로그인회원가입
SW 보안

[이슈분석]내 파일 인질 잡은 랜섬웨어...정보 유출 후폭풍

[이슈분석]내 파일 인질 잡은 랜섬웨어...정보 유출 후폭풍

# 연구원 A씨. 2년 넘게 실험해 얻은 연구 데이터가 갑자기 열리지 않았다. 워드로 정리해 둔 연구노트는 모두 암호화됐다. 어디에서 걸렸는지 모르는 랜섬웨어에 감염돼 수년간 연구 성과가 송두리째 열리지 않는 파일이 됐다. ‘파일이 암호화됐다’는 경고문이 뜨며 비트코인을 보내면 풀어주겠다는 설명이 나온다. 인터넷 검색으로 랜섬웨어 치료법을 찾았다. 한번 걸리면 돈을 주지 않고 파일을 복구할 방법이 없이 앞이 캄캄했다. 당장 회사에 알려지면 해고로 이어질 수 있어 사설 PC 복구업체를 찾았다. IT 지식이 없는 A씨는 비트코인을 어디서 사서 어떻게 보내야 하는지도 모른다.

PC가 랜섬웨어에 감염되면 나타나는 메시지.
PC가 랜섬웨어에 감염되면 나타나는 메시지.

사설 PC 복구업체가 최근 공공연히 내세우는 랜섬웨어 복구 비용은 80만원. 랜섬웨어 공격자에게 50만원가량 비트코인을 보내 암호를 해독하는 방법(복호화키)을 받는다. 나머지 30만원은 중요 자료 복구 수수료인 셈이다. A씨는 회사에서 해고되는 것보다 80만원을 내는 것이 합리적이라고 생각했지만 의외의 복병을 만났다. 얼마 후 관련 연구데이터가 경쟁사에 넘어간 것을 확인했다.

해커 신종 비즈니스로 자리 잡은 ‘랜섬웨어’가 창궐하며 피해가 급증했다. 당장 중요 데이터를 살리려고 무분별하게 복구 대행을 맡겼다 일어날 수 있는 일이다.

◇정보 유출 후폭풍

3월부터 10월까지 랜섬웨어 피해 현황 (자료:이노티움)
3월부터 10월까지 랜섬웨어 피해 현황 (자료:이노티움)

보안전문가들은 랜섬웨어를 복구하다가 정보유출 2차 피해를 볼 수 있다고 경고했다. 최근 랜섬웨어가 급증하면서 사설 PC 복구서비스도 증가했다. 당장 암호화된 파일을 되살리는 데 급급한 피해자는 복구업체에 PC를 통째로 보내기 쉽다. 사실 PC복구 서비스 기업이 하는 일은 랜섬웨어 제작자에게 인질로 잡힌 파일 대가를 비트코인으로 지급하고 복호화키를 받아 풀어주는 일이다. 파일을 복호화하면 바로 내용을 볼 수 있다. 디지털 특성상 파일을 복사해 유출하는 건 매우 간단한 일이다.

B복구업체 대표는 “랜섬웨어에 걸리면 기존 복구 솔루션으로는 파일 암호화를 해제할 수 없다”며 “결국 범죄자에게 돈을 주고 열쇠를 받아다 문을 열어주는 대행 작업을 할 수밖에 없다”고 설명했다. 그는 “랜섬웨어 복구에 별다른 솔루션이나 첨단 기술이 필요하지 않기 때문에 관련 대행업체가 늘어나고 있다”며 “기업 내 보안 의식이나 도덕성이 낮은 직원이 고객 파일을 복구하면서 유출할 가능성이 도사린다”고 지적했다.

◇랜섬웨어 공격자에게 돈 주면 불법?

PC복구 시장에서 평판이 높은 복구기업은 랜섬웨어 대응 서비스에 미온적이다. 범죄자에게 돈을 줄 수밖에 없는 구조인 탓이다. 랜섬웨어 공격자에게 돈을 줄수록 관련 범죄는 더욱 늘어난다. 해커에게 이미 랜섬웨어는 돈 되는 비즈니스로 자리 잡았다.

과연 랜섬웨어 공격자에게 대가를 지불하는 것이 법을 어기는 것일까. 랜섬웨어 공격자와 결탁하지 않았다면 그들에게 비트코인을 주고 보호화키를 받는 행위 자체는 불법이 아니다. 하지만 범죄자 비즈니스에 일조했다는 도덕적 비난은 피할 수 없다.

경찰청 사이버 안전국 관계자는 “단순히 랜섬웨어에 걸린 파일을 암호화하려고 비트코인을 보내주고 복구를 대행하는 행위는 불법은 아니다”고 설명했다.

◇랜섬웨어 비즈니스 활발

시만텍·팔로알토네트웍스·포티넷 등으로 구성된 글로벌 사이버위협연합(CTA) 보고서는 랜섬웨어 공격자가 지금까지 3억2500만달러(약 3700억원)에 달하는 수익을 올렸다고 분석했다. 공격에 쓰인 랜섬웨어만 4046개. 계속해서 변종이 생기고 한글화된 랜섬웨어가 나타난다.

인터넷에서 판매중인 `크립토락커 3.1`
인터넷에서 판매중인 `크립토락커 3.1`

PC는 물론이고 서버, 스마트폰 파일까지 다양한 플랫폼을 오가며 파일이나 기기를 암호화하고 대가를 요구한다. 랜섬웨어를 판매하는 비즈니스까지 활개친다. 인터넷에서 판매 중인 ‘크립토락커3.1’ 가격은 400달러(약 46만9000원)다. 랜섬웨어를 구매하고 최소 1명만 감염시켜 대가를 받으면 되는 가격이다. 판매자는 암호화 알고리즘이 기존 랜섬웨어보다 훨씬 강력하다고 광고한다. 448비트 암호화키를 생성하고 명령&제어(C&C) 서버로 보낸다. 각각 PC에서 생성되는 암호화키는 모두 다르다고 강조한다. 랜섬웨어는 문서나 그림파일 외에 게임개발 파일, 각종 설계파일까지 모두 암호화하는 형태로 진화했다.

키메라 랜섬웨어.
키메라 랜섬웨어.

◇범정부 랜섬웨어 대응 체계 시급

지난 4월 유명 커뮤니티 사이트에서 랜섬웨어가 배포된 후 지속적으로 피해가 늘고 있다. 국내외 보안 기업이 랜섬웨어 경고를 발령했지만 정부 차원 대응이 아쉽다는 목소리다. 한국인터넷진흥원(KISA)을 중심으로 보다 체계적인 랜섬웨어 탐지와 경보가 시급하다. 랜섬웨어가 단지 파일을 암호화해 대가를 챙기는 데서 나아가 정보 유출 근원지가 되는 탓이다.

최근 트렌드마이크로·명정보기술 등과 랜섬웨어 글로벌 방어군을 결성한 이형택 이노티움 대표는 “랜섬웨어는 이제 한 기업이 막을 수 있는 위협 수준을 넘어섰다”며 “보다 체계적인 랜섬웨어 탐지와 예방, 대응책 마련이 시급하다”고 강조했다.

김인순기자 insoon@etnews.com

게임랜섬웨어보안스마트폰암호화이슈분석인질인터넷정보유출PC이슈플러스