운영 등으로 이뤄진다. 랜섬웨어 관련 키워드를 검색하면 광고링크와 함께 블로그, 카페 등에 게시된 각 업체 홍보글이 나온다. 공신력을 얻기 위해 `~위원회` `~연구소` `~전문센터` 등으로 이름을 내걸었다. 서울, 부산, 대구, 광주 등 전국에 지사를 가진 컴퓨터수리업체가 상호를 바꿔단 곳도 확인된다.
복구대행업체 대표는 “검색 결과 상단에 노출되기 위해 상당한 광고비를 지출한다”면서 “`랜섬웨어`나 `록키`, `케르베르` 등 주요 검색 키워드에 클릭 당 2만원이 넘는 입찰가를 지불하다보면 10만~20만원대 수수료로는 수지타산을 맞추기 쉽지 않다”고 말했다.
일부 업체는 공식 수수료를 명시하고 원격지원을 제공한다. 하지만 상담전화로 연락하면 “모든 랜섬웨어를 100% 복구 가능하다”며 우선 수리기사 무료 출장과 감염 PC 입고를 유도하는 곳도 상당수다. 데이터 유출이나 추가 악성코드 감염 등 2차 피해가 우려되는 부분이다.
최근 서울지방경찰청이 검거한 PC수리기사 일당 역시 고객이 수리 요청한 PC에 다른 랜섬웨어를 심고 해커가 요구한 몸값 등을 부풀리는 방식으로 부당 이득을 취득했다.
랜섬웨어 복구대행업계는 공개적으로 수수료를 제시하지 않은 채 PC 입고부터 유도하는 업체는 주의해야 한다고 조언한다. 기업 대상 표적형 랜섬웨어 증가에 따른 일반인 피해자 감소와 광고비 부담으로 수익성이 저하된 복구대행업계 종사자 일탈 가능성이 높아졌기 때문이다.
한 복구기사는 “랜섬웨어는 원격으로 데이터 복구가 안 되면 업체로 가지고 들어와도 복구 안 된다”고 전했다.
박정은기자 jepark@etnews.com