관련 통계자료 다운로드 랜섬웨어 침해신고 현황
사이버 범죄자가 ‘랜섬웨어(Ransomware)’ 융단 폭격을 시작했다.
랜섬웨어란 몸값을 뜻하는 ‘랜섬(Ransom)’과 ‘소프트웨어(Software)’ 합성어다. 파일을 인질로 잡아 금전을 요구한다. 불특정 다수를 무차별적으로 감염시켜 돈을 버는 수단으로 떠올랐다. 익명성을 보장하는 비트코인 활성화가 랜섬웨어 유포를 부추긴다. 비트코인은 마치 주식처럼 가격이 유동적이다. 1비트코인 가치는 3월 20만원대에서 9월 25만원, 10월 60만원대로 상승했다.
랜섬웨어는 고도 암호화 알고리즘을 사용해 데이터를 읽을 수 없게 만든다. 암호화된 데이터를 복구하는 방법은 유포자에게 몸값을 지불하는 것. 유포자가 정한 기한에 비용을 지불하지 않으면 돈이 갑절로 올라간다. 이후에는 암호화키가 삭제돼 데이터를 영원히 사용할 수 없다.
시만텍·팔로알토네트웍스·포티넷 등으로 구성된 글로벌 사이버위협연합(CTA)은 랜섬웨어 공격자가 지금까지 3억2500만달러(약 3700억원)에 이르는 수익을 올렸다고 분석했다. 공격에 쓰인 랜섬웨어만 4046개. 계속해서 변종이 생기고 한글화된 랜섬웨어가 나타난다.
한국랜섬웨어침해대응센터에 따르면 3월 7건에 불과했던 랜섬웨어 침해피해는 4월 178건으로 급증했다. 5월 72건, 6월 128건, 7월 63건, 8월 104건, 9월 45건에 머물렀던 피해는 10월을 기점으로 656건이 접수되며 여덟 배나 증가했다. 11월 피해는 927건에 달했다.
랜섬웨어 감염 통로는 이메일부터 웹까지 다양하다. 언제나 정보보안 수칙을 지키지 않으면 랜섬웨어에 감염된 중요 문서부터 사진 파일까지 모두 암호화된다. 국내 피해자는 주로 웹에서 랜섬웨어에 감염된다. PC 윈도 운용체계(OS)나 어도비 플래시, 자바 등 애플리케이션 소프트웨어(SW)를 최신 상태로 업데이트하지 않으면 관련 취약점을 악용한 랜섬웨어에 감염된다. 랜섬웨어를 유포하는 웹에 방문만 해도 감염된다. 공격자는 이메일에 랜섬웨어를 숨겨 보낸다. 출처가 불분명한 곳에서 온 메일을 비롯해 첨부파일을 열 때 주의를 기울여야 한다.
국내에 가장 많은 피해를 준 랜섬웨어는 ‘크립토로커(Crypt0L0ker)’ ‘테슬라크립트’ ‘크립토월3.0’이다. 트렌드마이크로에 따르면 크립토로커는 지난 4월 국내 IT커뮤니티 웹 광고 배너로 유포되면서 피해를 줬다. 10월부터는 크립토월3.0으로 진화하면 변종이 발견됐다. 확산 속도도 4월보다 빠르고 피해 규모도 크다. 봄에 확산한 크립토로커는 주로 개인사용자에게서 피해가 보고됐는데 크립토월은 대기업과 금융기관, 관공서에서 신고가 접수됐다.
최근 호주에서 피해를 입힌 신종 크립토월4.0이 세계로 확산 중이다. 일본에서 감염이 급증한 테슬라크립트 변동도 한국 유입은 시간문제다. 랜섬웨어는 시그니처와 행위기반 보안 감기 기술을 우회하는 자동 알고리즘을 쓴다. 보안이 취약한 웹 서버에 침투해 피해를 확산시킨다.
랜섬웨어 피해를 막는 법은 무엇인가. 보안전문가는 예방을 최우선으로 꼽는다. 백업을 생활화하고 보안수칙을 지켜야 피해를 최소화한다. 이형택 이노티움 대표는 “제대로 백업하면 랜섬웨어 피해를 최소화한다”며 “보다 체계적으로 랜섬웨어를 탐지하고 예방, 대응하는 시스템을 갖춰야 한다”고 말했다.
김인순기자 insoon@etnews.com