[랜섬웨어, 걸려봤다] "100만원이면 저희는 다 복구 가능하세요"

작업 중이던 노트북 PC가 느려지더니 바탕화면에 있던 사진과 문서 파일 확장자가 변하기 시작한다. 새로운 윈도 창이 연속적으로 열리며 마우스 조작이 먹통이 되고 PC 사용이 불가능한 수준에 이른다. 강제로 PC를 종료하고 다시 켜보니 지난달 다녀온 신혼여행 사진부터 각종 업무용 자료 등이 모두 흰색 파일로 변해 실행되지 않았다.

별도 준비한 PC에 변종 크립트XXX 랜섬웨어를 감염시켰다. 테스트를 위해 PC에 넣어둔 사진 확장자가 모두 .crypz로 바뀌며 암호화돼 읽을 수 없는 상태가 됐다.(사진:박정은 기자)
별도 준비한 PC에 변종 크립트XXX 랜섬웨어를 감염시켰다. 테스트를 위해 PC에 넣어둔 사진 확장자가 모두 .crypz로 바뀌며 암호화돼 읽을 수 없는 상태가 됐다.(사진:박정은 기자)

최근 랜섬웨어 피해가 급증한 가운데 보안 전문가 자문을 얻어 직접 랜섬웨어 감염을 체험했다. 사용된 랜섬웨어는 최근 국내 온라인 커뮤니티 광고 배너를 유포지로 이용해 많은 피해가 발생한 `크립트XXX(cryptXXX)` 변종(.crypz확장자로 변환)이다.

감염 후 PC 바탕화면은 검정 배경에 랜섬웨어 감염 사실을 알리는 안내 문구로 강제 변경된다. 자동 생성된 인터넷 바로가기 아이콘을 클릭해 들어가자 한글을 지원하는 안내 페이지가 나온다. 100시간 안에 암호 해독 비용을 지불하지 않으면 가격을 두 배로 늘린다는 협박이다. 친절한 설명과 함께 자주 묻는 질문과 암호 해독 테스트 기능까지 제공했다.

별도 준비한 PC에 변종 크립트XXX 랜섬웨어를 감염시켰다. PC 전원을 껐다가 켜면 랜섬웨어 감염 안내창이 자동으로 화면에 나온다.
별도 준비한 PC에 변종 크립트XXX 랜섬웨어를 감염시켰다. PC 전원을 껐다가 켜면 랜섬웨어 감염 안내창이 자동으로 화면에 나온다.

변종 크립트XXX 랜섬웨어는 아직 완벽한 무료 복구 도구가 나오지 않았다. 파일을 원상태로 해독하기 위해서는 해커가 요구하는 비용을 지불하고 암호 해독 키를 받는 수밖에 없다. 추적이 불가능한 사이버 화폐 `비트코인`이 주로 파일 몸값 지불 수단으로 사용된다.

비트코인 시세추이(국내 비트코인 거래소 시세 동향 등 참고)
비트코인 시세추이(국내 비트코인 거래소 시세 동향 등 참고)

올해 초까지만해도 1비트코인 당 40만~50만원대 시세를 형성했으나 최근 80만원대 후반으로 뛰어올랐다.

◇사설 복구대행업체 난립…2차 피해 우려도

지난해 랜섬웨어 국내 상륙과 함께 사설 복구대행업체도 빠르게 늘었다. 검색 포털에 `랜섬웨어`를 검색하면 광고링크와 함께 블로그, 카페 등에 게시된 각 업체 홍보글이 잔뜩 나온다. 대부분 해커에게 비용 지불을 대신해주고 암호화 키를 받아 파일 복구를 진행한다.

검색포털에 `랜섬웨어`를 검색하면 사설복구대행 업체 광고와 홍보글 잔뜩 나온다.
검색포털에 `랜섬웨어`를 검색하면 사설복구대행 업체 광고와 홍보글 잔뜩 나온다.

문제는 공신력이 떨어지는 업체에 의한 2차 피해 우려다. 랜섬웨어에 대한 정확한 설명으로 피해자 판단을 돕는 곳이 있는가 하면 잘못된 정보와 과장된 홍보로 피해를 키우는 곳도 적지 않다.

인터넷 검색으로 찾은 A 업체는 전화로 복구 가능 여부를 문의하자 감염된 랜섬웨어 종류는 확인하지도 않은 채 모두 복구 가능하다며 엔지니어 출장 접수를 유도했다.

해당 업체 접수 담당자는 “자체 복구 솔루션을 보유해 100만원이면 어떤 랜섬웨어도 해결한다”고 주장했다. 현재 변종 크립트XXX는 암호 키 없이는 복구가 불가능한데다 기존 랜섬웨어와 달리 비용을 지불해도 암호 키를 제공받을 확률이 낮다는 사실은 안내받지 못했다.

크립트XXX 랜섬웨어 한글 안내 창.
크립트XXX 랜섬웨어 한글 안내 창.

B 업체는 원격으로 상태를 봐주겠다며 원격지원 프로그램인 `팀뷰어`를 설치하도록 했다. 복구 수수료 15만원에 비트코인 구입비용 140여만원을 제시하면서도 복구에 성공하지 못할 가능성이 크다며 개인 사용자라면 파일을 포기할 것을 권유했다. B 업체 상담 엔지니어는 “랜섬웨어 100% 복구를 장담하거나 복구 실패 시 전액 환불을 주장하는 업체는 일단 주의할 필요가 있다”며 “일단 비용을 받고 이런저런 핑계를 대며 돈을 돌려주지 않거나 PC에 다른 악성코드를 숨겨 놓은 사례가 많다”고 조언했다.

또 다른 C 업체는 복구 실패 위험 부담을 고객이 지느냐 업체가 지느냐에 따라 다른 수수료 정책을 제안했다. 90만원대로 비교적 높은 수수료를 선입금하면 회사가 자체 보유한 비트코인으로 먼저 해커에게 지불하고 복구에 성공할 경우에만 해당 비트코인 비용을 추가 지불하는 형태다.

크립트XXX 랜섬웨어 한글 안내 창.
크립트XXX 랜섬웨어 한글 안내 창.

보안 업계 관계자는 “랜섬웨어 관련 정보가 많아지면서 수백만원에 달하는 수수료를 요구하거나 선입금만 받고 잠적하는 업체는 찾아보기 어려워졌다”면서도 “여전히 피해자 급한 마음을 볼모로 잡아 부당한 이득을 취하려는 곳도 적지 않은 만큼 사전에 피해 예방을 철저히 해야한다”고 강조했다. 주요 프로그램 최신 업데이트 유지와 적절한 보안 프로그램 사용만으로 감염 확률이 대폭 낮아진다.

박정은기자 jepark@etnews.com